Por qué los consejos de administración cibernéticos son necesarios

En su informe 2021 Top Security and Risk Trends for 2021 (Principales tendencias en seguridad y riesgos para 2021), Gartner identificó a las juntas directivas con conocimientos cibernéticos como una prioridad para las organizaciones, ya que el número de brechas de seguridad altamente publicitadas sigue creciendo. En este blog, analizamos por qué los miembros de los consejos de administración deben prestar más atención a la postura de seguridad y qué se necesita para establecer un consejo con conocimientos cibernéticos.

Cada año, el Foro Económico Mundial publica el Informe sobre Riesgos Mundiales, que identifica todos los riesgos a los que se enfrentan las empresas en la actualidad, desde el cambio climático y la inestabilidad política y social hasta la ciberseguridad y las enfermedades sanitarias.

Con unas empresas cada vez más digitalizadas y dependientes de las tecnologías cibernéticas, las amenazas a la ciberseguridad y los riesgos relacionados con los datos, así como las estrategias de gestión de riesgos para paliarlos, se han convertido en una prioridad absoluta. De hecho, el Foro Económico Mundial Informe sobre Riesgos Globales 2021 ha clasificado los fallos de ciberseguridad como uno de los cinco principales riesgos empresariales a corto plazo.

Las amenazas a la ciberseguridad y los riesgos relacionados con los datos, así como las estrategias de gestión de riesgos para paliarlos, se han convertido en una prioridad absoluta para las empresas en transformación digital. Existen diversos factores que hacen que la superficie de amenazas de una empresa se amplíe más rápido que nunca:

• La migración en curso a la nube, que se aceleró como respuesta a la pandemia.
• El cambio generalizado hacia el trabajo a distancia y la necesidad de apoyar iniciativas de trabajo desde cualquier lugar en las que los empleados llevan sus propios dispositivos.
• Mayor dependencia de cadenas de suministro extensas y complejas, que dejan a las organizaciones vulnerables a los riesgos heredados de terceros y socios.
• Un mosaico ampliado de normativas sobre privacidad y protección de datos con requisitos de residencia y cifrado de datos.

Los delincuentes y adversarios aprovechan la evolución y expansión del panorama de amenazas para lanzar ciberataques cada vez más numerosos y sofisticados. A medida que los ciberataques afectan cada vez más al mundo físico, las consecuencias de estos ataques también aumentan.

Según un informe de Gartneren 2024, el 75% de los directores generales serán personalmente responsables de incidentes de seguridad ciberfísica, mientras que en 2023 se espera que el impacto financiero de un ataque ciberfísico con víctimas mortales supere los 1.000 millones de dólares. Gartner afirma en que "incluso sin tener en cuenta el valor real de una vida humana en la ecuación, los costes para las organizaciones en términos de indemnización, litigios, seguros, multas reglamentarias y pérdida de reputación serán significativos."

Teniendo en cuenta los efectos de largo alcance de los incidentes y ataques ciberfísicos, los líderes del sector deben darse cuenta de que los ciberriesgos son tan posibles e impactantes como el riesgo "tradicional" al que están acostumbrados a enfrentarse. De hecho, las ciberamenazas pueden ser la fuente de riesgos empresariales si no se toman las medidas adecuadas para prevenirlas. También es importante comprender que el ciberriesgo no es tarea exclusiva del departamento de TI. Un enfoque aislado de la ciberseguridad crea más puntos ciegos que pueden ser aprovechados por los ciberdelincuentes.

Siemens menciona en un informe:

"La ciberseguridad debe ser una responsabilidad compartida por todos los empleados de una empresa, desde la alta dirección hasta la estrecha colaboración entre los departamentos de operaciones y tecnologías de la información. La ciberseguridad también debe implicar a los equipos de salud, seguridad y medio ambiente (HSE), debido a las posibles repercusiones en HSE de una violación grave de la seguridad. Los recursos humanos también deben participar, porque todos los empleados deben ser conscientes, estar formados y ser responsables de su posible papel, intencionado o no, en la apertura de las puertas -física o virtualmente- a los atacantes".

No es de extrañar que la ciberseguridad se haya convertido en una prioridad máxima para el consejo de administración. En la encuesta Gartner 2021 Board of Directors Survey, los directores calificaron la ciberseguridad como la segunda fuente de riesgo más importante para la empresa, después del cumplimiento normativo.

Los incidentes de ciberseguridad representan pérdidas empresariales potenciales que deben tratarse con la misma vigilancia que los vectores más tradicionales de interrupción de la actividad empresarial y pérdida de beneficios. Además, en un mundo digital conectado, un incidente o una brecha en un departamento o en una organización puede propagarse por las cadenas de suministro e incluso por sectores industriales, y en algunos casos provocar daños estructurales importantes a la nación.

Daniel Dobrygowski, responsable de Gobierno Corporativo y Confianza del Foro Económico Mundial, afirmó que "necesitamos una colaboración eficaz y una visión estratégica para garantizar la ciberresiliencia y proteger la confianza entre todas las partes interesadas". Los cambios en el panorama de las amenazas industriales hacen necesario un mayor énfasis en la ciberseguridad como riesgo estratégico para toda la empresa.

Como resultado, Gartner ha identificado en el informe Top Security and Risk Trends for 2021 el cambio hacia la creación de consejos de administración expertos en ciberseguridad. Para ello, las empresas están creando un comité dedicado a debatir cuestiones de ciberseguridad. Este comité suele estar dirigido por un miembro del consejo con experiencia en seguridad o por un consultor externo. De hecho, Gartner predice que para 2025, el 40% de los consejos de administración tendrán un comité dedicado a la ciberseguridad supervisado por un miembro cualificado del consejo, frente a menos del 10% en la actualidad.

El cambio hacia consejos cibernéticos será señal de dos cosas:

• Mayor apoyo -presupuesto y recursos- para hacer frente al panorama de amenazas.
• Mayor escrutinio y expectativas por parte del CISO y los equipos de seguridad para cumplir los requisitos establecidos por la Junta Directiva para proteger a la organización contra ciberataques al tiempo que se garantiza la continuidad del negocio.

Una junta directiva experta en ciberseguridad puede motivar a toda la cadena dentro de una organización a considerar la ciberseguridad como responsabilidad de todos: proporcionan una visión que todos deben seguir. Esta visión debe basarse en los siguientes pilares:

1. Estrategia de ciberseguridad. Una visión estratégica y un plan táctico y operativo para avanzar pueden proteger de forma proactiva los activos corporativos y adaptarse a las ciberamenazas emergentes y a la evolución de los requisitos normativos.
2. Revisión de políticas. Las políticas y prácticas corporativas de ciberseguridad, así como las funciones y responsabilidades, deben evaluarse para garantizar que están actualizadas y son adecuadas para proteger a la organización. Junto con la revisión de las políticas, el consejo debe revisar el presupuesto asignado a la ciberseguridad y la privacidad para garantizar que estas iniciativas se financian adecuadamente.
3. Predicar con el ejemplo. Las políticas de ciberseguridad deben ser aplicadas y respaldadas por la dirección de la empresa, que debe tener la capacidad de comunicar un plan de gestión del ciberriesgo para toda la empresa, que implique a todos los empleados.
4. Continuidad del negocio. El consejo debe supervisar el desarrollo de un plan integral de respuesta a incidentes que garantice la resistencia y continuidad del negocio incluso durante un ciberataque. El plan debe ser ampliamente comprendido e instruido.
5. Supervisión y evaluación continuas. El consejo debe supervisar y revisar periódicamente los controles y capacidades de ciberseguridad de la organización, ajustándose a las nuevas vulnerabilidades y amenazas externas.
6. Concienciación sobre ciberseguridad. El consejo debe asegurarse de que la empresa pone en marcha un programa integral de educación en ciberseguridad para fomentar una cultura en la que todos los empleados asuman la responsabilidad de la ciberseguridad.

Ahora que los ciberataques ya no son una cuestión de "si", sino de "cuándo y con qué frecuencia", la ciberseguridad no debe ser una ocurrencia tardía. Por el contrario, debe estar entretejida en el tejido de la organización para garantizar que no se pongan en peligro los activos críticos, la reputación de la marca y el cumplimiento de la normativa. Ha llegado el momento de que todas las organizaciones transformen sus consejos de administración en consejos expertos en ciberseguridad para promover la resistencia y la continuidad empresarial.

Las identidades de máquina - claves criptográficas, certificados digitales y secretos - sustentan la identidad y la confianza en la ciberseguridad hoy en día. Sin embargo, la importancia de las identidades de máquina suele ser pasada por alto por los responsables de TI y seguridad que, en muchos casos, no son conscientes del alcance total y el riesgo asociado de las identidades de máquina desconocidas o no gestionadas en su organización.

Según Gartner, la gestión de identidades de máquinas es ahora imprescindible. Por eso hemos elaborado el primer informe sobre el estado de la gestión de identidades de equipos con respuestas de más de 1.100 profesionales de TI y seguridad. Obtenga el informe completo a continuación.