Cybersecurity and digital privacy

¿Su junta entiende realmente sus ciberriesgos?

Astraed

7 min read

Los métodos para medir el ciberriesgo han evolucionado en los últimos años, pero siguen sesgados desde el punto de vista técnico y limitado: las cibercalificaciones verdaderamente efectivas deben ser evaluaciones holísticas que tengan en cuenta el análisis técnico, la gobernanza, la cultura y el impacto financiero de los cibereventos adversos. Para cerrar la brecha, los líderes de la empresa tienen que aprender a interpretar lo que las evaluaciones y sus componentes subyacentes realmente significan para ellos. Sin embargo, aprender a leer y escribir sobre el ciberriesgo no significa que todos los ejecutivos tengan que ser expertos técnicos. Lo que sí significa es que tienen que ser capaces de establecer la tolerancia de su empresa ante el ciberriesgo, definir los resultados que son más importantes para su empresa a fin de guiar la inversión en ciberseguridad y ser capaces de fomentar una cultura de ciberseguridad y resiliencia.

••• Durante la última década, los líderes empresariales han tenido que enfrentarse a una verdad incómoda: se ha hecho imposible sentarse al frente de una empresa y no abordar la amenaza del ciberriesgo.[Ciberataques](http://reports.weforum.org/global-risks-report-2020/survey-results/global-risks-landscape-2020/#landscape/R_MANMADECATA//) están cada vez más generalizados y pueden representar amenazas casi existenciales para las empresas, y los consejos de administración y los directores ejecutivos necesitan formas de evaluarlas, aunque no puedan entender los detalles técnicos. Esto ha provocado una explosión en la demanda de medidas del ciberriesgo, tanto dentro de las empresas como entre las partes interesadas externas. Si bien los métodos para medir el ciberriesgo han evolucionado en los últimos años, gracias en parte a los esfuerzos de[agencias de calificación crediticia](https://securityboulevard.com/2019/08/rating-how-current-cybersecurity-issues-can-affect-future-profitability/), inversores y [compañías de seguros](https://www.wsj.com/articles/cyber-insurers-get-tough-on-risk-assessments-amid-coronavirus-pandemic-11589794201), nada puede sustituir a la toma de decisiones informadas a nivel ejecutivo. Como expertos en ciberseguridad, creemos que ha llegado el momento no solo de elaborar puntuaciones basadas en evaluaciones de terceros, sino también de realizar evaluaciones holísticas que tengan en cuenta el análisis técnico, la gobernanza, la cultura y el impacto financiero de los cibereventos adversos. Estas evaluaciones deberían convertirse en una herramienta necesaria y poderosa para los directores corporativos, quienes, con la formación adecuada para interpretarlas, podrían utilizarlas para entender la exposición de su organización a las vulnerabilidades tecnológicas. Saber leer y escribir sobre el ciberriesgo no significa que todos los ejecutivos tengan que convertirse en expertos técnicos. Lo que sí significa es que tienen que ser capaces de establecer la tolerancia de su empresa ante el ciberriesgo, definir los resultados que son más importantes a la hora de guiar la inversión en ciberseguridad y ser capaces de fomentar una cultura de ciberseguridad y resiliencia. ### Qué le dicen (y qué no) dicen las evaluaciones de ciberriesgos En su nivel más básico, una evaluación de ciberriesgos de terceros muestra qué tan bien una empresa ha implementado las defensas diseñadas para protegerla de un ciberataque, ya se trate de una interrupción de sus productos y servicios, de una violación de sus datos confidenciales o de un fraude provocado por un ciberataque. Estas evaluaciones también miden qué tan bien se ha preparado una empresa para defenderse de estos ataques y recuperarse de ellos: su ciberresiliencia. Este es un componente fundamental de su estrategia más amplia de gestión de riesgos empresariales. Los riesgos de una débil ciberresiliencia están muy claros: los directores ven un flujo casi constante de noticias de[acceso a la red en venta](https://www.techrepublic.com/article/dark-web-sees-rise-in-postings-selling-access-to-corporate-networks/), [fábrica](https://www.reuters.com/article/us-norsk-hydro-cyber/aluminum-maker-hydro-battles-to-contain-ransomware-attack-idUSKCN1R00NJ) la producción se interrumpe con la consiguiente pérdida de ingresos,[transferencias bancarias fraudulentas](https://www.wsj.com/articles/hackers-in-bangladesh-bank-account-heist-part-of-larger-breach-1458582678), y [incumplimientos](https://www.nytimes.com/2020/05/19/business/easyjet-hacked.html) de la privacidad de los clientes, todo lo cual crea un daño duradero a la reputación de la empresa víctima. Durante la última década, la tarea de entender y cuantificar el ciberriesgo ha recaído principalmente en los directores de seguridad de la información (CISO) y sus equipos, quienes abordaron principalmente el aspecto técnico del problema. Al hacer sus evaluaciones, han tendido a centrarse en el número de ataques anteriores, su impacto y la rapidez con la que se abordaron. Su objetivo, en resumen, ha sido hacer un balance de las defensas establecidas. El problema con este enfoque es que en gran medida mira hacia atrás. Las evaluaciones a veces implican analizar los sistemas de la empresa expuestos a Internet como lo haría un atacante y tratar de determinar qué tan vulnerables son esos sistemas a los ataques. El problema con este enfoque es que, a menudo, no tiene en cuenta los niveles de defensa que las organizaciones pueden tener, incluidos los esfuerzos por engañar intencionalmente a los piratas informáticos que intentan estudiar los puntos débiles de la organización y, por lo tanto, puede reflejar una visión más limitada del riesgo. Sin embargo, la limitación más importante de ambos enfoques es que aíslan las decisiones de ciberseguridad de la empresa a la que deben prestar servicio. Si bien las evaluaciones técnicas pueden ser suficientes para las necesidades del CISO, no ofrecen lo que el consejo realmente necesita: una visión holística, validada y orientada al riesgo de la empresa que tenga en cuenta los impactos financieros y empresariales de la ciberseguridad (o ciberinseguridad) en una empresa determinada. Además, los informes técnicos no reflejan adecuadamente atributos como la gobernanza, la cultura, las prácticas de toma de decisiones o un tratamiento más amplio del perfil y el apetito por el ciberriesgo de una empresa, todos los cuales los directores de consejo de administración y los ejecutivos de empresa deben entender si esperan tomar decisiones informadas sobre si asignar capital a mejorar las ciberdefensas en lugar de invertir en otras áreas de la empresa. ### Cómo obtener la auditoría que necesita Para que una evaluación sea útil para los directores a título estratégico, el consejo de administración debe tener claros sus requisitos, lo que significa que tiene que saber qué pedir. En lugar de aceptar una puntuación a valor nominal, o incluso una evaluación cualitativa por parte de los directores técnicos o los auditores de la empresa, los directores deberían solicitar una evaluación exhaustiva: una que vaya más allá de los detalles técnicos y que incluya una perspectiva externa e interna. Al mismo tiempo, los directores de ciberseguridad deberían trabajar con sus altos directivos y consejos de administración para proporcionar contexto y utilizar la evaluación como una herramienta para compartir los conocimientos que el consejo necesita para garantizar una supervisión eficaz. Cuando se presenta de esta manera (recopilada y compartida por un asesor de confianza), la información sobre ciberriesgos puede compararse con otros riesgos empresariales y, del mismo modo, compararla con oportunidades estratégicas particulares. Esto no generará resultados perfectos, pero mejorará enormemente la comprensión de las empresas sobre su ciberriesgo y proporcionará un camino claro para la evolución de la supervisión a medida que se desarrollen los enfoques. ¿Qué aspecto tiene esto en la práctica? Para tomar las decisiones adecuadas, los directores deben entender qué significa «bueno» para su perfil general de ciberriesgo y qué implica realmente una evaluación holística (interna, externa, comparada, análisis de pérdidas). Además, tienen que fijar expectativas para obtener un resultado que esté a la altura de los objetivos de la empresa. Determinar qué significa «bueno» variará de una empresa a otra. Afortunadamente, esto significa que los directores pueden hacer muchas cosas para garantizar que los componentes básicos estén establecidos y que su empresa pueda lograr los resultados correctos cuando las metodologías de cibercalificación y evaluación maduren. **Defina su apetito por el riesgo:** Lo primero que los directores deben reconocer es que el consejo de administración debe determinar el apetito de riesgo de la empresa con respecto a las pérdidas cibernéticas, al igual que lo hace con cualquier otro riesgo. Tras entender el tema y los tipos de riesgos a los que se enfrenta su empresa, el consejo reconocerá que la ciberseguridad «perfecta» no es alcanzable. Más bien, se dará cuenta de que evaluar el ciberriesgo (y reflexionar sobre cualquier ciberevaluación) exige tener en cuenta detenidamente al menos estas dos preguntas principales: 1) ¿Qué esperan nuestros clientes de nosotros? y 2) ¿Cómo abordan estos riesgos las empresas homólogas? **Centrarse en los resultados:** En lugar de pasar directamente a una comparación de puntuaciones, los líderes tienen que centrarse en los resultados que intentan lograr. El resultado correcto es una combinación del apetito por el riesgo de una organización, las inversiones anteriores y futuras en ciberseguridad y las expectativas de sus clientes, accionistas e incluso los reguladores. Nadie esperaría que un minorista físico tuviera el mismo programa de ciberseguridad y las mismas defensas que uno de los principales bancos o fabricantes de equipo militar. (Pensemos en la situación de un bufete de abogados, que tiene que preocuparse mucho por la violación de los datos de los clientes privados, en comparación con la de una empresa eléctrica, que se preocupa mucho por una interrupción en los servicios). Del mismo modo, los consejos de administración y los líderes empresariales tienen que calibrar sus expectativas determinando su apetito por el riesgo y realizando inversiones en ciberseguridad acordes con sus perfiles sectoriales. Una vez decidido, el consejo debe establecer normas y objetivos internos y hacer que la dirección rinda cuentas por su cumplimiento. **Establecer una cultura de ciberseguridad y resiliencia:**  [Gobernanza y cultura](https://www.weforum.org/whitepapers/advancing-cyber-resilience-principles-and-tools-for-boards) tienen un papel fundamental que desempeñar en cualquier evaluación del ciberriesgo. Las juntas deberían hacer valer sus[función](https://blog.nacdonline.org/posts/cybersecurity-oversight-covid-crisis) para garantizar que estos aspectos del programa de ciberseguridad de la empresa sean primordiales. Si bien actualmente existen diferentes enfoques para medir el ciberriesgo, el resultado correcto siempre comienza con la cultura adecuada. A pesar de que las medidas cambien, la cultura impulsa todos los aspectos de la ciberresiliencia que se pueden medir: la mejora de los procesos técnicos que impulsan la mejora de las puntuaciones externas, la participación de la dirección en la ciberseguridad en relación con las iniciativas empresariales, la participación del consejo de administración a la hora de garantizar la responsabilidad en los objetivos. La cultura también es importante porque sus indicadores fluctúan menos con el tiempo que las medidas tecnológicas, que tienden a cambiar a medida que cambian las tendencias de la informática. Por ejemplo, medir la ciberseguridad en un centro de datos es muy diferente de medir la ciberseguridad en la nube, pero los aspectos culturales de la gestión eficaz de estos entornos son similares. *** A medida que el mercado de las evaluaciones de ciberseguridad evoluciona hacia calificaciones holísticas de ciberseguridad, los directores y líderes empresariales deben prestar especial atención a garantizar que las mediciones subyacentes proporcionen un verdadero punto de referencia comparativo, considerar adecuadamente un equilibrio entre las medidas internas y externas y examinar a fondo los aspectos técnicos, de gobierno y culturales de una organización. Para lograrlo, la transparencia en las metodologías utilizadas para evaluar el riesgo es vital. Pero también es crucial que las organizaciones establezcan y gestionen adecuadamente el apetito por el ciberriesgo, entiendan la gama de impactos financieros que los cibereventos aplicables pueden tener en una empresa y el papel que desempeña una gobernanza buena y bien informada para mitigarlos.

Read more