Las ciberamenazas son un riesgo empresarial

Los incidentes cibernéticos pueden dañar las operaciones corporativas, la reputación de la marca, la confianza y las condiciones financieras. Pueden paralizar los procesos de generación de ingresos y prestación de servicios y materializarse en multas de carácter legal y regulatorio, lo que repercute negativamente en los resultados financieros y las valoraciones de una empresa. Y en los casos en que están implicadas infraestructuras críticas, esos riesgos también pueden afectar al medio ambiente e incluso poner en peligro vidas humanas. Como resultado, el último informe del Foro Económico Mundial sobre riesgos globales sitúa a la ciberseguridad como el riesgo de sostenibilidad más importante para las empresas, junto con el cambio climático, lo que reafirma por qué las ciberamenazas y la gobernanza de la ciberseguridad se han convertido en cuestiones de primer orden tanto para los reguladores como para los consejos de administración de las empresas.

El creciente riesgo de ciberdelincuencia ha dado lugar a una mayor supervisión

La preocupación generalizada por los riesgos informáticos y la ciberseguridad ha llevado a una mayor atención por parte de los reguladores. En 2002 se promulgaron en Estados Unidos leyes sobre privacidad de datos y notificación de infracciones. Se han implementado regulaciones aún más estrictas en otras regiones, como el Reglamento General de Protección de Datos (GDPR) promulgado por la Unión Europea en 2016 y aplicado desde 2018 y la Ley de Privacidad del Consumidor de California (CCPA) de 2018. Además, la Comisión de Bolsa y Valores de Estados Unidos (SEC) adoptó recientemente requisitos de divulgación de ciberseguridad, dejando claro que la ciberseguridad no es solo una cuestión del área de TI. Por el contrario, es un componente esencial de la estructura más amplia de gestión de riesgos de toda la empresa. Estas normas exigen que las empresas públicas informen de los incidentes importantes de ciberseguridad y comuniquen su estrategia y gobernanza de gestión de riesgos de ciberseguridad, trasladando de hecho las responsabilidades de gestión de la ciberseguridad de las oficinas del CIO y del CISO al consejo de administración.

A medida que los reguladores endurecen los requisitos de cumplimiento, los programas eficaces de gestión de ciberriesgos y ciberseguridad deben aplicarse a nivel del consejo de administración e incluir la participación activa de éste y de los principales ejecutivos de la empresa, como el CIO, el CEO, el CFO, el CSO y el CISO. Para lograrlo, los consejos deben demostrar su experiencia y supervisión a la hora de garantizar el liderazgo y las estrategias apropiadas para gestionar adecuadamente los ciberriesgos dentro de la organización. La alta dirección debe participar en la gestión de los riesgos de ciberseguridad para garantizar que el plan de gestión de toda la empresa esté en consonancia con los objetivos corporativos generales.

La gestión de los ciberriesgos empieza en la alta dirección

Independientemente de la estructura de la organización, los directivos tienen el deber de comprender y supervisar las ciberamenazas críticas que podrían afectar a la organización. Deben supervisar las estrategias, políticas y procedimientos necesarios para mitigar adecuadamente los riesgos y asegurarse de que existe un plan de respuesta para contener el impacto de un compromiso. También tienen que asegurarse de que disponen de sistemas para detectar, investigar y erradicar una intrusión y para cumplir los requisitos contractuales, legales y reglamentarios. Tras la aprobación de la alta dirección, el plan de gestión de los riesgos de ciberseguridad requiere de evaluaciones continuas de las operaciones de negocio de la organización. Estas evaluaciones pueden ayudar a identificar los riesgos empresariales de ciberseguridad y las lagunas y vulnerabilidades de la organización antes de que se produzca una crisis. 

Un programa sólido de seguridad de la información debe basarse en una norma o marco de seguridad reconocido, como ISO y NIST. También debe estar alineado con los requisitos normativos de seguridad y privacidad a los que está sujeta la organización y que son reconocidos por grupos de interés externos, como PCI-DSS, HIPAA, NERC, CJIS, NIS2, GDPR, PIPEDA o CCPA. La obtención de certificaciones de seguridad de la información es esencial para proteger los datos y ofrecer garantías a los clientes e inversores sobre la madurez de la preparación de la organización para defenderse de las ciberamenazas en continua evolución.

La aprobación de políticas y procedimientos por parte de la dirección y el establecimiento de un " clima desde arriba" son esenciales para fomentar la adopción de nuevas herramientas y comportamientos críticos para proteger los activos clave de la organización. Dedicar tiempo a definir las políticas y objetivos de ciberseguridad y a educar al respecto ayuda a garantizar que toda la organización comprenda la finalidad de los controles de seguridad y que se utilicen de forma correcta y coherente. Estas políticas no son documentos estancos, sino que requieren actualizaciones periódicas para reflejar la evolución de la postura de seguridad de la empresa y el panorama siempre cambiante de las ciberamenazas.

Crear una cultura de ciberseguridad a todos los niveles

La ciberseguridad es un deporte de equipo. Cualquier persona de la organización puede ser un objetivo o víctima de un ataque a través de una campaña de phishing o ingeniería social, por un error de configuración accidental o la falta de parches en un sistema vulnerable, o el desarrollo inadvertido de código que un actor de amenazas podría explotar. El estudio de Fortinet 2023 Security Awareness and Training Global Research Brief reveló que el 81% de las organizaciones se enfrentaron el año pasado a ataques de malware, phishing y contraseñas dirigidos a usuarios individuales. También mostró que más del 90% de los líderes creen que una mayor concienciación en ciberseguridad por parte de los empleados ayudaría a reducir la aparición de ciberataques. La formación periódica y la concienciación continua sobre las ciberamenazas más comunes y las técnicas utilizadas por los adversarios son esenciales para construir un "cortafuegos humano" y evitar una brecha de seguridad inicial.

Las organizaciones líderes proporcionan una sólida formación sobre ciberseguridad, exigen a los desarrolladores de software que dominen las prácticas de desarrollo de código seguro y comprueban periódicamente la preparación de sus miembros para detectar ciberamenazas mediante campañas de phishing simuladas, ejercicios de simulación para probar la respuesta a incidentes y la aplicación de prácticas sólidas de detección de amenazas.

Desarrollar una cultura de ciberseguridad puede llevar tiempo, pero la participación activa en todos los niveles de la organización ayuda a garantizar que todos los empleados comprendan el importante papel que desempeñan en la defensa de la organización contra las ciberamenazas. Una formación eficaz ayuda a los usuarios a ser proactivos en la mitigación y corrección de riesgos. Una cultura de ciberseguridad madura crea una organización más ciber-resistente y le ayuda a mantenerse fuera de primera plana.

La ciberseguridad refuerza la resiliencia de las empresas

Durante demasiado tiempo, la ciberseguridad se ha tratado como una mera cuestión tecnológica. No es así. La ciberseguridad debe considerarse un imperativo de la gestión del riesgo empresarial. Dado el impacto potencial de los riesgos de ciberseguridad en la resistencia de las empresas y el aumento de los requisitos normativos en los sectores público y privado, ahora es vital que las organizaciones demuestren que tienen una vigilancia, procesos y procedimientos claros para prevenir, detectar y responder a las ciberamenazas.

Por Pablo García Pérez, Manager Systems Engineering, Fortinet Iberia