Exposición al ciberriesgo: principales preguntas del consejo de administración para los CISO
Este documento —el primero de la serie— ofrece orientación sobre estrategias de comunicación proactivas para los directores de seguridad de la información (también conocidos como «CISO», por sus siglas en inglés). En él se explica cómo traducir la información más importante y exponer las medidas que se deben adoptar de una forma que entiendan los directivos, para que pueda centrarseen lo que realmente importa: responder a los incidentes, eventos de seguridad y amenazas, y mitigar las consecuencias para la organización.
Cuando ha sufrido un ataque o descubre que es vulnerable a un exploit potencialmente devastador (por ejemplo, la ejecución de lavulnerabilidad Log4j)), se suelen desencadenar una serie de actividades que consumen la vida de casi todas las personas relacionadas con el equipo de seguridad. Si usted es el responsable de la seguridad de la información, es consciente de que apenas podrá dormir hasta que la amenaza haya sido completamente evaluada, contenida, mitigada y finalmente eliminada, o al menos neutralizada hasta el punto de que sus operaciones puedan volver a un estado «normal».
Pero los responsables de la seguridad de la información no son los únicos que intentan comprender y minimizar las repercusiones de la vulnerabilidad o el ataque. Otros ejecutivos del equipo también querrán estar al tanto de los avances.
Empecemos por cómo prepararse para responder a la primera pregunta: «¿Cuál es nuestra exposición al riesgo y cómo nos ha afectado?»
Preguntas que cabe plantearse:
- ¿Se han visto afectados los sistemas y datos críticos de la empresa y, en tal caso, qué consecuencias tendrá esto para la empres?
- ¿Qué hemos hecho para limitar la exposición y qué pensamos hacer?
- ¿Qué pasa con los socios estratégicos clave y las terceras partes? ¿Nos exponen a riesgos adicionales?
Cuantificación de la exposición al ciberriesgo: ¿De qué gravedad estamos hablando?
Lo que los ejecutivos y el consejo de administración quieren saber es qué probabilidad hay de que ocurra algo malo y cómo de grave será que ocurra. La exposición al riesgo se calcula como la probabilidad multiplicada por el impacto, pero, obviamente, el consejo no está pensando en ecuaciones. Lo que les preocupa es cómo va a afectar a las funciones críticas de su negocio, cómo proteger los datos clave, cómo mantener a los clientes contentos y, por último, cómo seguir generando ingresos.
A la hora de evaluar el riesgo e informar sobre él, tendrá que analizar todas las redes y sistemas existentes para comprender exactamente el alcance de su exposición. También deberá buscar en toda la empresa para identificar cualquier tercero, socio o elemento de la cadena de suministro que pudiera suponer un riesgo añadido. Para entender lo que están haciendo sus proveedores y socios estratégicos para limitar su propia exposición (y la de usted), seguramente tendrá que ser insistente, pero es mejor resultar pesado a que un fragmento de software o integración le pille desprevenido y haga que sea susceptible a los ataques.
Este análisis detallado le ayudará a responder a las preocupaciones de su consejo de administración sobre qué sistemas, datos y operaciones críticos para la empresa podrían verse afectados y lo que podría suponer para el negocio. También le ayudará a determinar el riesgo y a responder a las casi inevitables preguntas de seguimiento, como: «De nuestros terceros de alto riesgo, ¿cuáles tienen esto bajo control y de cuáles deberíamos preocuparnos más?».
Además, le conviene aprovechar la oportunidad para proporcionar información sobre lo siguiente:
- Sus planes en caso de que el exploit tenga éxito
- Cómo «parar la hemorragia» para seguir ejerciendo las funciones críticas
- Cómo tiene pensado la empresa recuperarse
Esto debería incluir una descripción de todo lo que ha hecho —y está haciendo— para limitar la exposición yaumentar la resiliencia de sus operaciones, incluido su ecosistema empresarial de terceros, para poder seguir funcionando en el día a día.
Indicar las repercusiones para la empresa: el fondo de la cuestión para nosotros
Cuando se habla de repercusiones, lo importante va más allá de las respuestas tácticas de su equipo. Para cubrir todas las posibles repercusiones técnicas y empresariales, hay que pensar de forma global. Por ejemplo, debería evaluar los siguientes temas e informar sobre ellos:
- Costes: ¿Cuánto ha costado responder, recuperar, reconstruir, reemplazar o transformar cualquier aplicación, sistema o infraestructura afectados? ¿Y qué hay de otros costes, como el abandono de algunos empleados y otros intangibles resultantes de la retirada del foco de atención de otras actividades?
- Implicaciones estratégicas: ¿Se ha producido alguna pérdida de ventaja competitiva o de cuota/posición de mercado?
- Daños a la reputación: ¿Se han producido cambios en la satisfacción o fidelidad de los clientes? ¿Ha afectado a las relaciones con los inversores o al ecosistema de socios?
- Cuestiones de cumplimiento legal y normativo: ¿Ha afectado a las obligaciones de cumplimiento normativo o generado algún problema legal? Por ejemplo, ¿existe la posibilidad de que los inversores/clientes interpongan demandas? ¿Y de que la empresa tenga que pagar alguna multa? ¿Se ha expuesto algún dato regulado o confidencial? ¿Se están tomando medidas razonables para proteger los datos de los clientes? ¿Y cómo puede la empresa demostrar que se está actuando con la debida diligencia para garantizar su seguridad? (La FTC advirtió recientemente de que tiene intención de utilizar toda su autoridad legal para perseguir a las empresas que no tomen medidas razonables para proteger los datos de los clientes de la exposición a vulnerabilidades críticas conocidas).
- Interrupciones operativas: ¿Se han visto afectados los servicios o la cadena de suministro? ¿Se ha retrasado o puesto en peligro alguna iniciativa estratégica debido a estas actividades? ¿Cuáles son las medidas de resiliencia puestas en marcha para minimizar los impactos futuros?
Si acude a las reuniones con las respuestas a estas preguntas, le resultará más fácil explicar al consejo de administración a qué se enfrenta y cómo piensa abordarlo para mantener unos niveles de riesgo aceptables.
Consulte la segunda parte de esta serie, en la que veremos cómo responder a la pregunta: «¿Se ha gestionado adecuadamente la situación y la tenemos controlada?».
Descubra en el siguiente vídeo cómo abordar la exposición al ciberriesgo y otros asuntos clave ante el consejo de administración:
Contacte con nosotros
Si necesitaservicios de respuesta a incidentes,pregunte por Unit 42 y facilite los datos de su compañía aseguradora de ciberseguridad.
Si cree que su empresa está afectada por la vulnerabilidad de Log4j o ha sufrido algún otro ataque importante, contacte con Unit 42 para hablar con un experto. El equipo de respuesta a incidentes de Unit 42 está disponible 24 horas al día, todos los días del año. También puede tomar medidas preventivas solicitando una evaluación proactiva.