Evaluación de ciberseguridad previa a una fusión o adquisición: principales preguntas del consejo de administración para los CISO
Este documento —el tercero de una serie de cuatro— ofrece orientación sobre estrategias de comunicación proactivas para los directores de Seguridad de la Información (también conocidos como «CISO», por sus siglas en inglés). En él se explica cómo traducir la información más importante y exponer las medidas que se deben adoptar de una forma que entiendan los directivos, para que pueda centrarse en lo que realmente importa: responder a los incidentes, eventos de seguridad y amenazas, y mitigar las consecuencias para la organización.
Ante un posible ciberataque, el consejo de administración recurrirá a usted en busca de respuestas e información. Tal vez perciba la soledad del cargo, pero no significa que esté completamente solo y a su suerte. De hecho, si demuestra que sus planes y actuaciones están respaldados por las prácticas recomendadas del sector y siguen todas las directrices y requisitos pertinentes, se habrá buscado muy buena compañía. O mejor aún, puede lograr que expertos externos avalen su actuación para tranquilizar a las altas esferas y dejarles claro que ha hecho lo que tenía que hacer para proteger la empresa.
Una vez que el consejo sea consciente de la exposición al riesgo y las medidas adoptadas, es probable que le pregunten: «¿Cómo hemos evaluado la ciberseguridad y qué medidas de control hemos aplicado?».
Preguntas que cabe hacerse:
- ¿Alguna empresa independiente ha validado toda la actuación?
- ¿Quién ha realizado la validación? ¿Cuál ha sido la naturaleza y alcance de dicha validación (detección de amenazas, evaluación de la gravedad del ataque, etc.)?
- Si la validación se ha hecho de manera interna, ¿cómo nos hemos asegurado de que la metodología empleada es totalmente rigurosa?
Evaluación de ciberseguridad previa: ¿cómo sabemos que hemos hecho lo correcto?
La clave de todo está en demostrar al consejo y demás partes interesadas que el análisis se ha llevado a cabo aplicando criterios objetivos. Dicho análisis no solo debe demostrar que la vulnerabilidad o el ataque han podido neutralizarse, sino que además el entorno operativo se ha blindado frente a sucesivos
Las organizaciones que suelen utilizar software de código abierto y que operan en distintos países cada vez se enfrentan a mayores exigencias reglamentarias (como el RGPD y otras normativas de protección de datos). Para estas organizaciones, lo mejor es contratar un servicio externo objetivo que confirme que los riesgos se han neutralizado y que el entorno no es susceptible de sufrir otros ataques derivados.
Existen herramientas y servicios (plataformas de simulación de brechas, expertos independientes, etc.) que permiten a las organizaciones reproducir los exploits y verificar que el entorno de la organización ya no se ve afectado por una determinada vulnerabilidad. Estas herramientas dan mayores garantías al consejo de administración, en tanto que permiten evaluar la seguridad con rigor y acreditar que vuelve a estar «en perfecto estado de salud».
Gestión de los datos de evaluación de riesgos: una tarea compleja
Respaldar las respuestas con informaciones y fuentes de datos sólidas ayuda a demostrar que se ha procedido correctamente. Esto es esencial, pero no es fácil de conseguir. Fijémonos en algo tan simple como evaluar la gravedad de un ataque. ¿Cómo demuestra que la cobertura de la evaluación de la gravedad del ataque es la adecuada? Podría describir la forma en que priorizó los activos, en función quizá de ciertos niveles de criticidad que, a su vez, dependan de un análisis detallado del impacto en la empresa y un esquema de clasificación de datos. En estas circunstancias, es fácil perderse entre un sinfín de datos.
La clave está en poder explicar toda la cadena de decisiones y demostrar que actuó con responsabilidad, aportando pruebas que confirmen que hizo lo correcto al optar por una determinada estrategia de seguridad. Por ejemplo, tendrá que demostrar por qué organizó las tareas de la manera en que lo hizo, y qué acabó haciendo realmente.
Consulte la cuarta parte de esta serie, en la que se explica cómo hay que responder a las preguntas sobre reglamentaciones y cumplimiento normativo.
Descubra en el siguiente vídeo cómo rendir cuentas sobre las evaluaciones de ciberseguridad ante el consejo de administración de su empresa:
Contacte con nosotros
Si necesita servicios de respuesta a incidentes , pregunte por Unit 42 y facilite los datos de su compañía aseguradora de ciberseguridad.
Si cree que su empresa está afectada por la vulnerabilidad de Log4j o ha sufrido algún otro ataque importante, contacte con Unit 42para hablar con un experto. El equipo de respuesta a incidentes de Unit 42 está disponible 24 horas al día, todos los días del año. También puede tomar medidas preventivas solicitando una evaluación proactiva.