REVISTA DYNA MANAGEMENT

La realidad de la ciberseguridad en la empresa hoy es rotunda: los malos siguen ganado. Los enfoques tradicionales orientados al cumplimiento están obsoletos y no son suficientes. A pesar del crecimiento en la inversión en seguridad y de la proliferación de soluciones tecnológicas que reclaman ser la solución -siempre puntual- para la vulnerabilidad A o el tipo de ataque B, el nivel de protección de los negocios es inadecuado, lo que es públicamente reconocido por el mercado, como muestra el 'Informe Seguridad de Alto Rendimiento' de Accenture de 2016.

Este informe revela importantes contradicciones, dado que mientras que los encuestados muestran confianza en sus estrategias de ciberseguridad (un 75%) y declaran que la ciberseguridad está completamente embebida en la cultura de la organización y es una preocupación de los Consejos de Dirección (un 70%), se refleja al mismo tiempo que las compañías están sufriendo un nivel extraordinario de ataques dirigidos: más de 100 intentos al año, de los cuales un tercio termina en una brecha de seguridad, por tanto, entre 2 y 3 ataques al mes que alcanzan su objetivo. Esta realidad muestra una seria desconexión entre la teoría y la realidad: el negocio está, de verdad, en peligro.

¿Por qué? El negocio requiere soluciones extremo a extremo que protejan de forma completa su superficie de ataque, lo que solo es posible con un conocimiento profundo de la industria, con una visión global, especialización industrial e innovación como elementos imprescindibles. Todo ello mediante un enfoque basado 100% en el conocimiento de la cadena de valor del negocio y las amenazas específicas en cada elemento de la misma. La aplicación de este enfoque holístico es todavía un reto no alcanzado por la mayoría de las organizaciones.

Entonces, ¿cómo poner en marcha y llevar a cabo con éxito un enfoque que cubra realmente estos objetivos? Desde Accenture recomendamos hacer 'reset' de los programas actuales de ciberseguridad considerando los siguientes factores de cambio:

1. Liderar desde el Top Management de la compañía: Es el elemento fundamental para hacer el reset. El CEO debe ponerse al frente de la ciberseguridad de su empresa. Por supuesto, el CISO seguirá jugando un papel fundamental, pero todos los actores (con el Comité de Dirección al frente) deben cambiar su rol.
2. Convertir la ciberseguridad en un trabajo de todos: Las grandes organizaciones llevan años ejecutando programas de concienciación en seguridad a los empleados, algunas incluso los extienden más allá, tanto al empleado en su entorno personal como familiar. La percepción es que los programas tradicionales están agotados y es necesario revitalizarlos.

La revitalización de estos programas permitiría a una compañía poner en valor que sus empleados tienen comportamientos ciberseguros. ¿Cómo de importante será esto en el futuro de cara a reforzar incluso la confianza digital de los clientes? ¿Podría ser este un valor diferencial de marca y reputacional?

Probar las capacidades de ciberseguridad mediante simulaciones de ataques: Los 'white hat' hackers deben ser un elemento imprescindible para probar de forma continua que las capacidades de detección y respuesta de una organización son las adecuadas. La simulación de ataques avanzados debe ser cuidadosamente planificada y ejecutada como parte de un plan anual que permita su integración en un ciclo de mejora continua. Obviamente, con un foco centrado en los activos críticos de la compañía en sentido amplio (los directivos, las infraestructuras no TIC...) estos hackers tienen la misión de poner a prueba a la organización y colaborar en la ejecución de los planes de mejora. Una estrategia adecuada y una inversión proporcionada en estas simulaciones de ataque tiene beneficios a corto plazo, muy por encima de las costosas inversiones en tecnología y procesos en Centros de Operaciones de Seguridad (SOC) de vieja generación que todavía se realizan.

• Invertir en Innovación: Ciberseguridad e innovación deben ser conceptos indivisibles en el contexto que hemos descrito: los hackers tienen tiempo, medios y motivación para llevar la delantera a las empresas y de facto, están ganando. Asumiendo el hecho de que un nivel de protección 100% es inalcanzable, la innovación es una palanca imprescindible para 'mantenerse cerca' de los malos. La rápida evolución del IT empresarial hacia entornos cloud, la rápida adopción de Big Data o la universalización del acceso a la información, está incrementando el gap de seguridad de las compañías, ampliando la superficie de ataque y por tanto, invitando a los malos a atacar. Solo mediante la innovación se podrán incrementar las capacidades de protección, detección y respuesta. ¿Cuántos SOC actuales incorporan estas capacidades como parte intrínseca de su misión? Muy pocos...
• Estar preparado para responder ante una crisis derivada de un ciberataque: Las compañías realizan de forma periódica pruebas de sus procesos de continuidad de negocio y recuperación ante desastres en sus infraestructuras TIC. Algunos de estos escenarios de desastre simulan situaciones altamente improbables, así que ¿cómo no estar preparado y hacer ejercicios periódicos ante algo -los ciberataques- que es reconocido que está pasando? Existen múltiples ejemplos donde el principal punto débil de una organización que ha sufrido un ciberataque ha sido su capacidad de respuesta, la comunicación con empleados, accionistas, medios de comunicación... y donde el resultado ha sido el cese de sus ejecutivos. Parece, pues, un motivo suficiente para estar preparado.
• Entender las implicaciones legales: La tormenta regulatoria que acecha Europa, tanto en normativas transversales como verticales (en industrias hiperreguladas como la Banca), viene a refrendar la importancia de un enfoque holístico de la ciberseguridad que dote de unos niveles de protección adecuados a la información crítica de una compañía, empezando por los datos de sus clientes. Adicionalmente, el Código Penal en España recoge la responsabilidad de las personas jurídicas y, por tanto, los administradores de las empresas deben saber las implicaciones penales y las multas a las que estarán sometidos por las autoridades competentes. El contexto legal viene por tanto a refrendar la implicación ineludible de la Dirección. Como resumen de estos seis puntos es evidente que... el rol del CISO cambia... es obligatorio que otros 'niveles C' de la compañía tomen liderazgo y... que el momento es ahora o nunca... ¿preparados?