Capítulo 1. La Ciberseguridad en la Era de la Transformación Digital La ciberseguridad en la era de la transformación digital
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
Una pandemia mundial paraliza las plantas de fabricación en China, provocando escasez de suministros y ralentizaciones en fábricas desde Detroit a Yokohama. Un avión de pasajeros etíope cae en picado misteriosamente minutos después de despegar, matando a todos los que iban a bordo; y menos de seis meses después, al otro lado del mundo, la misma marca y modelo de avión se estrella casi exactamente de la misma manera. Un desconocido manipula los sistemas de control de una planta de tratamiento de agua de Florida y multiplica por más de 100 la cantidad de un producto químico que normalmente se utiliza con seguridad en el tratamiento del agua, pero que es letal a niveles más altos. Un extorsionador utiliza inteligencia artificial (IA) para recrear de forma convincente la voz de una persona para fingir un secuestro, y los funcionarios electorales de todo el mundo temen que las mismas técnicas de "deepfake" -que también pueden manipular imágenes- se utilicen para socavar las elecciones democráticas. Un ciberataque ruso a un sistema de navegación por satélite utilizado por el ejército ucraniano paraliza turbinas eólicas a cientos de kilómetros de distancia, en Alemania. Y un atacante solitario pide rescate por un importante sistema de oleoductos, provocando una escasez masiva de combustible en toda la costa este de EEUU.
Estos sucesos son ejemplos dramáticos de lo frágiles que son hoy nuestra vida cotidiana y los sistemas y procesos de los que depende. Este complejo e intrincado conjunto de interconexiones se debe a la abrumadora dependencia del mundo de las tecnologías digitales para la comunicación y la colaboración, y a los riesgos sin precedentes que han introducido -y siguen introduciendo- a un ritmo radicalmente acelerado. Las empresas de todo el mundo se enfrentan ahora a amenazas que habrían sido inimaginables hace tan sólo unos pocos años. Las amenazas pueden ser muy perjudiciales para los intereses financieros y, en algunos casos, incluso llevar a las empresas a la quiebra, y no sólo por los fallos a la hora de hacer frente a las ciberamenazas, sino por la competencia: la capacidad de una empresa para asumir riesgos y avanzar más rápido que su competidora, ambas digitalizándose a un ritmo competitivo. Las organizaciones de seguridad se esfuerzan por seguir el ritmo de los importantes retos que representan esas amenazas y vulnerabilidades, y a menudo se quedan cortas.
Este libro presenta un camino a seguir en este nuevo panorama empresarial y tecnológico radicalmente diferente y amenazador. El enfoque, que se basa en las décadas de experiencia de los autores en este campo, parte de la premisa de que la forma de que una empresa se proteja hoy y mañana es desarrollar un programa integral de gestión de riesgos cibernéticos para toda la empresa. El libro se dirige a una amplia gama de partes interesadas de la empresa -no sólo a los profesionales de la seguridad- para orientar las decisiones estratégicas y los parámetros de ejecución en toda la empresa. La clave está en definir, desarrollar e implantar un programa de gestión del ciberriesgo.
Los reguladores de todo el mundo se están centrando más intensamente en la forma en que las empresas gestionan sus riesgos cibernéticos, cómo establecen su tolerancia al riesgo, si lo ejecutan de acuerdo con esa tolerancia y si existe una supervisión adecuada de este enfoque programático. Los tribunales se están centrando cada vez más en la responsabilidad personal de los consejos de administración, los directores generales y otros directivos de las empresas, incluidos los directores de seguridad de la información (CISO), en lo que respecta a su supervisión de la gestión de los riesgos cibernéticos. La falta de un programa, y los resultados de un programa por sí mismos, pueden ser la base de esa responsabilidad.
Muchos lectores, especialmente los profesionales de la seguridad con experiencia, reconocerán algunos o todos los componentes de un programa de gestión de ciberriesgos tal como lo presentamos, y es probable que ya estén practicando algunos de ellos, al menos en parte. Los profesionales de la seguridad son, por definición, profesionales del riesgo (éste es un concepto importante sobre el que volveremos una y otra vez). Su experiencia en la gestión de riesgos resultará inestimable a la hora de diseñar y aplicar un programa de gestión de ciberriesgos. Lo que distingue a nuestro enfoque es que reúne todos estos componentes y más en un programa integral y formal diseñado para proteger a toda la empresa y a muchas de sus partes interesadas contra toda la gama de riesgos presentes y futuros.
En este libro, profundizaremos en la definición de un programa formal de gestión de riesgos cibernéticos a través de diversas fuentes autorizadas, alineando normas globales, reglamentos, casos judiciales y fuentes influyentes con un marco que respalde los elementos fundacionales del programa definido. Aunque el libro no será un enfoque práctico de las tácticas de gestión de riesgos, hará referencia a muchas prácticas de riesgo y proporcionará ejemplos que podrían aplicarse en el programa.
¿Por qué un programa de gestión del ciberriesgo ahora? La transformación digital ha introducido un elemento cibernético en todos los aspectos de la seguridad y ha hecho de la ciberseguridad una de las preocupaciones más urgentes para las empresas de todo el mundo en los últimos años, y no sólo para los profesionales de la seguridad, sino también para todos los dirigentes.
La Cuarta Revolución Industrial
El término Cuarta Revolución Industrial -a vecesllamado Industria 4.01-fue popularizado en la década de 2010 por el economista Klaus Schwab, fundador del Foro Económico Mundial (FEM). El concepto se define comúnmente como un cambio rápido, y que se acelera rápidamente, en los sistemas y procesos impulsado por la creciente interconectividad y automatización de las tecnologías de forma que se difuminan las distinciones entre los mundos físico y digital. Estas tecnologías incluyen la inteligencia artificial (IA), la robótica avanzada, la comunicación máquina a máquina (M2M) , las redes de dispositivos autónomos que conforman el Internet de las Cosas (IoT), y muchas más que están en el horizonte. Y a medida que estas tecnologías interactúan de formas nuevas, inesperadas e impredecibles, están impulsando cambios sociales, políticos, económicos y culturales a una velocidad nunca vista en la historia de la humanidad.
Nota
Un informe del FEM de 2016 sobre la Cuarta Revolución Industrial dice: "La velocidad de los avances actuales no tiene precedentes históricos. En comparación con las revoluciones industriales anteriores, la cuarta está evolucionando a un ritmo exponencial y no lineal. Además, está trastornando casi todas las industrias de todos los países. Y la amplitud y profundidad de estos cambios anuncian la transformación de sistemas enteros de producción, gestión y gobierno."2
Para entender los cambios drásticos que estamos experimentando ahora, demos un paso atrás para ver cómo hemos llegado hasta aquí, concretamente los cambios históricos que los precedieron:
-
La Primera Revolución Industrial de utilizó el agua -reactores que hacían girar ruedas de molino y calderas de carbón que alimentaban calderas de vapor- para impulsar la producción manufacturera (acerías y fábricas textiles) y el transporte (trenes y barcos).
-
La Segunda Revolución Industrial electrificó estos procesos, haciendo posible una verdadera producción en masa.
-
La Tercera Revolución Industrial se basaba -y se basa, porque sigue haciéndolo- en la electrónica, utilizando la automatización y el intercambio de información para impulsar mejoras en la eficacia operativa.
-
La Cuarta Revolución Industrial proporciona eficiencia operativa e innovación a una velocidad inimaginable hace unos años. Está impulsada, sobre todo, por la digitalización de los sistemas, aplicaciones, dispositivos y procesos existentes, y -lo que es más importante- por la creación continua, permanente y rápida de nuevas tecnologías digitales.
En el futuro, es probable que el mundo recuerde la Cuarta Revolución Industrial como un cambio más radical, drástico y fundamental que sus tres predecesoras juntas. Se basa en todas ellas, especialmente en la Tercera, con una velocidad, un alcance y un impacto antes inimaginables. Es como si todos los grandes avances tecnológicos anteriores -la bombilla eléctrica, el automóvil, la radio y la televisión, todo- se produjeran al mismo tiempo .
Hay son cinco tendencias clave que afectan a las empresas y a los riesgos a los que se enfrentan:
- Convergencia industrial
- Todas las industrias de están cambiando, y el ciclo de cambio se acelera constantemente. Los nuevos ecosistemas, modelos de negocio y comportamientos de los consumidores están difuminando las fronteras de la industria en todos los segmentos del mercado. Y las empresas que colaboran con terceros en ecosistemas industriales -a veces incluso con competidores directos- se enfrentan a riesgos desconocidos hasta ahora, porque inevitablemente ceden cierto grado de control a las otras partes.
- Globalización
- Cuando las personas y organizaciones implicadas en la cadena de valor -fabricantes, proveedores, socios, clientes- están repartidas por todo el mundo, las empresas tienen que reconocer que los riesgos a los que se enfrentan son diferentes, altamente impredecibles y a una escala a la que nunca antes habían tenido que enfrentarse.
- Expectativas de supervisión
- Las empresas están siendo vigiladas más de cerca que nunca por legisladores, reguladores, organizaciones industriales y de consumidores, y una amplia gama de otras partes interesadas. Y todas esas partes esperan -y en muchos casos exigen- una mayor supervisión de las prácticas empresariales.
- Impugnaciones de acciones legales
- A menudo, las acciones empresariales -y la inacción, como en el caso de sucesos de ciberseguridad como las violaciones de datos- acaban en demandas judiciales perjudiciales.
- Un panorama normativo cambiante
- Los requisitos reglamentarios son cada vez más complejos y rigurosos, y a menudo más contradictorios. Esto aumenta tanto los riesgos de incumplimiento como la dificultad y el gasto de gestionar esos riesgos.
Todas estas tendencias se caracterizan por dos factores radicalmente perturbadores: velocidad y volatilidad. Todo está ocurriendo a un ritmo drásticamente acelerado, y la propia aceleración se acelera constantemente -los mercados, la política, los comportamientos de los consumidores-, haciéndolo todo más complejo, inestable, difícil de predecir y más difícil de gestionar. El resultado es que las empresas no tienen más remedio que volverse más ágiles que nunca y seguir perfeccionando y mejorando su agilidad a través de su toma de decisiones sobre riesgos.
La transformación digital ha hecho posible que los fabricantes logren eficiencias operativas y logísticas que habrían sido impensables hace sólo unos años. Veamos un ejemplo sencillo de cómo funciona: el diseño, las pruebas, la fabricación, el envío y la instalación de un semiconductor para su uso en un vehículo eléctrico (VE). El proceso comienza con un equipo de diseño en California que entrega las especificaciones del chip, probablemente con una serie interminable de actualizaciones de última hora, a una instalación en China encargada de desarrollar un prototipo. Cuando el prototipo está listo, se envía al fabricante de automóviles de Michigan para que lo pruebe. Si el prototipo es satisfactorio, las especificaciones se envían a otra planta, en un lugar distinto de China, donde un fabricante diferente empieza a abastecerse de las tierras raras y otros materiales que entran en el chip y a planificar un calendario de fabricación. Y aquí hay un punto importante al que volveremos más adelante: todos estos puntos diferentes del proceso pueden ser gestionados por entidades distintas. No tienen por qué formar parte de la misma estructura organizativa ni pertenecer todos a la misma empresa, y en la mayoría de los casos no será así. Sin embargo, todas formarán parte del mundo digitalizado, lo que obligará a todos los implicados a replantearse los procesos y la interacción, con los riesgos digitalizados incorporados por el camino.
Supongamos que el proceso de fabricación ha transcurrido sin contratiempos y el primer envío de semiconductores está listo para salir. Las tecnologías digitales permiten seguir ese envío hasta el nivel más granular. Eso significa que, en cualquier momento, el fabricante sabe exactamente dónde se encuentra un semiconductor concreto, no sólo en el mundo, sino en qué contenedor de transporte, en qué bodega de qué barco y en qué puerto. ¿Por qué es importante? Porque permite al fabricante planificar su programa de producción con absoluta precisión. El chip llegará justo a tiempo para ser insertado en el salpicadero del VE. La producción no se retrasará, y el fabricante no tendrá los costes y riesgos añadidos de tener a mano suministros innecesarios -suministros que podrían ser robados o dañados mientras están en un almacén-. Y esta eficiencia es posible gracias a la conectividad digital, que impulsa esta "economía justo a tiempo" y a la comunicación e intercambio de información en tiempo real que permite.
¿Cómo de rápidos son los cambios que impulsan estas tendencias? Un excelente indicador de la velocidad del cambio es el Standard and Poor's 500 (S&P 500), uno de los índices bursátiles más antiguos e importantes de EEUU. En 1969, no hace mucho más de medio siglo, las empresas industriales tradicionales, esencialmente manufactureras, constituían un tercio de las 500 empresas cotizadas. Hoy sólo cotizan 68 industriales, empatadas en el primer puesto con las empresas de tecnología de la información. Aún más asombroso es el cambio en lavida útil de las empresas que cotizan en S&P, el periodo en el que S&P considera que son lo bastante importantes como para representar un punto de referencia de la economía. Según de Innosight, el periodo medio de cotización de una empresa en S&P era de 33 años en 1964, y S&P prevé que habrá descendido a sólo 12 en 2027.
¿Cuál es la conclusión? Las empresas tienen que moverse rápido. Moverse rápido también significa asumir riesgos. Parte del equilibrio en el diálogo riesgo-recompensa implica mantener un equilibrio entre distintos riesgos. En este caso, el riesgo cibernético puede ser a costa de la eficacia y la financiación de otros proyectos, así como a costa de perder terreno frente a competidores que pueden estar dispuestos, o ser capaces, de asumir más riesgos. Un buen programa de gestión del ciberriesgo, que proporcione información oportuna y fiable sobre los riesgos, debería permitir a las empresas ir más deprisa, sabiendo lo que hay a la vuelta de la esquina. Identificarán los riesgos más rápidamente, y serán más conscientes de la latencia de sus frenos en caso de que necesiten utilizarlos. Esto representa claramente una ventaja estratégica en este entorno digitalizado.
Los cambios radicales creados por la Cuarta Revolución Industrial -nacen nuevas tecnologías y nuevos modelos empresariales, y mueren los antiguos- representan el ejemplo más reciente y extremo del proceso que el economista austriaco Joseph Schumpeter denominó "destrucción creativa". Y la economía mundial nunca ha vivido un periodo más intenso de destrucción creativa que el que está atravesando ahora, impulsado casi en su totalidad por la transformación digital. Las tecnologías digitales están abriendo oportunidades creativas para las empresas innovadoras y con visión de futuro, incluso cuando están destruyendo literalmente las empresas que no han sabido innovar o que simplemente no han sabido innovar con la suficiente rapidez. Y lo que es más importante para los responsables de la seguridad que lean este libro, las tecnologías digitales han hecho que las empresas, sus operaciones y sus procesos sean más vulnerables que nunca. Esta vulnerabilidad y fragilidad se hizo dolorosamente más clara con un acontecimiento que literalmente no tenía precedentes en la memoria viva, del que hablaremos en detalle más adelante en este capítulo: la pandemia COVID-19.
La penetración de las tecnologías digitales en nuestra vida profesional y personal es ya tan completa que la mayoría de nosotros la damos por sentada. Y, con demasiada frecuencia, eso significa que no reconocemos los cambios radicales que ha provocado, las repercusiones dramáticas que está teniendo en nuestra vida profesional y, sobre todo, lo dependientes que somos de todas esas tecnologías. Sin ese reconocimiento, no podemos protegernos adecuadamente, ni siquiera identificar, los riesgos cada vez mayores que introduce la digitalización. Por supuesto, esto también se extiende ahora más allá de la empresa, a terceras partes .
En un mundo transformado por las tecnologías digitales, la gestión de los riesgos de seguridad debe cambiar radicalmente para seguir el ritmo de los constantes cambios impulsados por lo digital en el entorno empresarial.
La ciberseguridad es fundamentalmente una práctica de riesgo
En este mundo complejo, rápidamente cambiante e intrincadamente interconectado, no existe un entorno de riesgo cero. Desde los inicios de la civilización, los barcos se hundían, las cosechas fracasaban, las caravanas de la Ruta de la Seda que unía Europa y Asia -un ejemplo temprano de lo que hemos dado en llamar cadena de suministro- eran atacadas por bandidos. Las empresas siempre han necesitado asumir riesgos para adaptarse, innovar, competir y sobrevivir. Todos los aspectos de la actividad empresarial, de un modo u otro, implican la gestión del riesgo. (Esto también ha sido siempre cierto. Los mercaderes del antiguo Egipto contrataban seguros para sus envíos hace más de tres mil años). He aquí un ejemplo más actual: las decisiones presupuestarias de un director financiero de representan un proceso de gestión del riesgo, ya que decide cómo repartir los recursos entre la fabricación, la investigación y el desarrollo, el marketing, la recompra de acciones y, por supuesto, la seguridad. Cada dólar, euro, rupia o yen asignado a un área tiene que restarse de alguna otra, y la directora financiera tiene que caminar por una fina línea entre los costes, por un lado, y los riesgos, por otro.
No existe un entorno de riesgo cero. El papel de un programa de gestión de riesgos de ciberseguridad es ayudar a los responsables de la toma de decisiones de la empresa a comprender los riesgos a los que se enfrentan y guiarles a través de un proceso de toma de decisiones informado sobre los riesgos.
Esto es tan cierto para el profesional de la seguridad de como para el director financiero. Los profesionales de la seguridad, sea cual sea su función, sea cual sea su posición en la empresa, no deberían intentar eliminar todos los riesgos, no sólo porque no puede hacerse, sino porque es una pérdida poco constructiva de su valioso tiempo y recursos. (Éste es un concepto que la mayoría de la gente entiende intuitivamente, porque todos tomamos decisiones basadas en el riesgo constantemente en nuestra vida cotidiana. Un ejemplo sencillo: alguien que llega tarde a una reunión de negocios puede tener que sopesar el riesgo de una multa por exceso de velocidad frente a la recompensa de un nuevo cliente). Por el contrario, deberían trabajar con las principales partes interesadas de la empresa para definir el equilibrio adecuado entre riesgo y recompensa, establecer niveles aceptables de riesgo y desarrollar medidas adecuadas de seguridad y gestión del riesgo.
Un profesional de la seguridad es, por definición, un profesional de la gestión de riesgos.
Los profesionales de la seguridad siempre han practicado la gestión de riesgos, por supuesto. Pero han tendido a enfocar la gestión de riesgos de forma ad hoc, abordando los riesgos y las amenazas y vulnerabilidades cuando y si surgen y se identifican. Eso es natural, porque siempre ha sido difícil predecir los riesgos y prepararse para ellos, pero ya no es un enfoque adecuado en un mundo vuelto del revés y al revés por la digitalización. Muchos profesionales de la seguridad ya lo reconocen y están trabajando para madurar sus prácticas, pero aún queda mucho trabajo por hacer. Creemos que la seguridad y la gestión de riesgos como disciplinas profesionales deben madurar significativamente, y que una organización de seguridad sólo puede conseguirlo poniendo en marcha programas formalizados de gestión de riesgos de seguridad.
La seguridad tiene que madurar para hacer frente a la velocidad necesaria de los riesgos emergentes y satisfacer las necesidades cambiantes de la empresa, y esto sólo puede lograrse mediante un programa integral de gestión de los ciberriesgos.
Esto representa un conjunto de cambios fundamentales en la forma en que funciona la seguridad, y no hay duda de que abordarlos supondrá un reto para muchos profesionales de la seguridad. El cambio siempre es difícil, y cambios tan radicales como los provocados por la transformación digital serán sin duda especialmente difíciles. Es importante que los profesionales de la seguridad que lean este libro reconozcan que los nuevos enfoques de seguridad basados en el riesgo impulsados por la transformación digital no sólo plantean retos. También significan nuevas oportunidades de compromiso y desarrollo profesional y personal.
Los profesionales de la seguridad que consideran que su papel consiste en trabajar con las partes interesadas clave para identificar y lograr el equilibrio adecuado entre riesgo y recompensa no sólo ayudarán a proteger mejor a la empresa, aunque sin duda lo harán. También ayudarán a garantizar que esas partes interesadas les vean como iguales y compañeros en la toma de decisiones estratégicas, y no simplemente como personal técnico que instala software antivirus o implanta VPN. En resumen, esto significa que la seguridad debe tener un asiento en la mesa donde se toman las decisiones importantes. Pero conseguirlo no será necesariamente fácil. Requerirá que los profesionales de la seguridad amplíen y aumenten su ya extenso conjunto de habilidades tecnológicas. Probablemente también tendrán que desarrollar habilidades en áreas que históricamente no se han considerado "seguridad" o "tecnología", por ejemplo, aprender a comunicarse con los líderes empresariales en términos que entiendan y encuentren accesibles. Y eso requerirá que cultiven una comprensión más rica y matizada de los cambios que están remodelando el mundo, la empresa y la madura disciplina de la gestión de riesgos.
Supervisión y responsabilidad de la gestión del riesgo cibernético
Está claro que lo que se está transformando no es la tecnología, sino que es la tecnología la que te está transformando a ti.
Jeanne W. Ross, Centro Sloan de Investigación de Sistemas de Información del MIT
En la era actual de volatilidad, no hay otro camino que reinventarse. La única ventaja sostenible que puedes tener sobre los demás es la agilidad, eso es todo. Porque nada más es sostenible, todo lo demás que crees, alguien lo replicará.
Jeff Bezos, "Transformación digital y cómo convertirse en una empresa ágil"
La práctica y la supervisión de la gestión de estos riesgos han captado la atención de los reguladores y los tribunales.
Un nuevo conjunto de normas publicado por la SEC, por ejemplo, exige que las empresas que cotizan en bolsa informen sobre incidentes importantes de ciberseguridad en un plazo determinado, e informen sobre su gobernanza, gestión de riesgos y estrategias de ciberseguridad. La transformación digital hace que todo acontecimiento "malicioso" sea un acontecimiento cibernético, lo que significa que la ciberseguridad es fundamental en todos los aspectos de la seguridad de la empresa y en la toma de decisiones sobre el riesgo empresarial. Los reguladores del sector también se centran cada vez más en la gestión del ciberriesgo y la supervisión de sus programas.
Como analizaremos en detalle en el Capítulo 2, los tribunales también han ido estrechando su enfoque sobre quién tiene la responsabilidad de establecer los esfuerzos de las empresas para gestionar estos riesgos, no necesariamente las decisiones cotidianas, sino los programas de riesgo reales. Los consejos de administración y los directivos de las empresas, incluido el CISO, están experimentando una nueva responsabilidad que deben ejecutar y que se suma a su esperada ejecución táctica responsable: la gestión de los ciberriesgos.
La pregunta "¿por qué ahora?" también está motivada por estas responsabilidades de supervisión. Un programa de gestión de riesgos cibernéticos puede ayudar a proporcionar un programa más defendible, basándose en las normas existentes, la jurisprudencia anterior y las orientaciones proporcionadas por los proveedores de formación a nivel de consejos de administración, concretamente la Asociación Nacional de Directores de Empresas (NACD) y el FEM.
Transformación digital y maduración del programa de gestión de riesgos cibernéticos
En los últimos años, hemos asistido a un asombroso aumento de los ciberataques: en volumen, gravedad y sofisticación. Hay muchas razones, entre las que se incluyen algunas enumeradas aquí: un aumento espectacular del trabajo a distancia , una mayor exposición debido al uso de dispositivos propiedad de los empleados , y la creciente dependencia de el IoT . Y el impacto se está dejando sentir. Un estudio publicado en noviembre de 2021 mostró que el 81% de las organizaciones mundiales habían experimentado un aumento de las ciberamenazas y habían sufrido tiempos de inactividad debido a riesgos de ciberseguridad (McAfee Enterprise y FireEye). Y los ingresos mundiales de la ciberdelincuencia de para 2022 se han estimado en la asombrosa cifra de 8,4 billones de dólares.
El ritmo cada vez mayor de creación de nuevas tecnologías presenta a las empresas un conjunto de riesgos que cambian con la misma rapidez. Esto demuestra claramente que la ciberseguridad como función y disciplina ha ido mucho más allá de la mera protección de sistemas y datos, y que ya no es sólo problema de la organización de seguridad.
La ciberseguridad no es sólo una preocupación de "seguridad"
Aunque la ciberseguridad es obviamente uno de los principales focos de atención de los profesionales de la seguridad empresarial, afecta a un enorme abanico de roles y funciones empresariales, porque los ciberriesgos afectan a todas esas funciones. Por eso esperamos que este libro sea leído por, e influya en, no sólo profesionales de la seguridad , sino también muchos otros responsables de la toma de decisiones empresariales. Echemos un vistazo a algunas de esas personas, y hablemos de por qué necesitan tomar medidas para abordar los problemas de ciberseguridad (ver Tabla 1-1).
| Posición | Funciones y responsabilidades relacionadas con el riesgo | Ventajas del programa de gestión del ciberriesgo |
|---|---|---|
| Director (miembro del consejo) | Supervisa las prácticas corporativas y garantiza la independencia. | Un sistema defendible para ejercer las obligaciones de supervisión de la gestión de los ciberriesgos con una comprensión de los riesgos críticos para la empresa. |
| Funcionario de empresa (CxO) | Supervisa e informa al consejo de riesgos críticos que puedan ser importantes para la empresa. Revisa y aprueba los planes de mitigación recomendados. | Informado adecuadamente de los riesgos con los datos y conocimientos disponibles para mantener la relevancia y competitividad en el mercado, proporciona orientación estratégica en todo el negocio sobre la ejecución adecuada a una tolerancia definida. |
| Líder de la unidad de negocio | Proporciona información sobre los riesgos específicos de las unidades de negocio y las funciones corporativas. | Proporciona acceso a información sobre riesgos relevante para la toma de decisiones de la unidad de negocio. |
| Responsable de seguridad de la información | Permite monitorear el entorno de riesgo, guiar al negocio en el establecimiento de niveles de riesgo aceptables y garantizar la alineación con las estrategias de mitigación establecidas. | Ofrece un caso de negocio presupuestario continuo alineado con el apetito de riesgo de la empresa. |
| Responsable de cumplimiento o de riesgos | Ofrece recomendaciones de identificación y mitigación de riesgos en primera línea. | Actúa como canal establecido para la escalada y la visibilidad empresarial. |
| Asesor general/jurídico | Orienta la estrategia legal de la organización y su enfoque de la ciberseguridad (revisando los requisitos normativos, gestionando los riesgos legales relacionados con la ciberseguridad y supervisando la respuesta de la organización a cualquier incidente de ciberseguridad desde una perspectiva legal). | Proporciona al equipo jurídico una comprensión clara de la postura de riesgo cibernético de la organización, lo que les permite estar informados de forma proactiva y abordar posibles problemas legales. Esta claridad les permite proporcionar un asesoramiento jurídico más preciso e informado. |
| Propietario de la función cibernética o profesionales | Proporciona información sobre los riesgos de sus áreas específicas de riesgo para la seguridad, que puede agregarse. Ejecuta la estrategia de mitigación acordada y realiza un seguimiento de su rendimiento. |
Alinea los objetivos organizativos con las operaciones tácticas diarias (dando un mayor propósito a la función). |
| Auditor | Comprueba de forma independiente el diseño y el funcionamiento del programa de gestión de riesgos cibernéticos. | Programa claramente definido con un diseño que pueda evaluarse. |
La ciberseguridad es también una preocupación más amplia , que implica a empresas enteras , industrias, y las organizaciones que las representan. He aquí algunas de las más críticas (ver Tabla 1-2).
| Sectora | Ejemplos ilustrativos de adopción de tecnología | Ejemplos de lo que está en juego |
|---|---|---|
| Producción y distribución de energía | Los activos informáticos y de tecnología operativa (OT) se conectan a Internet para mejorar la productividad y la eficacia operativa. | Todo. Todos los demás sectores dependen de un suministro estable de energía. Sin él, la economía no puede funcionar y la salud y el bienestar de las personas están amenazados. |
| Servicios financieros | Las tecnologías digitales, como la cadena de bloques (blockchain), la robótica y la inteligencia artificial (IA) / aprendizaje automático (AM), están racionalizando el sistema financiero en un intento de ofrecer un mejor servicio. | La sociedad no puede funcionar sin la confianza general en los mercados de capitales y la capacidad de almacenar y transferir valor monetario. |
| Transporte y logísticab | La tecnología de comunicaciones de nueva generación, como los vehículos conectados que intercambian información en tiempo real con los vehículos e infraestructuras cercanos, está diseñada para que los desplazamientos sean más seguros, más eficientes y menos destructivos para el medio ambiente. | El acceso no autorizado a los sistemas del vehículo podría provocar la pérdida de datos personales de los conductores o manipular la funcionalidad del vehículo, causando accidentes o la muerte. |
| Industrial | Las soluciones digitales, como la automatización, la IA, la fabricación en 3D (fabricación aditiva) y otras tecnologías, están impulsando la eficiencia, la escala y una comercialización más rápida. | La responsabilidad legal, de seguridad y medioambiental de estas tecnologías sigue evolucionando, y los piratas informáticos de Internet tienen un acceso más fácil que nunca a los planos de fabricación, lo que aumenta la exposición de la superficie de ataque y el potencial de pérdidas. |
| Sanidad | Los sistemas cognitivos que generan conocimientos a través de entornos conectados, sensores vestibles y procesos quirúrgicos robotizados están avanzando y centralizando un sector antes descentralizado, ayudando a mejorar la asistencia y a controlar los costes. | Violación de la información sanitaria protegida e incluso interrupción de los servicios sanitarios críticos prestados debido a ataques selectivos de adversarios avanzados (por ejemplo, ciberdelincuentes que realizan ransomware). |
| Educación | El conocimiento y la información pueden compartirse instantáneamente y estar disponibles a escala, lo que permite a las instituciones educativas llegar a poblaciones más amplias. | Mayor riesgo o falta de privacidad junto con la desinformación que se propaga y se consume a mayor velocidad. |
| Sector público | Recogida y análisis rápidos de datos, aumentando la participación de los ciudadanos y proporcionando mejores servicios. | La complejidad general del panorama de las amenazas como consecuencia de los avances tecnológicos pondrá a prueba a los gobiernos de todo el mundo, donde cada vez hay más falta de habilidades y capacidad para afrontar los retos con eficacia. |
| Comunicación | El 5G, la IA/ML, el IoT y los conocimientos resultantes basados en datos están transformando la experiencia del cliente y aumentando las expectativas de los servicios (incluida la velocidad, la conectividad y la resistencia). | La habilitación de miles de millones de dispositivos conectados ha aumentado la superficie de ataque, posibilitando ataques mayores y más peligrosos. |
| Química | Una cadena de suministro mundial cada vez más compleja permite convertir materias primas procedentes de todo el mundo en más de 70.000 productos diversos esenciales para la vida moderna. | Las sustancias químicas deben protegerse contra un conjunto de amenazas creciente y en evolución, tanto porque son potencialmente peligrosas como porque otras infraestructuras críticas dependen de ellas. |
a "Sectores de infraestructuras críticas", CISA, consultado el 10 de octubre de 2023. b "How the U.S. Department of Transportation Is Protecting the Connected Transportation System from Cyber Threats", Departamento de Transporte de EEUU, consultado el 10 de octubre de 2023. | ||
Programa de Gestión del Riesgo Cibernético: Una preocupación empresarial urgente
El propósito de un programa de gestión de riesgos de seguridad es ayudar a guiar a la empresa, a sus dirigentes (en los niveles más altos) y a otras partes interesadas clave en el proceso de toma de decisiones sobre riesgos de seguridad. La seguridad no toma las decisiones, pero las informa con sus conocimientos y experiencia. El resultado, idealmente, es un conjunto de decisiones informadas sobre el riesgo que equilibran cuidadosamente el riesgo y la recompensa.
Un programa de riesgos de seguridad empresarial es un requisito previo esencial para el éxito en el mundo digital.
Toda la empresa -la organización de seguridad, las líneas de negocio y los colaboradores individuales- debe participar en el proceso de maduración continua de este programa de riesgos de seguridad. ¿Por qué? Porque el esfuerzo debe ser estratégico, no táctico. Se trata de una consideración importante para el éxito del programa, pero también para el desarrollo profesional y personal de los profesionales de la seguridad implicados. Todo el mundo quiere un sitio en la mesa, todo el mundo quiere participar en las decisiones importantes. Los ejecutivos sientan a la mesa a la gente estratégica; a los individuos que se consideran orientados tácticamente rara vez se les ofrece ese asiento.
Esa percepción -que la seguridad es esencialmente una función táctica o, peor aún, un mero centro de costes- es uno de los problemas más importantes a los que se enfrenta la disciplina. No será fácil superar esta percepción, y llevará tiempo, pero puede y debe hacerse. La clave está en practicar la gestión estratégica del riesgo de forma programática, y que se vea que se hace, de forma continuada.
Hemos desarrollado un marco para establecer un programa de gestión de riesgos cibernéticos (CRMP), cotejándolo con los elementos básicos de las normas sobre riesgos establecidas y aceptadas en todo el mundo, los reglamentos establecidos y las opiniones de la jurisprudencia que están empezando a responsabilizar a los ejecutivos y a los consejos de administración de la supervisión de los riesgos . El marco identifica cuatro componentes básicos y principios de apoyo para ayudar a orientar a un profesional de la seguridad o el riesgo, un auditor o un regulador sobre qué es un CRMP y qué componentes deben considerarse para su adopción. La aplicación es adaptable y flexible para todos los tamaños o niveles de madurez de las organizaciones. Cualquier programa necesita cierta estructura para contribuir a su estabilidad y coherencia. A través de nuestra investigación hemos descubierto que todos los programas de gestión de riesgos son coherentes en su enfoque. Utilizan palabras y procesos diferentes para describirlos, pero los fundamentos son, bueno, fundamentales para el programa.
Un CRMP tiene cuatro componentes esenciales, definidos por organismos internacionales de normalización, decisiones judiciales, marcos normativos y principios aceptados por los consejos de administración:
Dentro del marco encontrarás los principios y un conjunto de referencias informativas que apoyan cada componente y principio .
La hoja de ruta de este libro
El viaje que vamos a emprender en este libro consistirá principalmente en hablar de cómo definir y desarrollar un programa de gestión del ciberriesgo, y considerar su valor. En el Capítulo 2 estableceremos qué constituye exactamente el programa. Definiremos y trataremos en detalle los cuatro componentes básicos y los principios rectores en los Capítulos 3-6. En el Capítulo 7, ofreceremos orientación para implantar un programa que tenga un punto de partida adecuado y que se ajuste al estado de madurez de la empresa, al entorno operativo y a los requisitos específicos del sector. Hablaremos de las formas en que un programa puede contribuir a la resiliencia de la organización coordinándose con otras prácticas de riesgo operativo (por ejemplo, seguridad física, de la cadena de suministro y de terceros, gestión de la continuidad empresarial y recuperación ante desastres) para desarrollar una postura de riesgo empresarial holística en el Capítulo 8. Lo cerraremos en el Capítulo 9 con una mirada a las tecnologías emergentes y cómo la gestión del riesgo seguirá siendo la práctica principal; también profundizaremos un poco en la IA. No todos los ejemplos del libro se refieren a la cibernética pura; algunos ejemplos son muy relevantes para la gestión de riesgos en cualquiera de sus formas.
Lo esencial
A lo largo de este primer capítulo, hemos hablado de los cambios radicales -transformadores, perturbadores, emocionantes y desafiantes a la vez- que están remodelando el entorno del riesgo empresarial. En el próximo capítulo, profundizaremos mucho más en las razones por las que las empresas necesitan -y, en muchos casos, están obligadas legalmente- establecer un programa formal y sistemático de gestión del ciberriesgo que pueda definirse y defenderse con claridad, y que pueda ser independiente y proporcionar la orientación estratégica que se necesita urgentemente en un mundo totalmente transformado por las tecnologías digitales.
1 Esta terminología alemana refleja la importancia del país en la industria manufacturera y otras industrias.
2 Klaus Schwab, "La Cuarta Revolución Industrial: Qué significa, cómo responder", Foro Económico Mundial, 14 de enero de 2016.
Get Crear un programa de gestión de riesgos cibernéticos now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
