Posted on 0 Comments

Introducción

Una crisis cibernética es un evento que saca de la zona cómoda a una organización en la dinámica de sus negocios actuales en el contexto digital. Es una situación que rompe con los esquemas de gestión de riesgos tradicionales y exige una respuesta y tratamiento diferente frente al riesgo de tecnología de información. Las crisis cibernéticas enfrentan al negocio con los posibles efectos dominó sobre sus diferentes grupos de interés, creando zonas inciertas y ambiguas donde la toma de decisiones resulta poco clara y demanda un reconocimiento situacional del momento y la comprensión del posible adversario involucrado (Jakstas, 2023).

En este contexto, la junta directiva no sólo debe estar preparada para atender la situación, sino asumir el liderazgo del momento, para coordinar y ajustar las diferentes alternativas y acciones previstas con los equipos de trabajo que surgen con ocasión del evento cibernético adverso (Bishop & Camm, 2023). Por tanto, es el directorio quien con visión estratégica y responsabilidad fiduciaria transforma la situación de crisis, en una oportunidad para demostrar a los inversionistas, que la organización es consciente y consistente con el ejercicio de la gobernanza del riesgo cibernético, como riesgo de negocio que afecta directamente la estabilidad y permanencia de la empresas en el mediano y largo plazo.

Para ello, la junta directiva junto con el equipo ejecutivo, deben tener una visión y plan de acción frente a estos eventos con el fin de dar respuesta, al menos, a tres interrogantes claves para la compañía en esos momentos:

  • ¿Cómo podemos anticipar y detectar mejor este tipo de eventos cibernéticos adversos?
  • ¿Cómo disminuir el tiempo entre la detección y cierre del evento?
  • ¿Cómo contener la propagación del evento y minimizar los daños con ocasión del mismo?

Las respuestas a estas tres preguntas son la base de la participación de la junta directiva frente a una crisis cibernética. Si los miembros del directorio están debidamente apropiados del riesgo cibernético, lo comprenden como un riesgo de negocio y lo vuelven parte de las conversaciones estratégicas del modelo de generación de valor de la compañía, la materialización de los eventos cibernéticos adversos sólo va a probar y validar la capacidad resiliente de la organización para responder a los desafíos de los atacante y la respuesta confiable y alineada que la empresa tiene con cada uno de sus grupos de interés (Cano, 2023).

En consecuencia, este breve documento presenta los elementos básicos de atención de las juntas directivas y las crisis cibernéticas antes, durante y después de los eventos cibernético adversos, no como una lista de chequeo a tener en cuenta, sino como un marco de acción básico que conecte con la dinámica del directorio, en medio de las tensiones y retos que representan la materialización de un ataque cibernético en la compañía que afecta no sólo la operación y buena imagen del empresa, sino en el peor de los casos, la promesa de valor para sus clientes.

Antes – Preparar y ejercitar

En el contexto del riesgo cibernético no existe ni riesgo cero ni seguridad cien por ciento, por lo cual el reto no es “sí” se va a tener un evento cibernético adverso, sino “cómo” y “cuándo” se va a materializar. Por lo anterior, la preparación resulta un tema relevante para mantener una postura vigilante y proactiva que le permita al equipo directivo explorar y abordar un análisis situacional actualizado sobre la dinámica del riesgo cibernético en la organización y en su sector de negocio a nivel local e internacional (Gaillard, 2024).

Tres elementos prácticos se deben tener en cuenta por parte del directorio, que le permitan prepararse y ejercitarse frente a la novedad inherente del riesgo cibernético:

  • Definir, monitorear y evaluar el apetito, tolerancia y capacidad de riesgo cibernético empresarial.
  • Mantener y actualizar un panorama de amenazas cibernéticas latentes y emergentes con indicadores de relevantes para la toma de decisiones.
  • Participar en el diseño y simulación de escenarios posibles y probables que puedan afectar la promesa de valor de la empresa.

Asumir con responsabilidad y compromiso estos tres elementos permite al directorio asegurar el debido cuidado que le corresponde frente al riesgo cibernético, acompañar al equipo ejecutivo de la empresa (presidente y vicepresidentes) cuando se materialice una crisis cibernética y sobremanera, aumentar la capacidad resiliente de la compañía desde la postura vigilante y proactiva, asegurar una respuesta confiable y adecuada con los grupos de interés, y sobremanera, revelar los esfuerzos y retos de la empresas para concretar y aumentar la confianza digital en sus clientes (WEF, 2024).

Para lograr la materialización de estos elementos el equipo ejecutivo debe asumir el reto de la formación sobre los inciertos y desafíos del contexto digital. Esto es, reconocer que “hay cosas que no conoce y no sabe”, que es “necesario encontrar un experto o maestro” que los oriente, y en particular, “dejarse interrogar y sorprender” en su saber previos sobre la dinámica e inestabilidad del riesgo cibernético. En este contexto, mientras el directorio sea más proclive a la curiosidad, al reto y al aprendizaje, mejores espacios de entrenamiento y aprendizaje se pueden concretar para favorecer una mejor postura frente a los ciberriesgos.

Así las cosas, el plan de formación debe cubrir al menos cuatro elementos clave, para situar el desarrollo del riesgo cibernético en la organización. El modelo ABC2, permite nunca perder de vista la dinámica del negocio, recorriendo conceptos como la Analítica de los datos disponibles, el Negocio y su promesa de valor, el código que soporta las aplicaciones y sistemas de información, así como la ciberseguridad como la capacidad de la organización para hacer más resiliente el negocio (Lund, 2022). Cuando analítica, negocio, código y ciberseguridad se conjugan en una sola lectura, es posible encontrar nuevos lugares comunes para adelantar conversaciones enriquecidas por parte de los miembros del directorio, no como un ejercicio técnico, sino como una realidad estratégica y empresarial que habla de la viabilidad del negocio en el mediano y largo plazo.

Durante – Activar y responder

Una vez materializado el evento cibernético, la organización debe movilizarse y articularse de acuerdo a lo previamente establecido y coordinado en sus ejercicios, para mostrar su postura resiliente: actuar bajo umbrales de operación y condiciones definidas, con roles y responsabilidades claras, y un plan de comunicaciones situados y ajustado con cada uno de los grupos de interés. De esta forma, no sólo revela su preparación y compromiso, sino que le envía un mensaje fuerte y claro al adversario de orden y sincronía, quién sólo busca llevar a la empresa a los límites del incierto, la inestabilidad y el caos, que le permita actuar sin mayores tropiezos (Cano, 2024).

Tres elementos prácticos se deben tener en cuenta por parte del directorio, que le permitan coordinar y responder durante la materialización de un ataque cibernético exitoso:

  • Evaluar el tipo de crisis cibernética que se presenta: repentina/falla en servicio/evento global, para establecer que margen de manejo y tratamiento la organización tiene sobre el particular.
  • Activar los “libros de jugadas” disponibles frente a los hechos que ocurren, donde se detallen roles y responsabilidades, protocolos de atención y los reportes de avance sobre el tratamiento y aseguramiento del incidente.
  • Establecer las implicaciones y afectaciones para empresa, tomar las decisiones basada en un marco de toma de decisiones previamente establecido y socializado, y escuchar y comunicar a los diferentes grupos de interés afectados por el evento.

Lograr aplicar estas tres acciones concretas, implica un compromiso tanto del equipo directivo como del ejecutivo para participar tanto en el diseño como en las simulaciones de los escenarios de aquellos riesgos cibernético que resultan relevantes y de interés para la empresa, con afectación directa a la promesa de valor de la empresa. No es un ejercicio operativo que implique seguir un guión específico a los miembros de la junta, sino una vista sintética, estructurada y estratégica que la lleve a decidir y actuar de la manera más ajustada y situada posible sobre los eventos, teniendo claro su deber fiduciario con los accionistas y cuidando los impactos que se pueden ocasionar por cuenta de la situación generada.

Para lograr lo anterior, el equipo directiva cuenta con un tablero de toma de decisiones básico que resume la condición de la empresa en cada momento durante el transcurso de evento (nivel de alerta), que por lo general es reportada, bien por el comité de crisis o por el puesto de mando unificado, donde se determina la acción concreta que el directorio debe revisar y confirmar para mantener la coordinación y aseguramiento durante los momentos de tensión que supone la contención y tratamiento del incidente cibernético que se ha materializado: (Cano, 2023)

  • Nivel de alerta 1 – Efectos aislados o independientes que pueden comprometer los procesos y operaciones de la empresa (Planes de continuidad).
  • Nivel de alerta 2 – Impactos interrelacionados que pueden comprometer la infraestructura y las aplicaciones propias de la empresa (Contener la propagación del evento).
  • Nivel de alerta 3 – Afectaciones que pueden comprometer los datos de clientes, personal y terceros de confianza (Coordinar acciones de aseguramiento con grupos de interés).
  • Nivel de alerta 4 – Afectaciones que puedan comprometer a la empresa y su negocio y, por tanto, su reputación (Activar el libro de jugadas definido y practicado)
  • Nivel de alerta 5 – Evento con afectaciones de alcance en el sector y posiblemente a nivel nacional (Coordinar respuesta con el sector de negocio y comando conjunto cibernético).

En línea con lo anterior, la activación y respuesta es un momento que exige de la organización el desarrollo de una capacidad resiliente y de organización, que le permita tener una postura flexible y proactiva que pueda amortiguar los efectos del evento adverso en sus diferentes dimensiones: técnica, empresarial y estratégica, con el fin de establecer un marco de referencia de actuación que le brinde la confianza para continuar avanzando en medio del incierto del riesgo cibernético, para alcanzar posiciones estratégicas en el mercado y mostrar su nivel de preparación frente a estos eventos. No como un ejercicio mecánico que se ejecuta, sino como una capacidad de aprendizaje que la hace más resistente a los ataques.

Después – Reparar y ajustar

Una vez se ha conjurado el evento, el área técnica ha declarado el cese del evento y el aseguramiento de la infraestructura, donde se valida que el adversario no ha quedado instalado dentro de la organización, la junta directiva debe empezar a evaluar y analizar lo que ha pasado, cómo la empresa se ha comportado en la atención del evento y particularmente qué ajustes se requieren para hacerlo mejor la próxima vez. Este exige particularmente una atención especial a las afectaciones de los grupos de interés que esperan una respuesta de la compañía, luego del acompañamiento y comunicaciones recibidas durante el desarrollo del evento adverso (Rezazade, 2022).

Tres elementos prácticos se deben tener en cuenta por parte del directorio, que le permitan coordinar y responder durante la materialización de un ataque cibernético exitoso:

  • Adelantar un ejercicio de lecciones aprendidas a nivel Monitoreo/Activación/Respuesta/Cierre, que le permita a la organización observar, analizar y asegurar los nuevos puntos ciegos detectados al atender el evento cibernético.
  • Reparar y atender a los diferentes grupos de interés afectados, las exigencias y solicitudes de los reguladores y asegurar la infraestructura de tecnología afectada, con las inversiones requeridas, bien usando las provisiones presupuestales establecidas o con apoyo del seguro cibernético contratado, si existe.
  • Establecer los ajustes requeridos a nivel de las capacidades cibernéticas disponibles en la actualidad, mejorar los indicadores clave para contar con alertas tempranas validadas y actualizar el marco de gobernanza del riesgo cibernético a nivel del directorio y el equipo ejecutivo.

Para lograr estas tres acciones, la junta directiva debe asumir el liderazgo visible de la gobernanza del riesgo cibernético. Esto es, convocar a los diferentes responsables de las áreas de negocio para revisar de forma sistémica las diferentes relaciones que se establecen en el ecosistema digital de negocio, que leído desde el plano de arquitectura de tecnología de información, permite identificar los puntos sensibles donde se articulan aquellos procesos corporativos que afectan directamente la promesa de valor de la empresa. Desde allí, construir una vista compartida para hacer evidente:

  • Puntos calientes – que generen efectos dominó para toda la organización.
  • Detalle de los grupos de interés mayormente afectados por un incidente cibernético.
  • Capacidades cibernéticas: defensa, radar, crisis y monitoreo, que se requieren actualizar o incorporar para dar cuenta con el apetito de riesgo cibernético declarado y definido por la empresa.

Por tanto, reparar y ajustar no es sólo un ejercicio que se hace para cumplir con un requisito de responsabilidad demostrada que dé cuenta del compromiso de la empresa frente a la atención de un ciberataque, sino una capacidad corporativa que activa el ciclo de mejora discontinua para habilitar nuevas perspectivas y planteamientos frente a la superviviencia de la empresa ante a las amenazas cibernéticas. Es en particular, la materialización de un ciclo de aprendizaje, desaprendizaje y reaprendizaje, que transforma la forma como la compañía entiende el riesgo cibernético y se prepara para hacerse más resiliente y resistente frente a la inevitabilidad de la falla (Gundu, 2024).

Conclusiones

Mientras más educada y formada se encuentre una junta directiva frente al riesgo cibernético, mejor será la respuesta y aseguramiento de la empresa frente al evento cibernético adverso. En este sentido, sólo cuando los ciberriesgos son leídos en clave de negocio, entendidos como retos estratégicos y asumidos como prácticas empresariales, las organizaciones estarán avanzando para posicionarse en medio de las tensiones y desafíos que imponen los atacantes, a través de una capacidad dinámica que reconoce las amenazas cibernéticas y se prepara para navegar en medio de sus inciertos (Cano, 2023).

Una junta directiva que entiende la inevitabilidad de la falla, no como una falla de seguridad y control, sino como eventos posibles y probables en la dinámica del negocio, no busca culpables, ni reproches para los participantes, sino que construye y define capacidades de respuesta proactiva que vincula los deberes del directorio, con los esfuerzos de activación y acción que la empresa debe desarrollar y aplicar cuando se materializa un evento cibernético. Esto es, desplegar todas las capacidades cibernéticas disponibles, encontrar todos los apoyos necesarios (dentro y fuera de la organización) y acompañarse de los diferentes grupos de interés, para minimizar los impactos que se puedan tener, y así, mostrar la debida diligencia que le corresponde frente a las diferentes solicitudes y posibles reclamos que se puedan derivar por los impactos ocasionados por el incidente (Cresson Wood, 2023).

Las crisis cibernéticas ponen a prueba la responsabilidad y compromiso de la junta directiva. Permiten elevar el nivel de las conversaciones directivas más allá de las visiones y posturas de sus diferentes miembros, para establecer un marco común de reflexión que busque no sólo aprender del riesgo cibernético, sino de cómo este riesgos termina afectando la viabilidad y sostenibilidad de la empresa en el largo plazo. Un ciberataque exitoso no es un experiencia placentera, ni deseable para ninguna organización, sin embargo es un momento de verdad que pone sobre la mesa que tanta atención se le da al riesgo cibernético y la experiencia que se tiene frente a su tratamiento (Fedorets, 2023).

Cuando un ataque cibernético se materializa, se desacomoda toda la organización. Se cuestionan las prácticas de seguridad y control vigentes, se retan los mecanismos de seguridad tecnológica, se interrogan los servicios de monitoreo, en últimas, se desinstala la ilusión del control. En este sentido, la junta directiva debe asumir el liderazgo de la situación para establecer y concretar las conversaciones y acciones que planteen los nuevos lugares comunes que se deben construir alrededor de la gobernanza del riesgo cibernético, que no sólo consolide la disminución de las amenazas, la reducción de las vulnerabilidad, sino que habilite a la organización para hacerse más resiliente, y así tomar riesgos de forma más inteligente.

Referencias

Bishop, K. & Camm, G. (2023). Board talk. 18 crucial conversations that count inside and outside the boardroom. United Kingdom: Practical Inspiration Publishing.

Cano, J. (2023). Maturity Model for Boards of Directors in Cyber Risk Governance. A Conceptual and Practical Proposal. En: Rocha, Á., Fajardo-Toro, C.H., Riola, J.M. (eds) Developments and Advances in Defense and Security. Smart Innovation, Systems and Technologies. Vol 328. 39–51. Springer, Singapore. https://doi.org/10.1007/978-981-19-7689-6_4

Cano, J. (2024). The Virtuous Circle of the Adversary: Challenges and Threats for Modern Organizations. ISACA Journal. 3. https://www.isaca.org/resources/isaca-journal/issues/2024/volume-3/challenges-and-threats-for-modern-organizations

Cresson Wood, C. (2023). A Parachute for the Restoration of Trust After Your Firm Has Been Breached. ISSA Journal. June. https://cdn.ymaws.com/www.members.issa.org/resource/resmgr/journalpdfs2/feature0623.pdf

Fedorets, I. (2023). Cybersecurity: Breach Response. https://blog.ivancyber.com/cybersecurity-breach-response-19643cbc9e22

Gaillard, J. C. (2024). The Cybersecurity Spiral of Failure (and How to Break Out of It): Why Large Firms Still Struggle with Cybersecurity and How to Engineer Real Change Dynamics. Leaders Press SRL.

Gundu, T. (2024). Learn, Unlearn and Relearn: Adaptive Cybersecurity Culture Model. International Conference on Cyber Warfare and Security. 19(1). pp. 95-102. https://doi.org/10.34190/iccws.19.1.2177

Jakstas, T. (2023) Developing a cybersecurity crisis management plan. DCAF – Geneva Centre for Security Sector Governance. https://www.dcaf.ch/sites/default/files/publications/documents/Booklet-cyber-crisis-managment-EN.pdf

Lund, C. (2022). The ABCs of Making Executives Digitally Literate. CMR Insights. https://cmr.berkeley.edu/2022/04/the-abcs-of-making-executives-digitally-literate/

Rezazade, M., Nicolini, D. & Rondon, J. (2022). How do organizations learn from information System incidents? A synthesis of the past, Present, and future. MIS Quarterly. 46(1). 531-590. Doi: 10.25300/MISQ/2022/14305

Trigg, M. (2016) Design of early warning systems. En Van Westen, Jetten, A., Trigg, H., Brussel, S., Feringa, C.-G., Hossain, A., daSilva, H.-H., & Sijmons, C.-R. (2016). Caribbean handbook on risk information management. https://charim.net/methodology/92

WEF (2024). Unpacking Cyber Resilience. In collaboration with the University of Oxford. https://www3.weforum.org/docs/WEF_Unpacking_Cyber_Resilience_2024.pdf

AUTOR: Jeimy Cano, Ph.D, CFE

FUENTE ORIGINAL: www.linkedin.com/feed/update/urn:li:activity:7314841865193754624/

Your email address will not be published.

You may use these <abbr title="HyperText Markup Language">HTML</abbr> tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Lang. »