Comunicar con eficacia los riesgos de ciberseguridad al consejo de administración
La mayoría de los miembros del consejo de administración de las organizaciones no son expertos en ciberseguridad, aunque, conscientes del creciente volumen y sofisticación de los ciberataques, su preocupación es si su organización está en riesgo.
Aunque no conozcan toda la jerga técnica de la ciberseguridad, demandan a los CISO o a los CIO un informe sobre el estado de las ciberdefensas de la organización. Esto supone un reto para un experto en seguridad informática que se plantea cómo comunicar eficazmente el riesgo de ciberseguridad o las métricas que respondan adecuadamente a la pregunta “¿Estamos en riesgo?”
Sinceramente, no creo que los consejos de administración se preocupen tanto por las métricas. Preferirían obtener una simple respuesta de sí o no a las preguntas: “¿Estamos en riesgo?” y “¿Estamos protegidos?”. El problema con la primera de ellas es que la respuesta es siempre afirmativa. No importan las medidas adoptadas, el riesgo es intrínseco al mundo digital. En cuanto a la segunda pregunta sobre la protección, no hay una respuesta simple. Porque incluso si dijéramos “Sí, estamos protegidos”, nos plantearía una segunda cuestión: “¿Estamos suficientemente protegidos?”
Muchas organizaciones se centran en evitar que los atacantes entren en su red, a través de los firewalls, los antivirus, las autorizaciones de acceso remoto... Pero existe una posibilidad muy real de que un adversario ya haya burlado estas defensas y se encuentre dentro. Cuando se han evadido las defensas de primera línea, los CISOs necesitan contar con herramientas como sandboxing, tecnología de engaño y análisis para detectar y poner en cuarentena a los invasores.
Otra posibilidad para los CISOs es seguir la estrategia de educar a los miembros de la junta directiva sobre cómo formular sus preguntas en relación con el riesgo de ciberseguridad para que se planteen “¿Dónde están nuestros riesgos? ¿Cuáles son los más prioritarios? ¿Cómo podemos reducir los riesgos?”
Este tipo de consultas ayudará a los CISO a desarrollar una estrategia de ciberseguridad sólida. Necesitan identificar cuál es la mejor postura de seguridad para la organización y seleccionar las acciones que protegerán los mayores riesgos para el negocio. El consejo de administración debería prestar atención a esta estrategia y entender la ciberseguridad como una prioridad.
En lo que respecta al riesgo de ciberseguridad de una empresa, la Junta Directiva debe comprender tres aspectos básicos. En primer, lugar, la amenaza de un ataque es existencial para la mayoría de las organizaciones. Por ejemplo, un ataque de ransomware que detenga la producción podría provocar incluso la caída permanente de la empresa. Es literalmente así de grave. En segundo lugar, la ciberseguridad requiere una priorización. Así, puede que la ciberseguridad no sea el área más importante de una empresa, pero requiere inversión, al igual que otras como recursos humanos, departamento jurídico, instalaciones, TI, etc. En tercer lugar, hay tres tipos de inversión -Las inversiones que hay que hacer en ciberseguridad son realmente de tres tipos: personas, productos y procesos-.
En cuanto a las personas, las organizaciones necesitan personal con las habilidades necesarias para entender y proteger la empresa y sus empleados. Esto significa invertir en habilidades, ya sea en su propio personal o en personas que gestionen a sus subcontratados. Si nos referimos a los productos, los CISO necesitan tecnologías que funcionen juntas y que sean fáciles de gestionar y analizar para el personal de TI. Aquí se encontrarían los servicios de suscripción de inteligencia de amenazas. Y en cuanto a procesos, la inversión en procesos no es sólo una combinación de personas y productos, sino también de monitorización. Contar con procesos significa que la organización está constantemente observando el panorama de las amenazas y siendo cada vez más consciente de cómo es. También implica conocer los nuevos desarrollos, tanto en términos de amenazas como de tipos de defensas
Todo lo anterior son tareas de las que debería ocuparse el equipo de ciberseguridad y los CISO necesitan encontrar formas de abstraerlas al nivel de la junta directiva. Una vez más, las métricas pueden parecer una forma natural de transmitir los datos, pero el problema radica en que cada organización es diferente y no hay medidas de seguridad estándar reales. Dicho esto, hay varios estándares con los que los CISOs pueden comparar sus organizaciones, así como intentar alcanzarlos. Estos son: El NIST en Estados Unidos, la directiva NIS en la Unión Europea y, en entornos de producción y operativos, la norma IEC 62443, que tiene cuatro niveles de seguridad.
Lo que el responsable del equipo de ciberseguridad -ya sea del lado de la red o de la seguridad- puede hacer, en lugar de proporcionar cifras específicas de las métricas, es proporcionar un tablero de control a la junta directiva. Un cuadro de mando es algo que puede darles una idea global del estado de la protección de la organización. Otra herramienta que los CISO pueden considerar, que no es una métrica, pero que puede ayudar a justificar las inversiones en seguridad ante los altos cargos y el consejo de administración, es la fórmula del Retorno de la Inversión en Seguridad (ROSI) de la UE. La metodología fue desarrollada por ENISA, organización de seguridad europea. Básicamente, permite a un CISO obtener una cifra que se asemeja a un porcentaje de ROI (retorno de la inversión), lo que permite compararlo con las inversiones tradicionales.
En el caso del ROI, muestra el rendimiento de una inversión regular. Con el ROSI, indica cuánta protección monetaria va a obtener una organización o cuántas pérdidas se van a evitar. El ROSI permite a los responsables de la ciberseguridad acudir a una reunión del consejo de administración con una cifra, para poder mostrársela al consejo, que debe decidir entre invertir, por ejemplo, en una nueva máquina para la línea de producción o en la protección de la base de datos de la organización.