Manual de Ciberseguridad en Español

Machine Translated by Google
Construyendo un ciber
Negocios resilientes
Un manual cibernético para
ejecutivos y juntas
Dra. Magda Lilia Chelly
Chamán bronceado
Hai Tran
BIRMINGHAM—MUMBAI
Construyendo un negocio ciberresiliente
Copyright © 2022 Packt Publishing
Reservados todos los derechos. Ninguna parte de este libro puede reproducirse, almacenarse en un
sistema de recuperación o transmitirse de ninguna forma ni por ningún medio sin el permiso previo por
escrito del editor, excepto en el caso de citas breves incrustadas en artículos críticos o reseñas.
Se ha hecho todo lo posible en la preparación de este libro para garantizar la exactitud de la información
presentada. Sin embargo, la información contenida en este libro se vende sin garantía, ya sea expresa
o implícita. Ni los autores, ni Packt Publishing ni sus comerciantes y distribuidores serán responsables
de los daños causados o presuntamente causados directa o indirectamente por este libro.
Packt Publishing se ha esforzado por proporcionar información de marcas registradas sobre todas las
empresas y productos mencionados en este libro mediante el uso apropiado de capitales.
Sin embargo, Packt Publishing no puede garantizar la exactitud de esta información.
Gerente de Producto del Grupo: Vijin Boricha
Gerente de productos editoriales: Mohd Riyan Khan
Editor sénior: Shazeen Iqbal
Editor de desarrollo de contenido: Romy Dias
Editor técnico: Nithik Cheruvakodan
Editora de estilo: Julie Kerr
Editor de soporte de idiomas: Safis Editing
Coordinador del proyecto: Neil Dmello
Corrector: Safis Editing
Indexador: Manju Arasan
Diseño de producción: Nilesh Mohite
Coordinador de marketing: Ankita Bhonsle
Primera publicación: octubre de 2022
Referencia de producción: 1051022
Publicado por Packt Publishing Ltd.
Lugar de librea
35 Livery Street
Birmingham
B3 2PB, Reino Unido.
ISBN 9781803246482
www.packt.com
A las familias Chelly y Laaksonen... A mi esposo más
fabuloso, a quien aprecio más allá de las palabras.
– Dra. Magda Lilia Chelly
Para mi querido esposo, tu amor y aliento significan todo
para mí. También estoy agradecido por mi familia y mis
queridos amigos que siempre me animan, esto es para ti.
Finalmente, a mi círculo de confianza y comunidad que han
crecido junto a mí, agradezco su apoyo.
– Shamane Tan
A Hai Tran, quien falleció mientras se finalizaba este libro.
Le encantaría que su idea para este libro, de ayudar a tantas
organizaciones como sea posible a obtener el mejor valor de
las funciones de ciberseguridad, se hiciera realidad.
Descansa en paz ahora, mi amor, sabiendo que tu legado
y tu pasión sin igual por la industria serán continuados por
muchos profesionales que encontrarán valiosas ideas en este
libro.
– Natallia Tran (esposa de Hai Tran)
Colaboradores
Sobre los autores
La Dra. Magda Lilia Chelly es una galardonada líder mundial en ciberseguridad.
Ha sido nombrada una de las 20 personalidades de ciberseguridad más
influyentes en 2017 y 2021 por ISFEC Global.
En su carrera, Magda ha desempeñado varios cargos, incluido el de oficial de seguridad de la
información para múltiples organizaciones. Magda cofundó una nueva empresa de seguridad
cibernética en Singapur llamada Responsible Cyber Pte. Limitado.
Los compromisos de conferencias de Magda abordan temas sobre la cuantificación del riesgo
cibernético, cerrando la brecha entre los negocios y la seguridad cibernética, la conciencia
cibernética, la diversidad y la inclusión en la industria de la seguridad cibernética, y las
inversiones en seguridad cibernética y el espíritu empresarial. La investigación de Magda sobre
ciberseguridad ha sido destacada por IEEE, la Conferencia RSA y la revista CYBER RISK
LEADERS.
Quiero agradecer a mi esposo por darme el espacio y el apoyo que
necesitaba para escribir este libro, incluso mientras la pandemia
mundial de COVID19 nos rodeaba. También me gustaría agradecer
al equipo de Packt por su apoyo y paciencia por darme la oportunidad
y el tiempo para completar este viaje.
Muchas gracias a mi equipo de Ciberresponsable y a todos mis
seguidores a lo largo de este viaje.
Shamane Tan es la directora de crecimiento de Sekuro y lidera la estrategia de divulgación
de seguridad con CSuite y ejecutivos. Reconocida por la IFSEC como una de las 20
principales influyentes en seguridad cibernética global y galardonada como una de las 30
mejores mujeres en seguridad de la ASEAN, la autora Cyber Risk Leaders y Cyber
Mayday and the Day After figura entre los 40 menores de 40 asiáticoaustralianos más influyentes.
Galardonado con ARN Shining Star 2021 y Cybersecurity Professional de AiSP
Singapur , el orador de TEDx preside regularmente mesas redondas de liderazgo
de pensamiento de CxO y es miembro del Consejo Asesor de Black Hat Asia
Executive Summit. Destacado en World's Leaders World's 10 Most Influential Business
Líderes en seguridad cibernética, Shamane es el fundador de Cyber Risk Meetup, una
comunidad y plataforma internacional para ejecutivos de riesgos cibernéticos.
A Dios, mi fuente de inspiración, visión y pasión—
Salmo 106:1. A mi querido esposo, quien constantemente
me anima; gracias por su alegría, aliento y celebración
de mi pasión y visión. Gracias a mi familia, que siempre
ha sido tan comprensiva y solidaria. Eres tan precioso
para mí. Gracias Sekuro por ser una empresa increíble
que aspira a liderar con el ejemplo y desafía los límites de lo
que es posible y lo que es excelencia.
Gracias a mis amigos de la industria por su tutoría, por sus
contribuciones y por dar forma a nuestra industria en
beneficio del crecimiento y desarrollo de todos.
Finalmente, para mis coautores Magda y Hai, ha sido un
gran viaje en los últimos años reunir esto.
Finalmente llegamos allí, aunque se mezcla con tristeza
darnos cuenta de que este libro se ha convertido en un
legado que deja Hai. Para todo el equipo editorial de Packt, ha
sido un gran placer trabajar juntos en este proyecto
increíblemente significativo. ¡Gracias!
Hai Tran , un CISO consumado y orientado a los negocios, buscó aprovechar sus habilidades
excepcionales de gobernanza, participación de las partes interesadas y gestión de proyectos
para gestionar el riesgo al alinear las estrategias de mitigación con los objetivos comerciales.
Hai tenía una amplia experiencia de liderazgo en una amplia gama de industrias,
incluidos cinco años como CISO inaugural de la Fuerza de Policía de Australia
Occidental. El fuerte enfoque de Hai en la comunicación y la transparencia le valió
el respeto y una excelente reputación. Tenía un enfoque pragmático y empresarial
de la seguridad en el sentido de que debería ser un habilitador, en toda la empresa
y sin fricciones. Era un líder fuerte, visible y eficaz, deseoso de compartir su
conocimiento y empoderar a los profesionales de la industria para que alcanzaran su potencial.
Sobre los revisores
Faisal Hussain (Syd) es un veterano en el campo de la ingeniería de ciberseguridad y la caza de
amenazas. Actualmente, Syd administra un programa de seguridad cibernética para la protección
del cliente de Microsoft en el Reino Unido y EMEA como socio del Centro de respuesta de
seguridad de Microsoft (MSRC) .
Syd trabaja para Microsoft Corporation como experto en seguridad cibernética, especializado
en seguridad empresarial y en la nube, asesorando a ejecutivos de nivel C y expertos de
campo en la detección y prevención de amenazas y estrategias de respuesta en toda la industria.
Syd ha revisado y desarrollado direcciones IP para los equipos de seguridad de campo de Microsoft
y se ha presentado en varias conferencias como orador. Syd es un presentador habitual de
llamadas informativas sobre seguridad organizadas por Microsoft.
Me gustaría dar las gracias a Madiha (mi esposa), Mohib (mi hijo)
y Maheen (mi hija) por ayudarme a revisar este libro durante
mi ajetreada vida en Microsoft. También me gustaría felicitar
a los autores por producir este libro en un momento en que
la industria más necesita este conocimiento.
Kevin Tham es un líder CISO en el sector bancario digital australiano y un veterano
experimentado en seguridad de la información en la industria de servicios financieros.
El enfoque práctico de Kevin para la seguridad cibernética a menudo se considera como una
superación de los límites y el equilibrio entre el diseño centrado en el usuario y los controles efectivos.
Kevin comenzó su carrera como investigador académico a finales de los 90, educador e ingeniero
de seguridad, desarrollando e implementando controles de seguridad, cuando muchas
organizaciones no consideraban la seguridad de la información como un riesgo. En la actualidad,
Kevin es el CISO de una organización fintech, cuyo objetivo es marcar la diferencia para las
personas a través de soluciones y productos bancarios bien pensados.
Durante su tiempo libre, Kevin dedica su tiempo al voluntariado y le devuelve su tiempo a la
industria de la seguridad a través de su participación en el Capítulo de Sydney de ISACA. Sirvió
en la junta durante 8 años y también es un ex presidente, dedicado a servir a sus más de 1600
miembros del capítulo.
Experto mundial
comida para llevar
“La seguridad cibernética es quizás el problema más desafiante que enfrenta la sala de
juntas moderna : cada organización tiene o se enfrentará a un incidente cibernético
potencialmente devastador, malicioso o no intencional, y, sin embargo, los directores
todavía tienen dificultades para comprender si su organización está gestionando ese
riesgo de manera efectiva. No ayuda que el panorama de amenazas en constante
evolución y la naturaleza altamente técnica de las discusiones cibernéticas puedan alejar
aún más a la junta de la comprensión de las preguntas correctas para hacer. El resultado
suele ser dejar de lado el riesgo cibernético para los expertos técnicos (el departamento
de TI y el CISO), lo que puede conducir a una falla potencialmente crítica en la gestión eficaz del riesgo ciberné
Shamane, Magda y Hai dan una respuesta sólida y directa a este desafío, presentando
un conjunto claro de preguntas tanto para los directores como para los ejecutivos de C
suite. Estos van al corazón de la gestión efectiva de riesgos de ciberseguridad : ¿está
comunicando el riesgo de ciberseguridad de manera clara, completa y efectiva entre el C
suite y la junta, y está monitoreando regularmente su desempeño como empresa? La
cibernética no es un problema de TI, es un problema comercial, que requiere que todo el
negocio esté alineado y equipado para responder, y eso comienza desde arriba. Como
dijo recientemente un director : “Nadie piensa que le ocurrirá un ataque cibernético hasta
que lo hace, y es entonces cuando un gobierno cibernético robusto muestra su mérito”.
Recomiendo encarecidamente a cualquier miembro actual o futuro de la junta directiva o
a los ejecutivos Csuite que lean el capítulo sobre las juntas en profundidad y hagan esas
mismas preguntas a su organización sin demora”.
Nicholas Chilton, Jefe de Asesoramiento de la Junta Sur
Pacífico, Nasdaq Center for Board Excellence
“El riesgo cibernético es un tema vivo y dinámico en las discusiones y decisiones de la sala
de juntas de hoy. Los autores han presentado un camino claro para el compromiso con las
juntas en la identificación y gestión de riesgos cibernéticos. Los seis criterios de éxito de
Shamane brindan una lista de verificación útil para que las juntas consideren y discutan los
riesgos cibernéticos. En el capítulo para las juntas, el mensaje de los autores a los CISO y
otros ejecutivos sobre cómo funcionan las juntas y cuál es la mejor manera de interactuar
con las juntas es un marco valioso para garantizar los mejores resultados para todas las empresas”.
Teresa Dyson, Directora No Ejecutiva y Auditoría y Riesgos
Presidente de comité en juntas de empresas que cotizan en
bolsa y entidades gubernamentales en los sectores de medios,
servicios financieros, energía, legal y gobierno
“En mi carrera anterior, he sido CIO durante más de 20 años, CISO durante 3 años y, más
recientemente, Director global de tecnología y riesgo cibernético, brindando supervisión de
2 líneas. Como tal, mi perspectiva sobre el CIO y el CISO es única, ya que entiendo sus
roles y responsabilidades en primera persona.
El CIO puede ser un poderoso aliado para el CISO. Comprender esta dinámica y aprovecharla
de manera positiva puede ser la clave para una defensa eficaz de la ciberseguridad.
Cada líder tiene un papel fundamental que desempeñar, y el capítulo sobre los CIO ofrece
una gran perspectiva de los desafíos potenciales.
Si tomamos una vista de 10,000 pies, podemos ver que el CIO tiene algunos requisitos
contradictorios. Necesitan innovar e impulsar el cambio digital, pero hacerlo de una manera
que respalde la experiencia del cliente. Por el contrario, el CISO desea apasionadamente
proteger los cimientos, pero es consciente de que el cambio puede introducir nuevas
amenazas y vulnerabilidades.
Este libro es una buena guía para los gerentes que desean comprender y participar en la
protección de su empresa”.
David Gee, ex CISO en HSBC, actual director global
Tecnología (riesgo cibernético y de datos) en un grupo australiano
de servicios financieros globales, con más de dos décadas en el
campo de CIO
“¡The World of the Board es un capítulo excelente! La ciberseguridad en cualquier
organización es responsabilidad del directorio y sus miembros. Una buena ciberseguridad
protege la capacidad de funcionamiento de la empresa y garantiza que las organizaciones
puedan aprovechar las oportunidades que brinda la tecnología. Por lo tanto, la seguridad
cibernética es fundamental para la salud y la resiliencia de una organización, lo que permite
su ventaja competitiva, y esto la coloca firmemente dentro de la responsabilidad de la junta.
Es importante que los miembros de la junta entiendan las preguntas correctas para
hacerles a sus expertos en ciberseguridad/CISO para tener una conversación
estratégica. Idealmente, la estructura de la junta debe tener un miembro de la junta
con experiencia y credenciales de CISO/seguridad cibernética, y tener un CISO
operativo que le informe directamente, y no a un ejecutivo intermedio de Csuite.
El libro brinda una excelente perspectiva sobre el significado tradicional del rol de la junta en
comparación con el rol ejecutivo de Csuite, clasificando las responsabilidades individuales
dentro de las periferias de "Gobierno regulatorio". El lector concluye que el enfoque de
sentido común para el buen gobierno, el riesgo y el cumplimiento por el bien de la
organización es que la junta y el Csuite se aseguren de tener una buena línea de
comunicación y confianza profesional, y que las recomendaciones o consejos transmitido
puede ser entendido.
Clr. Jeff Whitton, FAICD, CDPSE, concejal de gobierno local,
Ayuntamiento de Orange y veterano de la industria con cuarenta
años en el dominio de TI y ciberseguridad como director ejecutivo,
presidente y miembro de la junta
“¡Felicitaciones por producir una publicación que es ingeniosa para todos nosotros! Debo
enfatizar que la ciberseguridad no es simplemente un problema de TI; es responsabilidad de
todos. La junta directiva, la alta gerencia y todos los empleados deben dar un paso adelante
para asumir la responsabilidad total de superar los problemas que están en juego y garantizar
decisiones colectivas y significativas.
Dado que las amenazas emergentes ahora son altamente sofisticadas y desastrosas, y
tienen el potencial de causar riesgos y desafíos graves, la gestión de riesgos de seguridad
cibernética se esfuerza por mejorar la resiliencia cibernética para prevenir y detectar
amenazas y minimizar la interrupción del negocio y las pérdidas financieras.
La implementación de un enfoque holístico es fundamental, ya que involucra
a personas, procesos y tecnología para disminuir el riesgo de ataques
cibernéticos y prohibir la explotación no autorizada de sistemas, redes y tecnologías”.
Datos' Ts. Dr. Haji Amirudin Abdul Wahab, director ejecutivo
de CyberSecurity Malaysia
"¡Muy bien hecho! Hay tantas cosas buenas en este libro. Disfruto de la claridad de las
explicaciones y la orientación directa que será muy útil para muchos directores ejecutivos,
directores de operaciones y el resto del equipo ejecutivo. Me encanta el hecho de que el
consejo de Shamane, Magda y Hai resalte la importancia del CEO como defensor de la
creación de una cultura que considere el riesgo cibernético como el riesgo.
a la operación comercial. En estos días, es menos probable que los inversores, así como los
clientes, inviertan o pongan su dinero en una empresa que no priorice el riesgo cibernético. La
ciberseguridad (o "cuidado de datos") ya no se aplica a los expertos, nos pertenece a todos,
incluidos los directores ejecutivos. Me encantan las preguntas que se hacen a los ejecutivos en
los capítulos, ya que nos incitan a verificar si existen las medidas de seguridad adecuadas.
También se menciona en el capítulo para los COO que es absolutamente crítico probar tanto el
plan de continuidad del negocio como el plan de recuperación ante desastres, porque asumir que
funcionarán puede poner a la empresa en una situación muy difícil e incluso llevarla a la quiebra.
Trabajé para la " Autoridad de Terremotos de California", donde ambos planes se consideraron
de alta prioridad debido a la imprevisibilidad de los terremotos, que no solo pueden arruinar
negocios sino también causar la pérdida de vidas si no se ejecutan sin problemas.
Recuerdo que probamos tanto la continuidad del negocio como la recuperación de incidentes
ejecutando una prueba simulada de la A a la Z cada 6 meses. Hubo muchos procedimientos
manuales, pero al menos sabíamos que podíamos completar ambos. En la vida real, no hay
repeticiones cuando ocurre un desastre. Desde la perspectiva de la mejora continua del proceso,
es importante hacer lo que llamamos PIR o Revisión posterior a la implementación, porque es
nuestra mejor oportunidad de aprender de lo que salió bien y lo que debemos mejorar antes del
próximo incidente.
La mejora continua es la clave para tener un excelente plan de riesgo cibernético, y las autopsias
son de donde provienen las sugerencias”.
Carmen Marsh, directora ejecutiva de United Cybersecurity Alliance |
Inteligencia, Miembro de la Junta
“Este es un buen libro y me gustó mucho. La articulación general es una excelente manera de
transmitir las diferencias entre los roles de CIO y CISO, pero también cómo se complementan
entre sí para permitir resultados comerciales importantes para la organización. Las prioridades
pueden diferir y los autores destacan la necesidad de una comunicación clara y objetivos comunes.
Me gusta especialmente la sección en la que los autores articularon el papel de un CIO en el
apoyo a la resiliencia cibernética. Encontré la narrativa bastante práctica y de gran valor para
todos los que la leen”.
Abhishek Singh, Director de Información, UNICEF
“El riesgo de reputación es un balance intangible que es difícil de cuantificar. Pero una
filtración de datos puede ser devastadora y le corresponderá al CMO administrar y recuperar
la confianza de la marca. Recomiendo encarecidamente a todos los CMO que lean el capítulo.
sobre el CMO y CPO – Convergencia entre Privacidad y Seguridad. Está en
una forma simple y fácil de digerir, pero plantea cuestiones de suma importancia”.
Brent Annells, director de marketing, token inteligente
Labs, anteriormente con Uber y Facebook
“Este es un libro que recomendaría encarecidamente a los líderes de seguridad cibernética
que navegan en un entorno empresarial complejo. Disfruté especialmente el capítulo sobre la
construcción de una sólida cultura de seguridad. Es importante entender que la ciberseguridad
no es un tema puramente técnico; moldear el comportamiento humano es uno de los elementos
importantes de una organización resistente a la cibernética. Capacitar a los empleados para
que sean la primera defensa y compartan los mismos valores, filosofía y comportamiento es
extremadamente importante para mantener una buena postura de seguridad cibernética en
cualquier organización.
Este libro proporciona una visión holística de diferentes perspectivas, desde aspectos técnicos,
comerciales y culturales, que harán que su negocio sea más resistente cibernéticamente a
través de la asociación y la colaboración”.
Christopher Lek, Director, Seguridad Cibernética, Centro de
Servicios de TI, Universidad Tecnológica de Nanyang,
Singapur (NTU)
“La ciberseguridad es un desafío del mundo real, y todos debemos tener una comprensión
justa de qué y cómo en cada nivel de la organización para gestionar una crisis cuando estalla.
Este libro describe las áreas para que cada grupo de ejecutivos conozca los desafíos y las
posibles formas de enfrentarlos.
En uno de los capítulos, fue genial ver una comparación justa de los roles y responsabilidades
de un CIO versus un CISO; es encomiable cómo se unieron ambas perspectivas para
demostrar que ambos líderes necesitan colaborar para lograr el objetivo del cliente. El debate
sobre quién debe reportar a quién continuará, pero es vital que ambos ejecutivos desempeñen
un papel de colaboración trabajando juntos para brindar la misma mejor experiencia al cliente
y mantener la seguridad de la organización, lo cual es una victoria para todos.
Los autores han producido un trabajo que invita a la reflexión, y mientras lee este libro
se encontrará cambiándose de sombrero para obtener la perspectiva de ambos lados”.
Amit Chaubey, Presidente, Seguridad de la Información de Australia
Asociación (AISA), Sídney
“Shamane, Magda y Hai tienen el don de desmitificar el rol del CISO con contexto,
lógica e ilustraciones significativas. Muchas organizaciones malinterpretan en gran
medida el papel del CISO , como se refleja en sus propias líneas de informes,
responsabilidades y responsabilidades de la estructura corporativa. El énfasis en el
uso del lenguaje de riesgo comercial para atraer audiencias no técnicas se pone
correctamente en perspectiva para el éxito continuo. La ciberseguridad es muy
dinámica y, por lo tanto, nunca se detiene ni se duerme por la noche. El Capítulo 5
proporciona excelentes consejos para la cuantificación del riesgo cibernético y la interacción de la junta pa
El capítulo sobre El mundo de la junta también presenta grandes ideas, incluida la necesidad
de perspicacia comercial y comprensión financiera para articular con éxito la exposición al
riesgo cibernético de la empresa a la junta directiva. Hablar el idioma de la junta se presenta
como una habilidad fundamental para establecer una buena relación y hacer que la voz del
CISO se escuche con autoridad, confianza y respeto.
Los conocimientos que los autores aportan en este capítulo hacen que este libro sea
imprescindible para la biblioteca profesional de cualquier ciberpracticante”.
Marco Figueroa, ex Group CISO de Nueva Gales del Sur
Clúster del Departamento de Servicio al Cliente y actual
Gerente sénior de Seguridad Cibernética, Riesgo y Cumplimiento
en el Instituto Australiano de Directores de Empresas
“Shamane, Magda y Hai han planteado acertadamente las preocupaciones digitales
comerciales clave en los niveles de la junta directiva, el director ejecutivo y el CISO/CSO, y
los enfoques clave de gobernanza de riesgos que se deben adoptar. Los enfoques, iluminados
a través de las experiencias de los autores y expertos entrevistados en el libro, resuenan bien
con el marco de TI de riesgos de ISACA. Los capítulos son un verdadero placer de leer,
sucintos y prácticos para cualquier persona en estos roles comerciales clave. Sin duda,
recomendaría a cualquier aspirante a director de la junta, director ejecutivo o CISO/CSO que
aprendiera esto temprano y tuviera una buena lectura, evitara grandes trampas de mentalidad
y se ahorrara a sí mismo y a su negocio futuros dolores de cabeza”.
Steven Sim Kok Leong, Presidente, ISACA Singapur
Capítulo; Presidente, Comité Ejecutivo de OTISAC y
CISO Global, Corporación Multinacional de Logística Global
“La ciberseguridad a menudo se ve como un problema tecnológico. Dado que esta
perspectiva ha pasado a ser vista como un problema comercial, este libro presenta
muchos factores clave en términos muy básicos para el lector. Hay muchos principios
relevantes que están más enfocados en la administración, la junta y el director
ejecutivo, que es exactamente cómo debería ser para que una empresa sea
verdaderamente ciberresiliente. Me gusta mucho cómo el libro toca varios aspectos regionales; de diferent
áreas de enfoque a algunas de las deficiencias, y esto es útil para cualquier nivel de
lector: junta, director ejecutivo y el resto de la suite C. El capítulo para tableros también
es una lectura excelente y fácil de entender. Me gusta que proporciona un énfasis clave
en cómo tanto los directores como la gerencia deben tener conciencia cibernética, desde
su papel en la seguridad cibernética hasta ayudar a la junta directiva y a la gerencia no
cibernética a comprender el riesgo cibernético, para proporcionar una dirección estratégica
para garantizar que la organización sea resistente cibernéticamente. Esto es crucial,
especialmente a la luz del comunicado de la Comisión de Bolsa y Valores de EE. UU.
sobre sus nuevas reglas propuestas que requieren la divulgación en la sala de juntas de
las empresas públicas de EE. UU. de los directores corporativos con experiencia en
ciberseguridad, lo que también se alinea muy bien con uno de los temas destacados en
el libro. , El asiento del CISO en la mesa. ¡Bien hecho Shamane, Magda y Hai!”
Prashant Haldankar, cofundador y CISO, Sekuro |
Privasec Asia | CoFundador, DroneSec
“Las funciones del equipo ejecutivo están bien establecidas en todas las organizaciones,
pero saber qué los motiva y cómo usar esta motivación para encabezar los objetivos y
resultados de ciberseguridad puede ser complicado. Este libro funciona casi como una
hoja de trucos para cualquier CISO nuevo o establecido para comprender mejor a su
equipo ejecutivo y colegas. Este libro contiene información valiosa que acelerará la
ejecución de cualquier estrategia de seguridad”.
Kevin Tham, CISO, Avenue Bank, ISACA Sydney Chapter
Expresidente “¡Excelente
trabajo, autores! Disfruté especialmente el capítulo sobre la receta secreta y la creación
de una cultura de seguridad. Me gustó la idea de todas las preguntas que se incluyeron
al final de los capítulos, así como la forma en que un CISO debe participar en todos los
niveles de la organización. Hacer las preguntas correctas es algo que me apasiona. Solo
a través de hacer las preguntas provocativas correctas podemos identificar los problemas
que vale la pena resolver e invitar al liderazgo intelectual y la discusión.“
Tim Wenzel, Jefe de Protección de Seguridad Global
Intelligence, empresa de tecnología Fortune 50 |
CoFundador, Los Juegos de la Bondad
Tabla de contenido
Prefacio xxx
1
El manual cibernético del CEO 1
Por qué la ciberseguridad debería ser Más allá de la tecnología: el riesgo cibernético
es un riesgo empresarial 12
la prioridad de un CEO 3
Desmitificando las filtraciones de
Dependencia de la tecnología: un punto
datos y los ciberataques 13
ciego de falla empresarial crítico 5
La ciberseguridad es un pilar
Cuantificación de los costos cibernéticos
ambiental, social y de gobernanza
contra el retorno de la inversión 14
fundamental 6
Construyendo una cultura
Comprender los riesgos cibernéticos de ciberseguridad 17
y sus implicaciones para las
Preparar una empresa para
empresas 7
los ciberataques 20
Comprender los desafíos, la
Consideraciones
organización y los informes de de ciberseguridad para un
ciberseguridad 9
Primer mes del CEO 21
Ciberseguridad y tecnología de la
Preguntas que debe hacerse
información: habilidades similares pero
con un enfoque diferente 11 como CEO al considerar su cobertura
de riesgo cibernético 22
Resumen 23
xvi Tabla de contenido
2
Un CFO Ciberresponsable Moderno 25
Por qué el CFO debería Comparación de presupuestos de
26 ciberseguridad 34
preocuparse por la ciberseguridad
El papel del CFO en Definición del gasto en ciberseguridad 35
la seguridad cibernética 27 Apoyo a la cuantificación del
riesgo cibernético 35
La comprensión del CFO de la 36
Compra de seguro cibernético
ciberseguridad 28
Evaluación de riesgos de terceros 37
Los aspectos de ciberseguridad que
el CFO debe considerar 30 Comunicarse con el
CFO sobre riesgos cibernéticos 37
La perspectiva de un CFO 32
Costos económicos 39
Abordar el riesgo cibernético desde
Mentalidad 40
una visión financiera compleja 33
Preguntas para hacerle a su CFO 40
Definición del rol del CFO en la
34 Resumen 41
construcción de resiliencia cibernética
3
El papel de la CRO en la resiliencia cibernética 43
Entender el papel de la Desarrollando la mentalidad correcta
CRO y sus áreas de enfoque clave 45 como CRO 52
Análisis de las prioridades clave Comprender el potencial
de la CRO 46 de colaboración entre el CRO
y el CISO 54
Identificación de los
desafíos del CRO 47 Preguntas para hacerle a su CRO 56
Estrategias, sistemas, marcos para Resumen 57
gestionar el riesgo cibernético 50
Conectando los puntos 52
Índice xvii
4
Su CIO: su habilitador cibernético 59
Comprender el rol del CIO y los Diferencias y
impactos que sus decisiones puntos en común entre los
tienen en la ciberseguridad 61 Funciones de CIO y CISO sesenta y cinco
Adopción rápida de tecnología 62
Adelantándose a los
Equilibrar la transformación digital 63 ciberdelincuentes 67
Panorama regulatorio complejo sesenta y cinco
Cómo el CIO respalda su
Riesgos de terceros sesenta y cinco
68
seguridad
Preguntas para hacerle a su CIO 70
Resumen 71
5
Trabajando con su CISO 73
Comprender el papel del CISO Preguntas para hacerle a su CISO 88
74
Un segmento de bonificación para nuestro
La comprensión de su CISO de su CISO: decodificando su
negocio 77 Expectativas de los CxO 89
Prioridades para un nuevo CISO 78 Comunicación clave
no negociables 90
Abordar los desafíos de la
Cuantificación del riesgo cibernético: la
ciberseguridad 78
Santo Grial para su éxito 92
Identificación y cuantificación
de riesgos cibernéticos 80
Un segmento de bonificación para
Los diferentes enfoques para Nuestros CISO—Compras
manejar su riesgo cibernético 82 95
Seguro Cibernético
Estrategia de gestión del riesgo cibernético 84
Un segmento de bonificación para nuestro
Métricas de ciberseguridad 87
CISO—Reportando al
Indicadores para tableros/informes Junta Directiva 98
88
Resumen 99
xviii Índice
6
El papel del CHRO en la reducción del riesgo cibernético 101
Por qué el CHRO debería Los desafíos que enfrentan
preocuparse por la ciberseguridad 102 los CHRO con la ciberseguridad 111
El papel de transición del CHRO Preguntas para hacerle a su CHRO 112
105
Un segmento adicional para nuestro
Cómo el CHRO apoya la CISOs: reclutando y
resiliencia cibernética 107 construyendo su ciberseguridad
equipo 113
Las herramientas que utiliza RRHH 109
Resumen 116
Reclutar miembros
calificados del equipo de ciberseguridad 109
7
El director de operaciones y su papel fundamental en la resiliencia cibernética 117
Entender el papel de la Gestión del plan de continuidad del
ARRULLO 118 negocio: lo que se debe y lo que no se
debe hacer 122
Por qué el COO debería
preocuparse por la ciberseguridad 119 ¡La continuidad del negocio y la recuperación
Donde está la línea entre el ante desastres no deben fallar! 123
COO y el CISO en términos ¿Cómo es un buen BCP? 124 La metodología
Planificación de la 124
de responsabilidad por la continuidad
120 recuperación ante desastres 127
del negocio
Prueba, prueba, prueba.
Tecnología operativa y ciberseguridad:
128
¿Mencionamos que su plan debe ser probado?
una necesidad en el mundo actual
121 Preguntas para hacerle a su director de operaciones 128
Resumen 129
Índice xix
8
El CTO y la seguridad por diseño 131
El papel del CTO 132 Codificación segura y desarrollo

La diferencia entre un de software seguro 137
CDO y CTO 133 Conflictos de interés y
colaboración entre los
Por qué el CTO debería
CTO y CISO 139
preocuparse por la ciberseguridad 134
Cómo el CTO se convierte en un Preguntas para hacerle a su CTO 141
136 Resumen 142

aliado de seguridad
9
El CMO y el CPO: convergencia entre privacidad y
seguridad 143
Lo que el CMO y CPO El papel del marketing y la
roles tienen en común 144 comunicación tras un ciberincidente
152
El papel del marketing y la
privacidad en la ciberseguridad 146 Preguntas para hacerle a su
147 CMO y CPO 154
Mitigación de riesgos
Resumen 155
La intersección de la privacidad y
la seguridad 150
10
El mundo del tablero 157
Entendiendo el mundo del tablero Los intereses de la junta en
158 la seguridad cibernética 162
La estructura del tablero 160 propiedad de la empresa 163
Inversión adecuada 164
xx Tabla de contenido
correctamente equipado 164 Reporting to the board (un

Opciones de transferencia de riesgos 165 complemento para los CISO y
mantenimiento de la previsión 165 una referencia para los CEO) 171
Resiliencia de la industria 165
Directorios y fusiones y
adquisiciones 172
El asiento del CISO en la mesa 166
Hacer las preguntas correctas a
Hablando el idioma de la junta167
la junta y preparar a su CISO
Qué no hacer en el
para el éxito 173
sala del consejo 170
Resumen 174
11
La receta para construir una seguridad fuerte
Cultura: unirlo todo 177
Construyendo una sólida cultura de Una conciencia cibernética práctica
seguridad 178 programa 188
Reuniéndolo todo 179 ¿Qué tipo de comunidad estás

construyendo? 190
Complemento de CISO: creación de
una cultura de ciberseguridad 181 Preguntas que debe hacerse
sobre la construcción de una 191
Los diferentes bloques de construcción 183
185 cultura Resumen 192
Variando tu entrenamiento
Responsabilidad de compartir la nube 187
Índice 193
Otros libros que puede disfrutar 202
Prefacio
El liderazgo ejecutivo es esencial para crear una cultura de ciberseguridad y
resiliencia empresarial dentro de una organización. Por lo tanto, cada ejecutivo tiene
un papel que desempeñar en la ciberseguridad y la resiliencia cibernética de su organización.
Los ejecutivos deben ser conscientes de los riesgos que enfrenta su organización y
deben colaborar para implementar la estrategia adecuada para proteger los datos y la
infraestructura de la empresa.
Además, los miembros del equipo ejecutivo pueden desempeñar un papel fundamental en la
respuesta a un incidente cibernético. Pueden brindar orientación durante la fase de respuesta,
ayudar a garantizar que todas las partes interesadas estén informadas y tomar decisiones
sobre cómo restaurar mejor los sistemas y servicios. Finalmente, los ejecutivos también
deben continuar trabajando para aumentar la postura general de seguridad cibernética de la
organización, incluso cuando no hay un incidente activo.
Este libro brinda una visión detallada del rol de cada ejecutivo en el camino de la resiliencia
cibernética y brinda conocimientos prácticos, con lecciones aprendidas, que respaldan un
cambio de mentalidad para abordar la nueva era de la digitalización.
para quien es este libro
Este libro es para usted, el ejecutivo que siente curiosidad por la resiliencia cibernética y el
riesgo cibernético y está listo para comprender la importancia del papel de todos para lograrlo.
Lo que cubre este libro
El Capítulo 1, El Manual Cibernético del CEO, comienza con la presentación de los
fundamentos para construir un negocio resistente a la cibernética en un mundo digitalizado.
El director ejecutivo tiene un papel fundamental en la ciberseguridad y la ciberresiliencia, ya
que es el responsable final de la seguridad general de la empresa y sus datos.
xxii Prefacio
El Capítulo 2, Un CFO ciberresponsable moderno, establece los fundamentos para el
éxito de un CFO en el apoyo a la resiliencia cibernética. El director financiero tiene un
papel fundamental en la ciberseguridad y la resiliencia cibernética. Una de sus funciones
clave es garantizar que la organización tenga datos precisos para tomar decisiones. El
CFO también es responsable de garantizar que exista un proceso para cuantificar las
pérdidas asociadas con un ataque cibernético, en colaboración con el Director de
Seguridad de la Información. Esto incluye cuantificar la pérdida financiera, pero también
el costo del tiempo de inactividad, la pérdida de datos del cliente y la pérdida de productividad de los empleado
El Capítulo 3, El papel del CRO en la resiliencia cibernética, analiza las perspectivas,
los desafíos y la forma en que el riesgo cibernético se integra en la estrategia de
gestión de riesgos de una empresa. El CRO es responsable de asegurarse de que
la empresa gestione todo tipo de riesgos y, cuando se trata de cibernéticos, deben
colaborar estrechamente con el CISO para lograr una postura de riesgo equilibrada.
El Capítulo 4, Su CIO: su habilitador cibernético, explora el papel del director de
información en la resiliencia cibernética, que es garantizar que una organización
tenga una infraestructura tecnológica mientras protege sus activos digitales y que
estos activos estén accesibles para las partes interesadas adecuadas cuando sea
necesario. Es responsabilidad del CIO mantenerse al día con las nuevas tecnologías
y desarrollar políticas y procedimientos para incorporar estas tecnologías en la
infraestructura de la organización, incluidas las cuestiones de seguridad y privacidad.
Esta puede ser una tarea desafiante, ya que a menudo requiere equilibrar las
necesidades de seguridad con las necesidades comerciales. Este capítulo presenta
ejemplos de conflictos de intereses inherentes a las responsabilidades del CIO y cómo abordarlos sin deja
El Capítulo 5, Trabajando con su CISO, es una descripción completa del mundo del Director
de Seguridad de la Información, los desafíos, las lecciones aprendidas y los conocimientos
prácticos sobre la cuantificación y transferencia de riesgos cibernéticos. El CISO es
responsable de la gestión de riesgos dentro de una organización. Trabajan con el liderazgo
sénior para garantizar que la empresa esté protegida contra amenazas cibernéticas y que
los procesos comerciales puedan continuar en caso de un incidente cibernético. El CISO
también es responsable de la usabilidad mientras mantiene un equilibrio con la seguridad.
Trabajan con departamentos de toda la empresa para garantizar que los empleados tengan
acceso solo a los datos que necesitan para hacer su trabajo, y que esa información sea
accesible de una manera que tenga sentido para el negocio.
El Capítulo 6, El papel del CHRO en la reducción del riesgo cibernético, profundiza en el
papel del director de recursos humanos en la seguridad cibernética, que es garantizar que
la empresa tenga las políticas y procedimientos de recursos humanos adecuados para
proteger los datos personales de los empleados y mitigar el riesgo de un ciberataque El CHRO,
Prefacio XXIII
junto con el CISO, es responsable de desarrollar e implementar un programa de
concientización sobre seguridad que eduque a los empleados sobre cómo protegerse en
línea, cómo detectar correos electrónicos de phishing y qué hacer si sospechan que han sido
comprometidos. Además, el CHRO debe trabajar con el CISO para establecer un cambio
cultural y la adopción de la conciencia cibernética.
El capítulo 7, El director de operaciones y su papel fundamental en la resiliencia
cibernética, examina el papel del director de operaciones en ciberseguridad, que es
ayudar a desarrollar y ejecutar el plan de continuidad comercial (BCP) de una
organización. El BCP describe cómo seguirá funcionando la empresa en caso de
una interrupción importante, como un ataque cibernético. El COO es responsable
de garantizar que el BCP esté actualizado y sea completo y que todos los
departamentos sean conscientes de sus funciones y responsabilidades en relación
con él. La colaboración entre el COO y el CISO es fundamental para lograr un viaje resiliente exitoso.
El Capítulo 8, El CTO y la seguridad por diseño, aborda específicamente las
responsabilidades del director de tecnología en el apoyo a la resiliencia cibernética.
El papel del CTO en ciberseguridad es garantizar que los procesos de desarrollo de
software sean seguros y cumplan con los estándares de la industria. Esto incluye la
supervisión del ciclo de vida de desarrollo seguro (SDLC), que abarca la revisión del
código, las pruebas y otras actividades diseñadas para garantizar que las aplicaciones
estén libres de vulnerabilidades. Además, el CTO trabaja en estrecha colaboración con
otras partes de la organización para garantizar que la seguridad esté integrada en
todas las facetas del negocio, lo que requiere una estrecha colaboración con el CISO.
El Capítulo 9, El CMO y el CPO: Convergencia entre privacidad y seguridad, explora
cómo, en los últimos años, los roles de director de marketing y director de privacidad
se han vuelto cada vez más importantes en la ciberseguridad. A medida que el
mundo se vuelve más conectado, las empresas recopilan y almacenan más datos
que nunca. Y con la reciente entrada en vigor del Reglamento General de Protección
de Datos (GDPR) , las empresas deben tener mucho cuidado con la forma en que
recopilan, procesan y almacenan los datos de los clientes. Ahí es donde entran el
CMO y el CPO. El CMO es responsable de supervisar todas las actividades de
marketing dentro de una empresa. Esto incluye el desarrollo de estrategias de
marketing, la planificación y ejecución de campañas de marketing y el análisis de las tendencias del merc
El CPO, por otro lado, es responsable de garantizar que la política de privacidad de una
empresa cumpla con todas las leyes y regulaciones aplicables. Este capítulo proporciona
buenos conocimientos sobre cómo esos dos roles respaldan la resiliencia cibernética.
xxv Prefacio
El Capítulo 10, El mundo de la junta, analiza las prioridades comerciales y aclara el papel de una
junta directiva para lograr la resiliencia empresarial mientras apoya al CISO. El papel de la junta
en ciberseguridad es garantizar que una organización tenga las defensas adecuadas para proteger
sus activos digitales y que la administración haya implementado procesos y protocolos para mitigar
el riesgo y responder a incidentes. La junta también debe asegurarse de que la organización
cuente con un marco de gestión de riesgos, que incluye la evaluación de vulnerabilidades y
amenazas, la determinación de niveles aceptables de riesgo y la implementación de controles de
mitigación. Finalmente, la junta debe revisar los planes de respuesta a incidentes para asegurarse
de que sean adecuados y permitan que la organización restablezca rápidamente las operaciones
normales después de un incidente.
El Capítulo 11, La receta para construir una cultura de seguridad sólida: reunir
todo, reúne todo lo que hemos aprendido y brinda una descripción general
integral de cómo el esfuerzo de un equipo conduce a un negocio resistente. Un
La cultura de conciencia cibernética de una organización es un conjunto de valores, políticas y
normas que rigen cómo sus empleados utilizan los datos personales y la tecnología de la
información. Una fuerte cultura de conciencia cibernética ayuda a una organización a protegerse
de las amenazas cibernéticas al educar y capacitar a sus empleados para que sean conscientes
de la seguridad en sus rutinas de trabajo diarias.
Descarga las imágenes a color
También proporcionamos un archivo PDF que tiene imágenes en color de las capturas
de pantalla y los diagramas utilizados en este libro. Puedes descargarlo aquí: https://
packt. enlace/xgNMw.
Ponerse en contacto
Los comentarios de nuestros lectores es siempre bienvenido.
Comentarios generales: si tiene preguntas sobre cualquier aspecto de este libro, envíenos un
correo electrónico a customercare@packtpub.com y mencione el título del libro en la línea de
asunto de su mensaje.
Errata: Aunque hemos tomado todas las precauciones para garantizar la
precisión de nuestro contenido, los errores ocurren. Si encuentra un
error en este libro, le agradeceríamos que nos lo informara. Visite
www.packtpub. com/support/errata y rellene el formulario.
Prefacio xxv
Piratería: si encuentra copias ilegales de nuestros trabajos en cualquier forma en
Internet, le agradeceríamos que nos proporcionara la dirección de la ubicación o
el nombre del sitio web. Póngase en contacto con nosotros en copyright@packt.com
con un enlace al material.
Si está interesado en convertirse en autor: si hay un tema en el
que tiene experiencia y está interesado en escribir o contribuir a
un libro, visite authors.packtpub.com.
Comparte tus pensamientos
Una vez que haya leído Construyendo un negocio resistente cibernético, ¡nos encantaría escuchar
sus pensamientos! Por favor, para este libro y compartir sus comentarios.
Su revisión es importante para nosotros y la comunidad tecnológica y nos ayudará a asegurarnos
de que ofrecemos contenido de excelente calidad.
1
El CEO cibernético
Manual
Si pudiéramos viajar en el tiempo, aunque solo sea unos pocos años, nadie podría haber
imaginado que se produciría una pandemia mundial, que causaría una agitación social
masiva y afectaría a casi todos los sectores. La pandemia de COVID19 que se transmitió
rápidamente a casi todas las naciones a principios de 2020 afectó la vida tal como la
conocemos, incluida la forma en que trabajamos, interactuamos entre nosotros y, esencialmente, cómo vivimos.
Las empresas y las instituciones educativas cerraron, los empleados se vieron obligados a
trabajar desde casa o de forma remota desde otros lugares, las cadenas de suministro se
interrumpieron, las personas se vieron obligadas a aislarse, se prohibió la mayoría de los
viajes y las reuniones y conferencias en persona pasaron a reuniones virtuales. Cuando
comenzamos a escribir este libro, estas interrupciones ya se habían producido durante
varios meses. Incluso cuando dejamos nuestros bolígrafos, casi dos años después, los
tiempos en que vivimos han cambiado drásticamente y las consecuencias económicas,
comerciales y sociales se sentirán durante años.
No obstante, las empresas necesitan operar en este nuevo entorno. Los medios de
subsistencia dependen de ello. Las operaciones y los servicios corporativos deben seguir
funcionando sin problemas y de manera eficiente. La tecnología ha sido una solución viable,
utilizada tanto de manera convencional como creativa.
Con más empresas que adoptan tecnologías digitales en su intento por mejorar la eficiencia,
el valor y el ritmo de la innovación, nos encontramos en la era de la transformación digital.
Muchos procesos y servicios se mueven continuamente en línea, y tecnologías como la
computación en la nube, la robótica, los drones, la inteligencia artificial, los chatbots, las
realidades virtuales, la realidad aumentada, los sistemas autónomos y el Internet de las
cosas están dando forma al futuro del lugar de trabajo.
2 El Manual Cibernético del CEO
La tecnología juega un papel vital en todas las actividades, desde las operaciones en el cuidado de
la salud, los negocios, la educación, el gobierno, el sistema legal y los servicios comunitarios hasta
las casas conectadas con los consumidores. Los avances tecnológicos recientes han alterado
significativamente la forma en que llevamos a cabo nuestras actividades personales y comerciales cotidianas.
Si bien muchos ejecutivos de nivel C están entusiasmados con la forma en que la tecnología puede
ayudar a las empresas y las personas, su adopción presenta inconvenientes, como una mayor
interconectividad y dependencia de terceros. Esta dependencia también plantea preocupaciones
sobre los riesgos cibernéticos emergentes.
Dado que las juntas directivas ven con frecuencia ataques cibernéticos (desde atacantes avanzados
de estados nacionales hasta amenazas maliciosas promedio) y guerra cibernética en los titulares, es
natural que estén cada vez más preocupados y desconfiados de que las empresas sean víctimas. Al
mismo tiempo, las partes interesadas de las empresas se han visto abrumadas por la jerga técnica y
la desalineación entre las empresas y la ciberseguridad. En este manual, describiremos las
responsabilidades de cada puesto ejecutivo para lograr un negocio con resiliencia cibernética.
En este primer capítulo, vamos a responder las preguntas más frecuentes de los principales
stakeholders del negocio abordando los siguientes temas:
• Por qué la ciberseguridad debería ser la prioridad de un CEO
• Comprender los riesgos cibernéticos y sus implicaciones en un negocio • Comprender
los desafíos, la organización y los informes de seguridad cibernética
• Cuantificación de los costos cibernéticos frente al retorno de la inversión
• Construir una cultura de ciberseguridad • Preparar
un negocio para ciberataques
• Consideraciones de ciberseguridad para el primer mes de un CEO
• Preguntas que debe hacerse como director general al considerar su cobertura de riesgo
cibernético
Por qué la ciberseguridad debería ser la prioridad de un CEO 3
Por qué la ciberseguridad debería ser la prioridad
de un CEO
Como director ejecutivo (CEO), administrador en jefe o simplemente director
Ejecutivo (CE) a cargo de administrar una organización, cuatro objetivos son críticos
para las empresas en la nueva normalidad:
• Transformación digital y en la nube, que se ha acelerado debido al trabajo remoto a
largo plazo.
• Aumentar el ritmo de la automatización, respaldado por la adopción de tecnología. •
Situar la sostenibilidad en el centro de todas las iniciativas.
• Desarrollo de habilidades y retención de talentos, que se vuelve más difícil cada día
debido a la cambiante demanda del mercado laboral.
Vivimos en un mundo globalmente conectado, donde la información es el alma de una
organización y la tecnología los vasos sanguíneos. Tradicionalmente, las empresas generan
confianza a través de archivos físicos y bloqueos, protegiendo los intereses de sus clientes
con procesos de seguridad manuales. A medida que las empresas evolucionan y cambia la
naturaleza de la entrega de productos y servicios a los clientes, también aumenta su
dependencia de la tecnología, se den cuenta o no.
Hoy en día, los clientes interactúan con las empresas a través de canales digitales, creando
una gran cantidad de datos digitales y evitando cualquier forma de papel y archivos físicos.
A través de este cambio en las expectativas de los clientes, las empresas intentan
mantenerse al día y, a veces, incluso intentan mantenerse a la vanguardia mediante la
adopción de nuevas tecnologías, incluidas las redes en la nube, Internet de las cosas (IoT),
inteligencia artificial y blockchain, a un ritmo rápido. tasa. El año 2020 vio específicamente
una explosión de digitalización, impulsada por personas que se vieron obligadas a trabajar
desde casa. Los requisitos de cuarentena significaron que los clientes ya no podían
simplemente ingresar a cualquier tienda física. Debido a las amenazas planteadas por el
COVID19, las empresas se vieron obligadas a adoptar modelos comerciales más
impulsados por la tecnología para seguir siendo competitivas.
Estos cambios son beneficiosos para las empresas, ya que aumentan los ingresos al
proporcionar automatización y un mejor servicio al cliente, con todo al alcance de la mano
de los clientes. Sin embargo, la intangibilidad de los datos y activos almacenados en forma
digital en la nube y otros sistemas tecnológicos ha creado una falsa sensación de seguridad.
Estos cambios transformadores, incluidos los ecosistemas cada vez más complejos en los
que operan las empresas, han aumentado inevitablemente la exposición al riesgo de las
organizaciones y, por lo tanto, su riesgo cibernético. Debido a la intangibilidad de los datos
y las plataformas digitales, históricamente los directores ejecutivos no han visto un valor
claro en invertir en seguridad cibernética y los riesgos emergentes que trae la adopción de
tecnología: “ No soy un objetivo, y tengo un equipo de tecnología de la información trabajando
en el problema. Estoy a salvo." Esa es la retroalimentación típica que hemos escuchado
regularmente de los líderes de las organizaciones.
Para muchas otras empresas, la seguridad cibernética todavía se considera agradable, un
requisito no funcional impulsado solo por las demandas de los clientes. Por lo tanto, es
desafortunado que las empresas hayan sido víctimas del delito cibernético antes de que
comiencen a ver el riesgo cibernético como un riesgo comercial tangible.
En última instancia, es responsabilidad del CEO crear, instituir y mantener una estrategia de
seguridad cibernética. En una encuesta de AICD de mayo de 2022 sobre el Informe de prácticas
de resiliencia cibernética de la junta, de los 856 directores de juntas en Australia, la mayoría
indicó que el director general era el ejecutivo principal responsable de desarrollar la resiliencia
cibernética en la organización. La Figura 1.1 muestra los resultados de esa encuesta.
Figura 1.1 – Encuesta sobre quién es responsable de desarrollar la resiliencia
cibernética en su organización
Con las empresas cada vez más dependientes de la tecnología para brindar servicios a los
clientes y con nuevos cambios en su modelo operativo, los directores ejecutivos deben reevaluar
las formas en que van a retener y, después de un ataque cibernético, recuperar la confianza de
sus clientes.
Por qué la ciberseguridad debería ser la prioridad de un CEO 5
Dependencia de la tecnología: un punto ciego de falla empresarial
crítico Las empresas ahora tienen más
flexibilidad, opciones de automatización y capacidades móviles gracias a la
tecnología. No sorprende ver cuán dependientes son los propietarios de las
empresas de la tecnología y cómo la tecnología ayuda al crecimiento de las empresas.
Según un estudio reciente, más del 48 por ciento de los propietarios de empresas dicen que la
capacidad de operar su empresa desde un dispositivo móvil es fundamental. Esta estadística está
respaldada por el hecho de que el dueño de una empresa típica usa su dispositivo móvil al menos
veintiuna veces al día.
La digitalización masiva de los procesos comerciales centrales, desde las ventas hasta las cuentas
por cobrar, el análisis comercial, las líneas de producción, la optimización de costos y la mejora de la
productividad, ha aumentado el impacto potencial que una falla tecnológica puede tener en una
empresa. Cada proceso comercial depende de la tecnología, desde una simple hoja de cálculo hasta
una plataforma tecnológica completa.
El riesgo cibernético se define como cualquier riesgo de pérdida financiera, interrupción o daño a
una organización debido a una falla de sus sistemas de tecnología de la información debido a una
amenaza cibernética. Este riesgo se extiende a la interrupción de la tecnología, la pérdida de datos,
el robo o la divulgación de datos y la retirada de productos como ejemplos de posibles riesgos comerciales.
Cada organización (y de hecho cada individuo) es un objetivo. La dependencia de la información y la
tecnología ha expuesto exponencialmente a todos al riesgo cibernético, independientemente de la
industria, el tamaño o la geografía. Simplemente no es realista afirmar: " Nunca seremos atacados"
o "No nos pasará a nosotros". Se reconoce ampliamente que las empresas se dividen en dos
categorías: las que han sido pirateadas y las que aún no saben que han sido pirateadas.
Los directores ejecutivos más expertos en tecnología y cibernéticos saben que los modelos
comerciales cambiantes y las crecientes dependencias tecnológicas conducen a riesgos cibernéticos
emergentes que pueden tener un impacto tangible en sus negocios. Este es un punto de partida para
que las organizaciones aborden esos desafíos cibernéticos y decidan iniciativas cibernéticas
adecuadas y rentables. Incorporar la seguridad en una nueva plataforma tecnológica desde el
principio a menudo será más económico que tener que volver a trabajar en una solución en una
etapa posterior. Cubrimos esto con más detalle más adelante en el capítulo.
La seguridad cibernética es un pilar crítico ambiental, social y de gobierno Los
inversores de hoy en día están tan preocupados por la
postura de seguridad cibernética de una empresa como por la capacidad del sistema
y la estabilidad operativa. A menudo revisan las políticas de protección de datos y
seguridad de la información para evaluar los riesgos cibernéticos de una empresa. A
medida que nuestra economía digital continúa floreciendo y evolucionando, la gerencia
ejecutiva y los inversionistas globales también se vuelven rápidamente más conscientes
del impacto comercial y social generalizado de una brecha cibernética (como el daño
financiero o de reputación). La ciberseguridad, que alguna vez fue principalmente un
problema tecnológico, ahora se reconoce como una preocupación ambiental, social y
de gobierno (ESG) crítica , en particular, una métrica clave del pilar social .
Los marcos ESG son una forma práctica de evaluar el comportamiento empresarial. Al incluir
la ciberseguridad como una de sus preocupaciones, se introduce una nueva dimensión, que
brinda información sobre cómo una organización aborda los riesgos cibernéticos y los
comportamientos en línea de los empleados, los cuales son elementos vitales de la imagen general de ESG.
A medida que la fuerza de trabajo global ha pasado a trabajar desde casa, más empleados
quedan fuera de las protecciones de seguridad que ofrecen los sistemas y entornos de TI
de su oficina. Esto ha resultado en una mayor vulnerabilidad en las defensas de seguridad
de las organizaciones (quizás causada por hábitos inseguros debido a la falta de
conciencia o apatía de seguridad), lo que lleva a incidentes cibernéticos más frecuentes
y, por supuesto, a centrar más la atención en el área de ciberseguridad. Si las empresas
no protegen suficientemente sus redes de información, corren el riesgo de ser multadas
en caso de incumplimiento y/o dañar su reputación. Hemos visto que esto se vuelve cada
vez más común en los sectores de TI y servicios financieros y de comunicaciones, junto
con sectores que tradicionalmente no han invertido tanto dinero en ciberseguridad.
La ciberseguridad se ha convertido en una preocupación social y es necesario tener en
cuenta una perspectiva global, teniendo en cuenta los datos geográficos y geopolíticos al
analizar los ciberataques. También es una industria en crecimiento, con un gasto central
en seguridad que se estima alcanzará los 1,75 billones de dólares durante un período de
cinco años, de 2021 a 2025, según Cybersecurity Ventures.
Aumentar la inversión en los sistemas, productos y servicios de una empresa para aumentar
la protección contra los ataques cibernéticos puede beneficiar a muchas empresas en
diferentes sectores industriales, lo que significa que las organizaciones, los inversores y el
público en general son cada vez más conscientes de la necesidad de protección de seguridad cibernética.
Aunque incluir la ciberseguridad como una métrica ESG todavía es relativamente nuevo
Comprender los riesgos cibernéticos y sus implicaciones para las empresas 7
concepto, hay un aumento innegable y un interés continuo en esto en todas las
industrias. En una discusión que Shamane (coautor de este libro) tuvo con un
grupo de directores, destacaron con gran entusiasmo que los dos temas candentes
actuales que se mencionan constantemente en la sala de juntas son ESG y
ciberseguridad. Que la ciberseguridad se convierta en una preocupación de ESG,
por lo tanto, tiene mucho sentido.
La ciberseguridad ya no es solo un problema técnico; no solo está aquí para quedarse como una
preocupación de ESG, sino que también se expandirá a otros segmentos de un negocio con el
tiempo a medida que el reconocimiento de su necesidad se vuelva algo común.
Ahora que hemos desglosado el papel y el futuro de la ciberseguridad y por qué debe ser una
prioridad para todos los directores ejecutivos, en la siguiente sección profundizaremos en la
comprensión de los fundamentos comerciales relacionados con el riesgo cibernético.
Demostraremos cómo la ciberseguridad se puede alinear con los objetivos y prioridades
comerciales, y ayudaremos a traducir la jerga técnica en riesgos comerciales.
Comprender los riesgos cibernéticos y sus
implicaciones para las empresas
La ciberseguridad es a menudo una ocurrencia tardía, un requisito contractual, una casilla de
verificación de cumplimiento o un requisito de licitación mezclado con otros requisitos funcionales.
Rara vez se incluye como una estrategia integrada dentro de un negocio. Dado que un riesgo
cibernético se percibe como complejo e intangible (hasta que una empresa es víctima de un
ataque cibernético), muchos ejecutivos tienen el desafío de comprender y evaluar la necesidad
de incorporarlo en su plan de negocios y, en cambio, abordarlo como un riesgo empresarial en
general.
La siguiente lista detalla algunas preguntas que los líderes ejecutivos deben hacer sobre la
estrategia de ciberseguridad en su empresa:
• "¿Cuál es mi ROI cibernético?" •
“¿Cuál es mi exposición?” •
“¿Cuáles son mis pérdidas en caso de un ciberataque?” • “¿Causará
un evento cibernético daño físico a nuestros sistemas?” • “¿Cuánto debo gastar
en ciberseguridad y cuánto debo
¿Priorizo?
• “¿Qué tan preparados estaríamos si ocurriera un evento de seguridad significativo?”
Estas preguntas plantean y definen los desafíos actuales de abordar los riesgos cibernéticos. La
carrera reciente para adoptar soluciones digitales para las empresas, junto con la falta de conciencia
cibernética y una regulación mínima o fragmentaria, ha creado la necesidad urgente de que las
organizaciones desarrollen conciencia y comprensión de su exposición al riesgo cibernético, la
importancia general de la seguridad cibernética y su rentabilidad. inversión (ROI).
En primer lugar, es importante alinear la ciberseguridad de una empresa con sus objetivos
comerciales. Proteger una empresa de ataques cibernéticos y filtraciones de datos es crucial y
requiere recursos calificados con un presupuesto adecuado. Sin embargo, no se limita a comprar
herramientas costosas o hacer que su equipo de TI trabaje con esas herramientas. Los programas
de seguridad deben tener una visión a largo plazo y nunca hay una "fecha de finalización".
La gestión del riesgo cibernético requiere un enfoque de riesgo holístico que incorpore controles de
mitigación en las esferas de las personas, los procesos y la tecnología.
Debe alinearse con las prioridades comerciales y el apetito de riesgo de la empresa.
Los riesgos cibernéticos a menudo son abordados de manera inadecuada (si es que lo son) por las partes
interesadas del negocio, probablemente porque carecen de la conciencia para hacerlo. “No nos pasará a nosotros”.
Con demasiada frecuencia, las organizaciones tienden a ocultar los riesgos cibernéticos bajo el
riesgo tecnológico general, que a su vez queda oculto bajo el riesgo operativo. Los riesgos
cibernéticos no son solo malware; un riesgo cibernético puede provocar interrupciones en las
operaciones comerciales, violaciones de datos, pérdida de datos y/o daños a la reputación.
Desafortunadamente, demasiadas empresas y demasiados ejecutivos aún no han comenzado a ver
un ataque cibernético como un riesgo y no solo como un problema de TI. Con demasiada frecuencia,
la seguridad cibernética sigue siendo un problema cuando los profesionales que respaldan las
estrategias de seguridad cibernética no tienen las habilidades, la experiencia y las calificaciones adecuadas.
El riesgo cibernético es un riesgo empresarial. Así como cualquier empresa que opere un espacio de
oficina físico debe tomar precauciones para protegerse contra las amenazas a la propiedad, las
organizaciones de hoy en día deben protegerse de los riesgos tecnológicos, especialmente con la
creciente adopción de políticas de trabajo desde el hogar y una cantidad creciente de actividades
comerciales. realizado exclusivamente con tecnología.
Mitigar el riesgo cibernético requiere controles de seguridad cibernética para proteger la información y
los sistemas del acceso no autorizado, la pérdida, el robo y la interrupción. Las organizaciones deben
asegurarse de que la información, las aplicaciones y los sistemas de TI sean fácilmente accesibles
para el personal y los usuarios autorizados y, al mismo tiempo, estén protegidos contra daños e
interrupciones y, al mismo tiempo, garanticen que la inversión en sus planes de seguridad cibernética valga la pena.
Los posibles controles aquí no se limitan a soluciones técnicas, sino que se basan en un equilibrio
entre los controles de personas, procesos y tecnología que respaldan el negocio y mitigan el riesgo
para el negocio.
Comprender los desafíos, la organización y los informes de ciberseguridad 9
Por último, las regulaciones locales influyen en las estrategias de ciberseguridad.
Inevitablemente, cuando las organizaciones y las industrias no logran cumplir con las
expectativas de la comunidad y abordar la seguridad y protección de los consumidores,
el papel del gobierno es intervenir a través de la regulación. En algunos países, los
gobiernos han sido proactivos y han creado marcos regulatorios para apoyar a las
empresas en su proceso de seguridad cibernética, dirigiéndolas a través de pautas,
leyes y reglamentos. En Singapur, las subvenciones específicas (como el programa
GoSecure) están disponibles para las empresas como iniciativas de seguridad
cibernética cofinanciadas para acelerar la adopción de higiene cibernética básica en
todo el país. Otros ejemplos de esquemas respaldados por el gobierno incluyen Cyber
Essentials en el Reino Unido y Cyber Security Skills Partnership Innovation Fund en
Australia. El nivel de participación y el papel de los gobiernos difieren de un país a
otro y no existe un modelo único para todos. Lo que está claro es que la ciberseguridad
debe ser una prioridad de todos los gobiernos.
Un CEO o un líder empresarial debe comprender esto antes de discutir, iniciar o
contratar sus capacidades cibernéticas comerciales. La ciberseguridad no es un
problema de TI, es, de hecho, un riesgo comercial.
Con esto, es necesario comprender los desafíos que enfrenta la ciberseguridad
y cómo se organiza. En la siguiente sección, desmitificaremos los desafíos
actuales de ciberseguridad, centrándonos en la pregunta crítica: ¿Por qué las
empresas son continuamente pirateadas mientras parecen hacer lo "correcto"?
Comprender los desafíos, la
organización y los informes de
ciberseguridad
La ciberseguridad es una profesión joven y emergente. Esa es una de las razones por las que
muchos ejecutivos de alto nivel no la entienden por completo ni la toman en serio. Si bien muchos
directores ejecutivos y miembros de la junta tienen una amplia experiencia multifuncional en
contabilidad, finanzas, marketing o recursos humanos, pocos tienen mucha experiencia en seguridad cibernética.
Como resultado, los riesgos cibernéticos no se entienden comúnmente en las salas de
juntas. Muchas empresas dejan la seguridad cibernética en manos del director de
información (CIO)/ director de tecnología (CTO) de la organización , y la gestión del
riesgo cibernético se percibe como un costo confinado al departamento de TI, donde
debe competir por recursos/presupuesto con nuevas iniciativas para la generación de
ingresos. aumento de beneficios , adquisición de clientes, etc.
Un director de seguridad de la información (CISO) , que es responsable de la
confidencialidad, la integridad y la disponibilidad de los datos, a menudo informa a un
CIO o CTO. Si bien esta estructura es común, ha resultado ineficaz debido a los objetivos
del CISO con respecto a la seguridad cibernética y el conflicto de intereses asociado
con el CIO. El CIO tiene como objetivo garantizar que la implementación de cualquier
tecnología comercial se complete dentro del plazo y el presupuesto requeridos, pero los
requisitos de seguridad pueden ralentizar este proceso al requerir verificaciones y
pruebas adicionales antes del lanzamiento. En muchos casos, es posible que los
elementos de seguridad ni siquiera se traten como una prioridad comercial.
Cuando Hai (coautor de este libro) era el CISO en la Fuerza de Policía de Australia Occidental, le
sugirió a un alto ejecutivo: “Si la seguridad es responsable de la disponibilidad, integridad y
confidencialidad de la información, entonces quizás el CIO/CTO debería informar al CISO, en lugar
de tener que competir por los recursos de la organización”. Este fue un intento de cambiar la
mentalidad del ejecutivo sobre cómo se percibía el papel de la seguridad.
La opinión contraria del alto ejecutivo era que la seguridad se mantenía “saludable”
compitiendo con otras facetas comerciales por los recursos. Sin embargo, es un hecho
que el riesgo cibernético es un problema comercial que solo puede resolverse a través
de la colaboración, no de la competencia. La ciberseguridad debe verse como una parte
integral para lograr con éxito los objetivos comerciales. Un producto o servicio
proporcionado sin las medidas de seguridad necesarias para protegerlo y la empresa resultará costoso al final.
Informe de costo de una violación de datos de IBM 2021 (https://www.ibm.com/ auen/security/
databreach) reveló que en 2021 se registró el costo total promedio más alto de violaciones de
datos en los diecisiete años de historia del informe. Este costo aumentó de $3,86 millones en
2020 a $4,24 millones en 2021, lo que sugiere que cada vez es más costoso recuperarse de un
ataque cibernético que abordar la seguridad desde el diseño en la etapa inicial de adopción de
tecnología. También muestra que va más allá de las capacidades de un departamento de TI y
sus objetivos.
Después de haber trabajado con los departamentos de TI de las fuerzas del orden público, el
gobierno, la academia y el sector privado, Hai agrega: "He visto que la mayoría de los departamentos
de TI no tienen la habilidad ni la capacidad para administrar los riesgos cibernéticos o el conjunto de
habilidades necesario para abordar los controles técnicos de seguridad. .” Algunas de las habilidades
pueden ser similares, pero el enfoque es completamente diferente.
Comprensión de los desafíos, la organización y los informes de ciberseguridad 11
Ciberseguridad y tecnología de la
información: habilidades similares pero con
un enfoque diferente
Dejada al departamento de TI, la seguridad cibernética a menudo se considera un problema
técnico, un centro de costos y una tarea de baja prioridad que compite por los recursos
presupuestarios con otros proyectos de TI, la mayoría de los cuales demuestran un mejor ROI para el negocio.
En Asia, aproximadamente el 10 por ciento de las empresas con las que ha interactuado
Magda (coautora de este libro) han contratado a un CISO. En sus muchos años de
experiencia, la mayoría de los clientes de Magda confían en sus equipos de TI, en lugar
de los equipos de ciberseguridad, para realizar tareas de ciberseguridad. Una estructura
organizativa desalineada, como aquella en la que la ciberseguridad es un componente de
TI, en lugar de estar separada de ella, a menudo genera ineficacia operativa y desafíos.
Esto muestra los desafíos que tienen los profesionales de la ciberseguridad para influir en
los líderes empresariales dentro de sus propias organizaciones. Los ejecutivos de
ciberseguridad son como cualquier otro ejecutivo y deben tener la capacidad de comunicarse
de manera efectiva. A pesar de que sus habilidades para desempeñar su función pueden
ser principalmente técnicas, tener habilidades de comunicación a nivel de liderazgo es fundamental.
Desafortunadamente, los profesionales de la seguridad han abordado la seguridad
cibernética durante años utilizando jerga técnica. Esta tendencia ha abierto una brecha
entre los líderes de ciberseguridad y las empresas. Es crucial comunicarse en un lenguaje no técnico.
Además, se espera que los CISO comprendan lo que hace su organización desde una
perspectiva comercial y puedan hablar sobre estrategias comerciales (y, en algunos casos,
incluso sobre la participación del cliente). Una discusión común en las redes sociales gira en
torno a cómo el CISO (o el ejecutivo de seguridad equivalente) debe comunicarse e influir en
los ejecutivos, y el hecho de no hacerlo de manera efectiva debe considerarse una falla de la
función de seguridad.
Desafortunadamente, la cibernética a veces es un trabajo desagradecido, con una tasa de
rotación promedio de dieciocho meses para un CISO. En una entrevista que Shamane realizó con
un grupo de CISO de APAC, atribuyeron el estrés como un factor clave por el que
dejan una empresa, originado en parte por una desalineación de puntos de vista en el
equipo de liderazgo sénior, así como por la cultura más amplia de la empresa. Hay
mucho que un CISO puede hacer si no puede separar la seguridad cibernética del
departamento de TI e influir de manera efectiva en la necesidad de una estrategia de
seguridad cibernética más amplia y su necesidad de los recursos apropiados. En
esencia, el éxito corporativo es un esfuerzo de equipo. Es un progreso encomiable, por lo tanto, que
a medida que pasa el tiempo, TI y la seguridad se reconocen cada vez más como
componentes críticos y separados para el éxito profesional. La línea de tiempo y la
progresión de la carrera de Hai es un buen ejemplo:
• En 2005, cuando Hai era gerente de seguridad de TI en una agencia gubernamental,
tenía cinco niveles de gestión por encima de él antes de llegar al director ejecutivo.
• En 2009, cuando era director asociado de seguridad de la información en una
universidad, había tres niveles de gestión entre su puesto y el de director ejecutivo.
• En 2013, como CISO de una fuerza policial, había dos niveles de gestión entre su
cargo y el director ejecutivo.
• En 2020, Hai ocupó los cargos de director ejecutivo y director de seguridad (CSO) en
una organización sin fines de lucro.
Es notable que, si bien en la superficie, ser nombrado tanto un ejecutivo de nivel C (CxO)
como un CSO o CISO podría demostrar un compromiso con la cibernética al hacer que un
CxO sea responsable de la cibernética a través de una designación secundaria como CSO
o CISO, los directores ejecutivos necesitan apreciar tener un CISO de la misma manera
que lo harían con su Director Financiero (CFO) o CIO. En un mundo conectado digitalmente
plagado de riesgos cibernéticos, el CISO y su equipo ayudan a mantener sus organizaciones
en funcionamiento.
El director ejecutivo debe ser el líder de ciberseguridad y el modelo a seguir de una organización.
Necesitan promover una cultura cibersegura, activa y responsable en la que cada miembro
del equipo comprenda su responsabilidad de administrar los riesgos cibernéticos para el
negocio y reconozca que la seguridad cibernética no es simplemente un " problema de TI".
Todos en la organización tienen un papel fundamental. Una vez que esté de acuerdo con
la estrategia de seguridad cibernética y la hoja de ruta definida por el CISO, el director
ejecutivo debe respaldar su comunicación, cumplimiento y cumplimiento para garantizar
que todos en la organización desempeñen un papel fundamental para lograr la seguridad
cibernética para la organización.
Más allá de la tecnología: el riesgo cibernético es
un riesgo empresarial
Cuando la ciberseguridad falla, afecta a todo el negocio, no solo al departamento de TI.
Solo mire los informes sobre los ataques cibernéticos en Garmin, Toll, MyBudget, Travelex
y Lion, por nombrar solo algunos. Es fundamental pensar
Comprensión de los desafíos, la organización y los informes de ciberseguridad 13
lo cibernético primero y convertirlo en una función conjunta de toda la empresa que coordine la seguridad,
las finanzas, los recursos humanos, el riesgo corporativo y la TI.
Abordar los desafíos cibernéticos requiere una sólida cultura de seguridad, priorizando el riesgo
cibernético y abordándolo en consecuencia para mantenerlo dentro de la tolerancia al riesgo de
una organización. Una organización está dirigida por el CEO y apoyada por un equipo que
promueve los mismos valores y objetivos. Si el CEO apoya una cultura de conciencia cibernética ,
todas las partes interesadas considerarán la ciberseguridad como parte de sus prioridades y la
abordarán.
El riesgo cibernético, si bien es intangible, puede ser identificado por el CISO, quien luego define
la estrategia correcta y la hoja de ruta en consonancia con la tolerancia al riesgo de la empresa.
La estrategia debe considerar los desafíos cibernéticos previamente identificados, el panorama
de control de seguridad actual de la empresa, las brechas identificadas y los roles y
responsabilidades de su fuerza laboral mientras mantiene la alineación con la estrategia comercial,
la trayectoria y las partes interesadas de la organización. Todos dentro de una organización tienen
un rol. Este manual describe las responsabilidades y expectativas de todos los ejecutivos de
negocios para lograr un negocio ciberseguro resiliente.
El resultado final: se debe alentar a los profesionales de la seguridad cibernética a
evitar el uso de jerga técnica y alinear su pensamiento hacia los impactos comerciales.
Parte de eso incluye tomar términos y lenguaje técnico y explicarlo clara y deliberadamente.
Desmitificando las filtraciones de datos y
los ciberataques
Examinemos dos términos comúnmente intercambiables: violación de datos y ciberataque:
• Se produce una violación de datos cuando se accede a la información personal sin
autorización. Las violaciones de datos, en general, también son violaciones de datos
personales y pueden ser intencionales o no intencionales.
• Un ataque cibernético es más grave que una violación de datos, ya que es probable que
afecte a la organización de manera más directa. Es un acto deliberado e intencional.
Las violaciones de datos son solo uno de los muchos tipos diferentes de riesgos cibernéticos que
las empresas de todos los tamaños e industrias enfrentan a diario. Una violación de datos puede
ocurrir sin un ataque cibernético cuando hay una configuración incorrecta y las partes no
autorizadas logran acceder a los datos.
El tamaño y el alcance de un evento de seguridad o una violación de datos varían de una
instancia a otra. Una violación de datos o un evento de seguridad puede tener un efecto
financiero y reputacional significativo en una empresa.
Si bien un evento de seguridad puede mitigarse con una respuesta oportuna, deliberada y
bien organizada, sin la preparación suficiente, las empresas sin duda pueden estar sujetas
a graves consecuencias de las que quizás nunca se recuperen por completo. El CEO debe
comprender los impactos y las consecuencias financieras para una empresa cuando ocurre
un incidente cibernético y comunicarlo de manera efectiva a todas las partes interesadas.
Cuantificación de los costes cibernéticos
frente al retorno de la inversión
Si bien algunas organizaciones tienen estrategias y programas de seguridad cibernética
bien desarrollados , la mayoría piensa que cuenta con procesos adecuados y muchas más
aún creen que no son un objetivo para los ciberdelincuentes. Aquellos que piensan que
tienen programas apropiados y aquellos que piensan que no son objetivos tienen poco para
respaldar su nivel de comodidad actual, aparte de que aún no han experimentado ninguna
incomodidad. Sin embargo, puede que ya sea demasiado tarde cuando se encuentran con
un incidente cibernético, lo cual es inevitable. De acuerdo con el Costo de una violación de
datos Informe 2021 de IBM , el costo promedio de una violación de datos en los Estados
Unidos es de $ 8,64 millones alarmantes.
Muchas pequeñas empresas no sobrevivirían a ese gasto, y las empresas más grandes
que pueden asumir un gasto tan grande aún sentirían un impacto financiero doloroso.
Además de la pérdida financiera, otros costos incluyen pérdidas directas e indirectas luego
de un ciberataque y/o violación de datos. Puede haber costos de investigación o forenses,
pérdidas de ganancias debido al daño a la reputación, pérdidas de ingresos debido a la
interrupción del negocio, impacto en el valor de las acciones, costos de respuesta a
incidentes, costos de notificación al cliente, costos de recuperación, etc. Todo simplemente suma.
Como se mencionó anteriormente, una violación de datos puede resultar de un evento o incidente
de seguridad, pero también puede surgir de un evento no relacionado con la seguridad. Con
diferentes regulaciones de privacidad e informes de violaciones dependiendo de la ubicación de
una empresa, por ejemplo, los requisitos y las consecuencias de una violación de datos pueden variar.
Cuando ocurre un evento de seguridad o una violación de datos, las empresas deben
analizar una variedad de criterios para determinar las verdaderas ramificaciones, gastos y
pérdidas financieras. Puede haber gastos significativos por una violación de datos:
Cuantificación de los costes cibernéticos frente al retorno de la inversión 15
• Los costos de notificación pueden incluir tarifas, cargos y gastos necesarios para
informar a los clientes, las agencias reguladoras y cualquier otra parte afectada que
deba ser informada. Después del aviso, una corporación debe estar preparada para
responder preguntas y aclarar cualquier problema que surja como resultado del
incumplimiento, así como demandas colectivas. Esas actividades tienen un costo
monetario.
• Los gastos incurridos como resultado de una violación de datos pueden involucrar
investigaciones forenses, un cambio en los procesos, mejores precauciones de
seguridad y compensación por pérdidas o daños. Estas variables contribuyen a las
pérdidas financieras de la empresa después de una filtración de datos, tanto directa
como indirectamente, y están incluidas en el costo de una filtración de datos.
En el caso de un ataque cibernético exitoso, una empresa podría enfrentar una interrupción
significativa de los sistemas esenciales, la interrupción de las operaciones comerciales, el
daño a la integridad de los datos comerciales y el estancamiento del negocio. Los diferentes
factores que contribuyen al impacto financiero de un ciberataque incluyen:
• Los gastos directos e indirectos y los gastos de terceros contribuyen a las pérdidas
financieras de la empresa tras un ciberataque exitoso.
• Es posible que se incurra en costos forenses, costos de notificación y pérdidas de valor
de las acciones además de la interrupción comercial inmediata, las horas extra de los
empleados, los costos de comunicación y los gastos directos (como los costos de
recuperación).
• En una escala de tiempo media, el impacto de un ataque cibernético exitoso podría ser
una pérdida de clientes, una disminución de las ventas y una disminución de las
ganancias. Además, con el tiempo, esto podría dar lugar a una reducción de la cuota
de mercado, una disminución del valor o un retraso en una oferta pública inicial (OPI).
• La organización deberá evaluar el tiempo de recuperación general después de un
ciberataque exitoso. La interrupción, ya sea de días, semanas o meses, afectará las
operaciones y las finanzas de una empresa, incluidos los gastos asociados con la
recuperación del mercado.
• En el caso de un ataque cibernético de ransomware exitoso, la organización puede
experimentar una interrupción del negocio o una parálisis operativa. Cuando las
actividades de una empresa se interrumpen, sufre una pérdida financiera. Es probable
que haya menores ventas y mayores costos de mano de obra; las futuras fuentes de
ingresos se pierden debido a un posible daño a la reputación.
16 El manual cibernético del CEO
Según Comparitech, las empresas violadas tienen un rendimiento inferior en el mercado a lo
largo del tiempo, con un crecimiento promedio del 8,38 por ciento el año posterior al ataque,
pero aún tienen un rendimiento inferior al índice Nasdaq en un 6,5 por ciento. La violación de
datos de Target en 2013 es un ejemplo fantástico. Target experimentó una importante filtración
de datos que expuso la información personal de unos 70 millones de personas. El costo de esta
violación de datos se estimó en $ 252 millones.
Para cualquier empresa que cotiza en bolsa, después de un ataque cibernético habrá una caída
en el precio de las acciones después de una infracción; tomará tiempo para que una corporación
recupere cualquier participación de mercado que haya perdido debido a la ocurrencia.
El daño significativo a la reputación como resultado del ataque afecta el tiempo que tomará
recuperarse, lo que resulta en una mayor pérdida de participación de mercado y más tiempo
necesario para reanudar las operaciones.
El ataque de ransomware WannaCry de 2017 afectó a más de 200 000 computadoras en todo
el mundo en muchas industrias. Los archivos de los usuarios se mantuvieron como rehenes
hasta que se cumplieron las demandas de un pago de rescate en Bitcoin. Con más de 150
países afectados, este ataque tuvo un costo estimado de $ 4 mil millones en la economía global.
Todos los ciberataques exitosos dejan un impacto que afectará financieramente a una
organización. Dependiendo del sector de la organización, la extensión del daño variará.
Tomemos, por ejemplo, un ataque cibernético contra un sistema de control industrial (ICS): una
violación de un ICS podría provocar daños a la propiedad, como incendios o explosiones, e
incluso la pérdida de la vida. Los ataques cibernéticos pueden tener ramificaciones más
grandes que un colapso de los sistemas tecnológicos. La recuperación de un incidente
cibernético no solo puede ser costosa sino también prolongada, de modo que el negocio podría
interrumpirse o estancarse durante un período prolongado mientras se rectifica la situación.
El costo de un ciberataque es un cálculo complicado que tiene en cuenta todas las ramificaciones
que pueden ocurrir. Va mucho más allá del gasto de restaurar un servidor o una actividad de
TI. En realidad, es poner precio a que un negocio se arriesgue a hacerse realidad. Las
consecuencias financieras, de reputación y legales de un incidente de seguridad se pueden
pronosticar, y también se pueden cuantificar las pérdidas financieras asociadas. Esta
cuantificación brinda mayor claridad e información sobre el costo real y, por lo tanto, también el
ROI de una inversión en seguridad cibernética. Desarrollaremos esto más detalladamente en
el Capítulo 5, Trabajando con su CISO.
Una buena ciberseguridad permite a las organizaciones construir y proteger su reputación y
confianza con sus clientes. Para tener éxito, las organizaciones deben asegurarse de que
cuentan con los fundamentos de gestión de riesgos adecuados, cuentan con la estructura
adecuada para el equipo de ciberseguridad y el personal pertinente se siente capacitado para
proteger a la organización. Si bien la tendencia de elevar la ciberseguridad al nivel
Construyendo una cultura de ciberseguridad 17
Csuite es un paso en la dirección correcta, convertirlo en una responsabilidad
secundaria de otro CxO es contraproducente. El CISO debe tener un asiento en
la mesa principal.
Con una imagen más clara de los costos financieros y de reputación de un ataque cibernético, en
la siguiente sección, abordamos la importancia de la conciencia de seguridad cibernética y la
creación de una cultura que construye y nutre una empresa preparada para la cibernética.
Construyendo una cultura de ciberseguridad
El CEO debe liderar la promoción de una cultura que refuerce la idea de que la seguridad
cibernética es una capacidad organizacional en lugar de solo un problema que TI debe resolver.
Una fuerte cultura de ciberseguridad impulsa a los miembros de la organización a comportarse al
unísono cuando se enfrentan a desafíos de seguridad. Un plan de seguridad cibernética
establecido y bien pensado aprobado por la junta directiva solo es útil si cada miembro del
personal comprende su función y responsabilidades antes, durante y después de un evento,
aprecia la importancia de las amenazas cibernéticas, cumple con las medidas y pautas de
seguridad, y entiende lo que significa permanecer cibervigilante.
Un plan de ciberseguridad debe abordarse de manera holística para tener éxito. Cada
parte de la organización debe comprender que los procesos y la tecnología juegan un
papel fundamental en el desarrollo y mantenimiento de una sólida cultura de ciberseguridad.
El riesgo cibernético debe tomarse tan en serio como los riesgos como los desastres naturales o
las enfermedades agudas. Lo que es más importante, debemos probar, auditar, practicar y
ensayar las amenazas cibernéticas, teniendo en cuenta que el objetivo no es ser 100 por ciento
seguro; no hay manera de asegurar eso. Más bien, la resiliencia cibernética se trata de
comprender las amenazas de seguridad, mantener controles de seguridad efectivos y tener una
respuesta rápida y enfocada a incidentes cibernéticos preparada para reducir el impacto de cualquier incidente.
Independientemente de la madurez cibernética de una organización, el principal objetivo de
resiliencia cibernética de cualquier empresa debe ser la preservación de las operaciones
comerciales, la protección de la confidencialidad de sus datos y, en caso de un ataque cibernético,
la recuperación lo más rápido posible con interrupciones y pérdidas mínimas. . Uno de los
mayores desafíos es saber por dónde empezar y cómo son las buenas prácticas y procesos de
ciberseguridad. No comienza con TI y no se puede dejar en manos del CIO o CTO.
Comprender la ciberseguridad a nivel de directorio no requiere comprender la jerga
de seguridad o la terminología técnica. Todo se reduce a definir los riesgos
comerciales que podrían materializarse después de un evento cibernético, como
una violación de datos, una interrupción comercial o un robo de datos.
Cuando la junta y la gerencia están alineadas y comprenden claramente sus riesgos
cibernéticos, su tolerancia al riesgo debe definirse y acordarse antes de construir o discutir
la estrategia cibernética.
La tabla 1.1 es un ejemplo de consideraciones de riesgo para un negocio. La
junta y el CEO deben reconocer y considerar los riesgos cibernéticos al mismo
nivel de prioridad que otros riesgos para la organización:
Tabla 1.1 – Un ejemplo de consideraciones de riesgo de alto nivel
Según un estudio realizado por Allianz, 2700 expertos en gestión de riesgos encuestados en
más de 100 países identificaron los incidentes cibernéticos como el " riesgo comercial más
importante" en 2020, una gran diferencia con respecto a 2013, cuando ocupó el puesto 15
(ver https://www.agcs .allianz.com/noticiasyinsights/ artículosderiesgodeexpertos/
barómetroderiesgodeallianz2020 riesgosempresariales.html).
La Tabla 1.2 enumera los impactos negativos de los ataques cibernéticos. Las partes
interesadas comerciales están cada vez más preocupadas por las implicaciones para sus
empresas y han comenzado a priorizar el riesgo cibernético en su proceso de gestión de riesgos.
Construyendo una cultura de ciberseguridad 19
Tabla 1.2 – Tipos de riesgo por prioridad
El CISO es un recurso invaluable y un líder para ayudar a una organización a desarrollar
la estrategia de ciberseguridad más adecuada, pero no pueden hacerlo solos. Una vez
que la junta directiva y el director ejecutivo están alineados en su tolerancia al riesgo y
se ha creado y aprobado una estrategia cibernética, debe incluir un plan para crear una
cultura de seguridad cibernética e integrarla dentro de la organización. Todo el personal
debe comprender los fundamentos de la ciberseguridad en lugar de simplemente cumplir
con las políticas y seguir las pautas técnicas. La alta dirección debe predicar con el
ejemplo. Las estrategias de ciberseguridad deben alinearse con los objetivos comerciales,
evaluarse en función de la tolerancia al riesgo de una organización, planificarse y
ejecutarse en consecuencia a través de la colaboración entre las unidades comerciales
y no competir con otros departamentos por los recursos.
Una vez que una organización ha establecido sólidos fundamentos de ciberseguridad en
todos los ámbitos, una vez que es parte de la cultura, la empresa puede operar de
manera efectiva y sin grandes interrupciones o implicaciones regulatorias si ocurre un
incidente de ciberseguridad.
La estrategia de ciberseguridad de la organización es una estrategia
colaborativa que requiere la participación de todos, especialmente cuando la
organización está sufriendo un ciberataque o sufre un desastre provocado
por un ciberataque. Todos en la organización, no solo el CEO y la junta,
deben comprender que no se trata de si su organización sufre una infracción,
sino de estar preparados para cuando lo sea. La siguiente sección explora esto en detalle.
Preparar una empresa para
los ciberataques
Los ataques cibernéticos generalmente están dirigidos y muy bien definidos, diseñados para
causar el máximo impacto y la interrupción de las operaciones comerciales.
El CEO necesita preparar su negocio para tales situaciones. A menudo, las
organizaciones creen erróneamente que debido a que cuentan con un amplio
equipo de seguridad, un ciberataque nunca tendrá éxito. O que debido a que han
realizado una inversión sustancial para protegerse contra los ataques, un
ciberataque nunca tendrá éxito. Esos son mitos: la seguridad al 100 % no debería
ser un objetivo ni un objetivo realista.
Proteger su organización consiste en garantizar que, si prevalece un ataque, la
empresa podrá continuar con sus operaciones. La resiliencia se trata tanto de
mantener sus activos de información accesibles para la organización como de
mantenerlos seguros. Tal resiliencia genera confianza entre sus clientes y protege
su reputación en caso de un ataque. Por lo tanto, es fundamental planificar las
fallas, incluidas las fallas de control de seguridad. Prepararse para fallas asegura
que su organización pueda sobrevivir y continuar operando mientras se construyen
otras medidas preventivas con el tiempo. Esto lo ayudará a hacer frente a la
amenaza de un incidente cibernético y preparará su negocio para enfrentar otros desastres.
Gillian Findlay, miembro de la junta y ex directora ejecutiva de Vamp, una plataforma global de
contenido de marca, y ex directora de operaciones (COO) de SafetyCulture, unicornio australiano
de software como servicio (SaaS) , compartió las preocupaciones típicas de un director ejecutivo :
“Hay tantos problemas de ciberseguridad eso debería ser una prioridad para cualquier director
ejecutivo, pero el ransomware se ha convertido en la prioridad principal. No podemos esperar que
los usuarios finales protejan a su empresa de esta amenaza, por lo que las empresas deben
proteger los dispositivos de los usuarios finales mientras permiten que los empleados trabajen de
manera eficiente y eficaz. De lo contrario, las infracciones de ransomware seguirán arruinando nuestras vidas”.
Si bien muchos directores ejecutivos y directorios podrían considerar que el riesgo de
convertirse en víctima de ransomware es mínimo, o podrían pensar que su departamento
de TI restaurará las copias de seguridad mientras el negocio vuelve a los procesos
manuales, muy pocas organizaciones lo han puesto a prueba. Aquellos que lo hicieron se
vieron obligados a hacerlo debido a una crisis real, y rápidamente descubrieron que volver
a los procesos manuales o restaurar las copias de seguridad era más fácil decirlo que
hacerlo. Discutiremos el plan de continuidad del negocio (BCP) más adelante en el
Capítulo 7, El COO y su rol crítico en la resiliencia cibernética .
Consideraciones de ciberseguridad para el primer mes de un CEO 21
Preparar una empresa en caso de un ciberataque debe ser una prioridad máxima para
cualquier CEO. Un CEO debe enfocarse en una estrategia de seguridad al asumir el rol. A
continuación, analizamos las consideraciones de seguridad cibernética como parte de la
asignación de liderazgo y la evaluación de riesgos de un director ejecutivo durante el primer mes de su mandato.
Consideraciones de ciberseguridad para un
Primer mes del CEO
Con tantos problemas apremiantes que requieren su atención, muchos directores ejecutivos
recién nombrados pasan por alto la importancia de la ciberseguridad en su primer mes o
incluso en su primer año en el trabajo. Eso es un error.
Un director ejecutivo recién designado debe asegurarse de que un CISO y su equipo estén en su
lugar y trabajando de manera efectiva mientras se familiarizan con la postura de riesgo cibernético
de la organización, desde sus riesgos cibernéticos y apetito por el riesgo hasta la tolerancia al riesgo.
Desafortunadamente, los actores de amenazas y los riesgos cibernéticos no esperarán hasta que un CEO esté listo.
Algunos ciberdelincuentes también pueden ver un cambio de liderazgo como una oportunidad
para atacar si creen que una organización no está preparada. Esto también afecta a las fusiones
y adquisiciones. Un desastre cibernético podría arruinar a un CEO; un evento cibernético que
provoque una pérdida significativa de datos, un robo de datos o una interrupción del negocio
puede poner en peligro la reputación, el puesto, la carrera, los ingresos y las operaciones del CEO.
Un CEO recién nombrado debe priorizar la revisión de su preparación para la respuesta
a incidentes cibernéticos , BCP y plan de recuperación ante desastres (DRP), junto con
la evidencia de que estos planes se han probado y actualizado periódicamente. Los
planes deben incluir y abordar adecuadamente las consideraciones tecnológicas y el
soporte del proveedor. Tener una respuesta a incidentes actual y bien ensayada, BCP y
DRP garantizará que una organización pueda recuperarse rápidamente y reanudar las
operaciones en caso de un desastre cibernético.
Idealmente, el BCP debería abarcar la respuesta a incidentes cibernéticos. Sin embargo, Magda
también ha sido testigo de una falta de integración durante su trabajo en Asia, donde el BCP
permanece enfocado en un simple DRP de TI y no considera un ciberataque significativo. Es
poco probable que un DRP de TI resista un ciberataque bien planificado.
Un plan de comunicación es un elemento clave de la planificación de la
ciberseguridad. El CEO debe considerar su visibilidad en el plan de comunicación
de crisis de una organización. Con este fin, se deben incluir plantillas y pautas para
la comunicación del CEO con el personal, los medios de comunicación, los clientes y el público en el
BCP. La comunicación en caso de un ciberataque es fundamental para la gestión de la
reputación y el mantenimiento de la confianza de los clientes. Un plan de comunicación
cibernética mal administrado sin duda afectará el valor de las acciones de una empresa.
El plan de comunicación es sólo un elemento. El CEO debe abordar los problemas tácticos
para garantizar una respuesta adecuada a los incidentes, una continuidad empresarial
eficaz y una recuperación ante desastres con una estrategia de seguridad sólida.
Si una organización no tiene una estrategia o un equipo de seguridad cibernética
establecidos, dentro del primer mes, el CEO debe priorizar el establecimiento de uno de
inmediato. Esto comienza con comprender y comunicar que el riesgo cibernético es una
preocupación importante para la junta directiva de la empresa y buscar la aprobación de
un presupuesto cibernético. Si no hay experiencia interna disponible para identificar y
dirigir debates para abordar y definir la exposición cibernética, el riesgo residual y la
tolerancia al riesgo actuales de la organización , el director ejecutivo puede contratar a un
consultor de seguridad cibernética externo mientras contrata a un CISO para desarrollar capacidades internas.
Una empresa con resiliencia cibernética identifica sus riesgos cibernéticos más allá del
departamento de TI, define su apetito y tolerancia al riesgo, y crea su estrategia de
ciberseguridad, que luego se integra en las operaciones y actividades de la empresa como
una necesidad fundamental y no como una ocurrencia tardía. No es una tarea fácil, pero
es necesaria para cualquier CEO desde el principio. Afortunadamente, hay algunas
preguntas específicas que se pueden hacer para evaluar la cobertura de riesgo cibernético
de una organización.
Preguntas que debe hacerse como director general al considerar su cobertura de
riesgo cibernético ¿ Cómo determina un director general cuál debe ser la
cobertura de riesgo
cibernético de la organización? Un desafío para los ejecutivos no cibernéticos es saber
qué preguntas hacer, como:
• ¿Mi organización considera el riesgo cibernético dentro del proceso de gestión de
riesgos empresariales, o todavía se considera un problema de TI?
• ¿Se responsabiliza a todos en el Csuite por el riesgo cibernético, o se ha dejado en
manos del CIO o CISO/CSO?
• ¿Entiendo los activos de la organización, incluidos los intangibles?
Resumen 23
• ¿Entiendo que la estrategia cibernética de mi organización debe basarse en la
identificación de riesgos, mitigación/transferencia/aprobación de riesgos cibernéticos,
respuesta y recuperación?
• ¿Mi organización reconoce los riesgos cibernéticos residuales y comprende su apetito
y tolerancia al riesgo?
• ¿La organización ha cuantificado los riesgos cibernéticos y comprende el impacto y la
probabilidad de tales eventos?
• ¿Cuál es mi postura de riesgo de seguridad actual y cómo sé que los controles
funcionan de manera efectiva?
• ¿He considerado el daño a la marca, reputación y confianza de
la organización resultante de un evento cibernético?
• ¿Tiene la organización un BCP/DRP eficaz, y cuándo fue
última prueba?
• ¿Está mi organización lista para responder y recuperarse?
• ¿Puede mi organización demostrar la debida diligencia y el debido cuidado después
de un incidente cibernético o los accionistas/reguladores podrían considerar que mi
inacción fue negligente?
• ¿Entiende mi organización que la seguridad al 100 por ciento no
¿no existe?
Estas preguntas no son meras preguntas de una sola vez que un CEO o una junta directiva
deberían hacer. Estas preguntas deben repetirse y abordarse como parte de la estrategia
de seguridad de una empresa y los procesos deben ajustarse en función de las respuestas.
Resumen
En un mundo conectado digitalmente, las organizaciones dependen de la
información y la tecnología ahora más que nunca. Este estado de cosas expone a
las organizaciones a amenazas globales, algunas incluso patrocinadas por estadosnación.
La ciberseguridad no solo garantiza que su organización continúe operando en estas
circunstancias desafiantes, sino que una buena ciberseguridad también aumenta la
confianza del cliente y la reputación de la marca.
Los directores ejecutivos y las juntas directivas deben desarrollar una cultura de seguridad
cibernética saludable que aliente a toda la organización a integrar la seguridad cibernética en
todos los aspectos de las personas, los procesos y la tecnología. Estos son algunos de los
fundamentos esenciales que ha aprendido en este capítulo. Por último, la ciberseguridad necesita
ser considerada una necesidad empresarial, complementaria a las funciones
empresariales en lugar de competir con ellas.
Los siguientes capítulos examinarán qué roles juegan otros CxO en la ciberseguridad,
comenzando con el CFO.
2
Un moderno
Ciberresponsable
director de Finanzas
Un Director Financiero (CFO) es el alto ejecutivo a cargo de las operaciones
financieras de una empresa. Un CFO tradicional generalmente actuará
como un controlador financiero, que está más orientado a los detalles, e
incluso si no tiene antecedentes financieros, solo administra los números y
se enfoca en las transacciones. Un CFO más moderno será muy progresista.
Gestionan los riesgos y el futuro del negocio.
Mientras que el director ejecutivo (CEO) establece la dirección, la cultura y el
presupuesto de la empresa, el director financiero es el agente del cambio, apoya
esa dirección, implementa la cultura de la empresa y prepara el presupuesto para
el director ejecutivo.
Enterprise Risk Management (ERM) es una estrategia en toda una empresa, diseñada
para identificar eventos potenciales que pueden afectar las finanzas, las operaciones
y los objetivos de la empresa y mantener el riesgo dentro de los parámetros del
apetito de riesgo de la empresa. El compromiso del CEO y el de todos los miembros
del equipo de gestión, incluido el CFO, son fundamentales para el éxito de la adopción
y ejecución de ERM.
Los aportes del equipo ejecutivo, particularmente en la gestión de riesgos, son
necesarios para cumplir con los objetivos estratégicos de la organización. Hoy en día,
esto requiere considerar el riesgo cibernético e integrarlo en ERM.
26 Un director financiero moderno y ciberresponsable
La descripción del trabajo del CFO es sencilla: gestión del flujo de efectivo, planificación
financiera e informes financieros. Además, sus responsabilidades incluyen determinar la
capacidad financiera de la empresa y tomar medidas correctivas para administrar de
manera eficaz y eficiente el riesgo de la empresa. Cada empresa tiene su propio conjunto
de módulos financieros y ERM se implementa utilizando estos módulos. ERM puede ser
una herramienta importante para el CFO para ayudarlo a comprender el impacto potencial
de los riesgos comerciales en la situación financiera del negocio. Esto significa que si las
amenazas cibernéticas representan un riesgo para el negocio, entonces el CFO debe
comprender qué significa esto y cómo puede afectar la posición financiera de la organización.
Los directores financieros tienen una gran influencia en la implementación de la gestión de
riesgos empresariales, que debe incluir el riesgo cibernético; controlan la implementación de
la estrategia ERM. La adopción de ERM requiere recursos financieros y operativos y una
evaluación exhaustiva de la probabilidad de éxito.
Este capítulo analiza las principales prioridades que debe tener en cuenta un director ejecutivo
cuando habla de la estrategia financiera del director financiero y su participación en ERM. En
este capítulo, vamos a cubrir los siguientes temas:
• Por qué el CFO debe preocuparse por la ciberseguridad • La
comprensión que tiene el CFO de la ciberseguridad • Los
aspectos de la ciberseguridad que el CFO debe considerar • Definición
del rol del CFO en el desarrollo de la resiliencia cibernética
• Comunicarse con el CFO sobre riesgos cibernéticos
• Preguntas para hacerle a su CFO
La siguiente sección proporciona más detalles sobre áreas específicas en las que el CFO
sigue siendo una parte interesada indispensable en la gestión del riesgo cibernético.
Por qué el CFO debería preocuparse por
la ciberseguridad
Como ejecutivo sénior y prácticamente controlador financiero de alto nivel responsable
de administrar las acciones económicas y los riesgos financieros de la empresa , el
CFO debe preocuparse por cualquier riesgo que pueda afectar la posición financiera
de la organización , incluido el riesgo cibernético. Deben desempeñar un papel crucial
para respaldar un presupuesto cibernético adecuado que permita desarrollar la
resiliencia cibernética en toda la organización. Si se hace bien, la gestión del riesgo cibernético puede
Por qué el CFO debería preocuparse por la ciberseguridad 27
también ayuda en el crecimiento de una organización también. Existe una necesidad apremiante
de que los CFO tengan un papel más activo en las decisiones comerciales críticas más allá de
la divulgación del desempeño financiero y que desempeñen un papel activo en la gestión del
riesgo cibernético está creciendo.
El papel del CFO en la ciberseguridad Hay una diferencia entre un CFO que
ama las transacciones, el modelado y los detalles, y uno que se enfoca en impulsar la
estrategia y la historia detrás de los números. El CFO de hoy en día no solo suma los números.
Están destinados a apoyar al director ejecutivo, incluso cuando la mayoría de los directores
ejecutivos suelen estar más ansiosos por asumir riesgos o encontrar nuevas oportunidades
comerciales. El CEO suele ser el que impulsa el cambio, y querrán que el CFO esté en su
campo. El CFO es la persona que supervisa las fusiones y adquisiciones y tiene la inspiración
y la motivación para llevar un negocio al siguiente paso. Sirven en la junta directiva y participan
en la toma de decisiones como miembro del equipo ejecutivo senior. Además, la mayoría de
las organizaciones clasifican a los CFO en segundo lugar después del CEO en cualquier
participación pública. Su CFO es su comunicador.
Para las organizaciones que no tienen un Director de Riesgos (CRO), el CFO suele ser el que
también asume ese rol. El CFO puede desempeñar el papel de CRO al abordar ERM y tomar
decisiones sobre el tratamiento, la transferencia y las mitigaciones de riesgos. Por lo tanto, en
un mundo conectado digitalmente con niveles crecientes de riesgo cibernético inherente, el
CFO es fundamental para desarrollar la resiliencia cibernética empresarial.
La integración del riesgo cibernético en ERM está ganando terreno entre las empresas; las
empresas lo están utilizando para detectar y gestionar el riesgo cibernético. ERM adopta un
enfoque holístico para la gestión de riesgos en lugar de uno aislado. Requiere la integración
de varios procesos para cuantificar la exposición de una organización a las incertidumbres
que pueden interferir con las metas del negocio y las capacidades de desarrollo.
En estos días, la ciberseguridad suele estar entre los cinco principales riesgos para una corporación.
Un aspecto clave del rol de CFO es ayudar a administrar ese riesgo. Ver el riesgo cibernético
a través de la lente de ERM equipa al CFO para posicionar a la empresa para administrar la
estrategia y el plan de seguridad cibernética. Esta es una forma práctica de alinear el riesgo
cibernético con la forma en que la empresa percibe el riesgo en general y proporciona un
entorno familiar para que el director financiero se eduque sobre el diálogo sobre seguridad
cibernética en un contexto empresarial.
28 Un moderno CFO ciberresponsable
Los ataques cibernéticos presentan una seria preocupación económica para las empresas y
las partes interesadas de los negocios. Si bien está aumentando la conciencia sobre el tema,
existe el riesgo de que esta perspectiva se malinterprete en toda la organización si un director
de seguridad de la información (CISO) y un director financiero no se comunican y discuten el
riesgo cibernético de manera efectiva con todos los miembros de la organización. La falta de
comunicación sobre la resiliencia cibernética de la organización significa que la empresa
puede no estar preparada para enfrentar ataques cibernéticos de manera efectiva y las
pérdidas financieras resultantes pueden ser sustanciales. En última instancia, esas pérdidas
económicas deben cuantificarse para respaldar un proceso de toma de decisiones informado
entre la mitigación y la transferencia.
A pesar de no ser expertos en seguridad cibernética, los CFO no están hoy en posición de ignorar el tema o
continuar descartándolo como un problema de TI. El CFO tiene la experiencia y la supervisión para observar
el impacto de un ataque a la posición financiera de la empresa de una manera mucho más amplia y a largo
plazo, yendo más allá de las preocupaciones inmediatas de pérdida de datos e interrupción operativa a
pérdidas regulatorias y de reputación, así como el impacto en los precios de las acciones. Al mismo tiempo,
si se hace bien, tener una postura cibernética sólida también puede ayudar a la organización en su rápido
crecimiento. Una empresa que sea resistente a la cibernética solo servirá para fortalecer el negocio y brindar
a los empleados la tranquilidad de prosperar y desempeñarse a escala.
En la siguiente sección, exploramos más a fondo cómo la comprensión de la seguridad cibernética de un CFO
puede respaldar la resiliencia cibernética.
La comprensión del CFO de
la ciberseguridad
Shamane Tan, directora de crecimiento de Sekuro y fundadora de Cyber Risk Meetup, una comunidad global
para conversaciones e intercambios prolíficos sobre ciberseguridad, y coautora de este libro, comentó sobre
una discusión con los CFO en la que participó: “Incluso entre los Los directores financieros recuerdan que la
conversación sobre ciberseguridad solo comenzó a surgir hace una década cuando las aseguradoras
preguntaron a los directores financieros corporativos qué estaba haciendo la empresa con respecto a la
ciberseguridad”.
Cuando las aseguradoras comenzaron a preguntar sobre ciberseguridad hace más de diez años,
probablemente fue una de las primeras veces que los directores financieros escucharon sobre
ciberseguridad. Vale la pena señalar que estas primeras conversaciones no comenzaron dentro de
una organización , sino que fueron impulsadas por personas que preguntaban desde fuera de la
organización. Dentro de una organización, generalmente no ha sido una preocupación. Magda (coautora de este
La comprensión del CFO sobre ciberseguridad 29
libro) hizo que un director financiero le mencionara que confiaba en su equipo de seguridad y
que, por lo tanto, no iba a comprar un seguro cibernético.
Con el aumento del riesgo cibernético y la inevitabilidad de los ataques cibernéticos, es
fundamental comprender que no existe una seguridad infalible. Dentro de un entorno tan
complejo e interconectado, los ciberdelincuentes hoy en día pueden encontrar debilidades en
las personas, los procesos y la tecnología. Un ciberataque también puede ocurrir a través de
un proveedor o vendedor. Es solo cuestión de tiempo.
Un grupo de piratas informáticos conocido como "London Blue" apuntó a más de 50 000
ejecutivos financieros, incluidos 35 000 directores financieros, con solicitudes falsas para
transferir dinero. Las estafas fueron estimadas en un informe de Agari (https://www. agari.com/
cyberintelligenceresearch/whitepapers/ londonbluereport.pdf) que causó cientos de miles de
dólares en daños. Los CFO y los ejecutivos de finanzas dentro de una organización no son
inmunes a ser atacados y no son necesariamente expertos en cibernética para tales estafas.
Eso debe cambiar.
En el mundo actual, las aseguradoras tienen en cuenta los riesgos cibernéticos y brindan seguros
cibernéticos a las organizaciones como una opción de transferencia de riesgos. Esto requiere un
perfil de riesgo de una empresa. El seguro cibernético ayuda a los directores financieros a tomar
conciencia cibernética y requiere un cambio en su percepción del riesgo cibernético. Este cambio
de mentalidad también se correlaciona directamente con la frecuencia y el costo de los ataques cibernéticos.
Como resultado, la ciberseguridad ahora se forma como parte del registro de riesgos.
Sin embargo, para los CFO, comprender los riesgos cibernéticos y la ciberseguridad en su
conjunto puede ser un proceso largo y frustrante. La ciberseguridad es compleja, las soluciones
no siempre son suficientes para mitigar el riesgo y la jerga técnica confusa son solo algunas
de las razones por las que los CFO lo encuentran desafiante. Su organización puede tener
hardware y software de seguridad cibernética para proteger su negocio contra ataques
cibernéticos. Sin embargo, solo se necesita una debilidad para incurrir en pérdidas financieras.
Las personas, los procesos y la tecnología no son inmunes a las ciberamenazas.
Específicos para el equipo de finanzas, el phishing, la ingeniería social y el Business
Email Compromise (BEC) han sido algunos de los delitos cibernéticos más comunes.
El informe de delitos cibernéticos del Centro de quejas de delitos en Internet (ICCC) del FBI encontró
que los esquemas BEC son los más costosos de todos los delitos cibernéticos, lo que genera
pérdidas de aproximadamente $ 1.8 mil millones solo en 2020.
Un buen ejemplo es un empleado que procesa el pago de una factura de
proveedor falsa, lo que puede generar el desvío de decenas de miles o
incluso cientos de miles de dólares. Esos ciberataques de ingeniería social funcionan
apuntando a humanos y procesos. Este tipo de delito cibernético ha aumentado en los
últimos años y, si bien algunas empresas han abordado este riesgo cibernético para
evitar pérdidas o fraudes financieros, otras continúan con su enfoque tradicional e
ignoran los pilares, las personas y los procesos críticos de la ciberseguridad. “No nos
puede pasar a nosotros” sigue siendo la perspectiva generalizada.
Es importante destacar que un CFO no está obligado a aprender conceptos técnicos de ciberseguridad.
Pero sí deben considerar los riesgos cibernéticos que podrían materializarse a partir de una
debilidad en las personas, los procesos o la tecnología. Comprender y comunicar que la
seguridad infalible no existe es uno de los primeros pasos, junto con aumentar el presupuesto
para ayudar a abordar iniciativas estratégicas. Además, requiere soporte continuo y la
preparación de la empresa para responder cuando ocurre un ataque.
También vale la pena señalar que cuando se trata de seguros cibernéticos, no todos los eventos
cibernéticos estarán cubiertos, lo que significa que las empresas no podrán transferir todo su
riesgo a través del seguro. Tomemos, por ejemplo, un ataque de ransomware: las compañías
de seguros ahora niegan pagos de seguros por pagos de ransomware.
Sin embargo, los ataques de ransomware son solo un riesgo cibernético para una empresa. La
siguiente sección describe los aspectos clave de la ciberseguridad que son útiles para que los
CFO consideren.
Los aspectos de ciberseguridad que el
CFO debe considerar
La ciberseguridad es una conversación que debe tenerse a nivel de la sala de juntas, ya que el
impacto de un ciberataque puede tener enormes consecuencias en la confianza del cliente, la
lealtad a la marca y el valor de los accionistas. Cuando el CISO inicia la conversación, el CFO
debe ser un partidario. Así como la autoridad financiera se delega en una organización, también
debe hacerlo la resiliencia cibernética. Sin embargo, el riesgo cibernético es más complejo que
el riesgo financiero; un aspecto de esa complejidad es que no hay límites monetarios que
puedas establecer para quién responde a un ciberataque. En otras palabras, todos deben tener
un rol y todos son dueños de una parte de la protección y recuperación, y de las pérdidas
financieras.
La ciberseguridad va más allá de la efectividad de los controles técnicos correctos,
como los firewalls y la autenticación. Para muchos, un evento de seguridad se considera
comúnmente como la falla de los controles técnicos, razón por la cual el costo informado
de una brecha de seguridad a menudo se considera solo como el costo del impacto inicial.
Los aspectos de ciberseguridad que el CFO debe considerar 31
Sin embargo, eso es solo una parte del panorama financiero y, a menudo, una pequeña parte.
Lo que a menudo se olvida son las consecuencias de cosas como multas reglamentarias,
juicios y pérdida de la reputación de la empresa.
Parte del rol del CFO moderno es cuantificar los riesgos e inspirar el cambio mediante el uso
de números para contar la historia de la gestión del riesgo cibernético. Con un enfoque en
datos, datos, datos, sin duda el producto más valioso para cualquier organización, el CFO
puede asegurarse de que se aproveche y analice para ayudar a tomar decisiones comerciales
más eficientes. La ciberseguridad es una de esas decisiones empresariales.
Se requieren inversiones en la seguridad adecuada para ayudar a proteger estos datos. Si
una empresa sobrevive a un ataque inicial, el tiempo de recuperación puede ser muy largo
y costoso. El CFO debe considerar el valor y el costo de los datos, incluidos los costos de
violación de datos, costos de ataques cibernéticos, retorno de la inversión (ROI) en
ciberseguridad, priorización de iniciativas cibernéticas y diligencia debida adecuada del
proveedor. La mentalidad fundamental cuando se trata de resiliencia cibernética debe ser
la prevención primero. La limpieza básica incluye ejecutar una función de TI estricta y
mantener la moneda del parche, y la higiene básica de ciberseguridad puede proporcionar
enormes beneficios a un costo relativamente bajo.
Lo bueno es que el CFO no está solo en esta lucha. El CISO Rahul Khurana ha informado a
los CIO y CTO en algunas de las organizaciones en las que ha trabajado. Ahora, como CISO
de una empresa global de tecnología de la salud y la defensa, reporta directamente al CFO.
Compartió su experiencia de estar en esta estructura de informes diferente:
“Nuestras discusiones están muy enfocadas en el riesgo comercial general.
Los directores financieros tienen una comprensión clara del impacto
comercial de una infracción cibernética (ya sea financiera, legal, de
reputación, etc.). Se trata del impacto en los ingresos. También tengo
un presupuesto cibernético independiente; No necesito luchar por una
participación cibernética con un presupuesto de TI empresarial común.
Es fácil hablar de números y recuperar la inversión a través de la evitación de costos.
“Cada dólar invertido en seguridad cibernética (personas/procesos/
tecnología) que resulta en la reducción de incidentes cibernéticos o un
impacto general de un incidente refleja un retorno de la inversión,
desde una reducción monetaria, de riesgo o una madurez y capacidad
mejoradas. Hace una gran diferencia tener acceso directo al CEO y al
directorio. Están abiertos a ideas y enfoques innovadores cuando tenemos
una mentalidad de enfoque empresarial”.
El CFO debe colaborar con el CISO para navegar las inversiones y los costos (como
los controles de seguridad) y las complejidades de la protección financiera (incluida la
pérdida de reputación y las demandas). Es importante que el CFO comprenda
claramente cómo lograr esos resultados para tomar las decisiones correctas y producir
pronósticos financieros adecuados. Los presupuestos y las inversiones en ciberseguridad
aumentan cada año a medida que se crean nuevas amenazas y tecnologías de defensa.
Los directores financieros tienen una oportunidad única de aprobar la financiación de
soluciones de seguridad que ayudarán a proteger una empresa o complementar (no
reemplazar) esas soluciones con un instrumento financiero, como un seguro. También
deben evitar gastar de más en productos que impidan el crecimiento del negocio en nombre
de la seguridad. El director financiero debe equilibrar el gasto excesivo, que conduce a una
falsa sensación de seguridad, y la falta de financiamiento de iniciativas de seguridad, lo
que puede resultar en un mayor riesgo en toda la infraestructura más amplia. Los directores
financieros deben reconocer la ciberseguridad como una inversión para protegerse contra
pérdidas financieras en lugar de una carga o un gasto.
Esto solo se puede lograr si el CFO comprende y aclara los impactos financieros de un
evento cibernético en dólares.
La perspectiva de un CFO Wayne
Andrews, CFO de la Universidad de Sydney, reveló que su consideración clave al planificar
y presupuestar la seguridad cibernética es establecer primero la tolerancia al riesgo de la
organización: "Es infinitamente costoso e imposible eliminar el riesgo cibernético por
completo (aunque los CIO gastar cualquier cantidad en la búsqueda de ese objetivo), por
lo que la pregunta es cuánto riesgo puede tolerar y cuánto le costará reducir su exposición
dentro del rango tolerable”.
La discusión sobre la tolerancia al riesgo se centra en establecer la tolerancia y comprender
el espectro de riesgo, haciendo que el nivel de gasto sea una mera consecuencia del
proceso.
Wayne encuentra fantasioso intentar un análisis de costobeneficio en el gasto
cibernético porque el rango de resultados puede ser muy amplio y las
consecuencias de un evento real muy grandes. Los números absolutos son tan
asimétricos y las probabilidades son muy subjetivas. Solo se puede hacer de
manera significativa al reducir el rango de resultados aceptables y el costo de entregarlos.
Wayne concluyó: "Esto es importante porque si su punto de partida es eliminar todos los
riesgos, está condenado al fracaso en ese sentido y a gastar mucho dinero en la búsqueda
del fracaso".
Los aspectos de ciberseguridad que el CFO debe considerar 33
Es como tener una póliza de seguro y nunca tener que cobrarla. Las empresas
gastan mucho dinero, pero es posible que no sepan realmente el alcance total
del costo al final del día si hubieran optado por no tener seguro.
¿Hay alguna forma de demostrar el número de cuasi accidentes o cuantificar de qué nos
hemos salvado? Tal vez otra forma de verlo es compararla con la resistencia cibernética
de sus empresas pares y decidir que se verá menos afectado por los ataques cibernéticos
porque tiene una capacidad de seguridad cibernética más sustancial.
Para la mayoría de las empresas, el objetivo es ser sostenible y garantizar que la empresa
tenga futuro. Ese medio millón de dólares que gastas en gestión de riesgos de
ciberseguridad se convierte en tu retorno del objetivo. Si bien es posible que no se
traduzca necesariamente en "Acabo de ahorrarle a mi empresa $ 10 millones", los
esfuerzos deben cumplir con los requisitos de la organización para prosperar.
Abordar el riesgo cibernético desde una visión
financiera compleja
Wayne también ofrece este punto de vista: “¿Puede una organización equilibrar algunos
riesgos con una póliza de seguro cibernético? No hay almuerzo gratis en este sentido. Lo
que el seguro puede hacer por usted es entregar los fondos a corto plazo para remediarlo,
incluidos los pagos de rescate; sin embargo, el seguro no restaurará su negocio ni su
reputación, por lo que es un medio para suavizar el flujo de efectivo en lugar de eliminar
el riesgo. De hecho, se encontrará sin seguro a menos que tenga un programa creíble de
gestión de riesgos cibernéticos”.
El cumplimiento normativo es un enfoque para crear un programa cibernético creíble.
Algunas regulaciones con aplicaciones más completas, como el Reglamento
General de Protección de Datos Europeo (GDPR), pueden requerir un enfoque
sólido en las posibles violaciones de datos. El RGPD ha dirigido el tema de la
necesidad regulatoria de la protección de datos en cada conversación comercial y
un proceso de notificación que requiere un cambio rápido. Las multas son enormes
y las empresas no pueden permitirse el lujo de recibir una sanción de millones de dólares.
El cumplimiento del estándar de seguridad de datos de la industria de tarjetas de
pago (PCI DSS) (cuando corresponda a una empresa) también es otro esquema útil
para traducir los controles de seguridad en multas monetarias reales. PCI DSS es de
naturaleza técnica y está diseñado para proteger la información financiera. A su CFO
le interesa cumplir con esto, ya que las empresas deberán cumplir con este estándar
para infundir confianza en los clientes. ¿Cómo está colaborando actualmente su CFO con
su CISO para supervisar estos requisitos de cumplimiento y seguridad
cibernética, gastos y pérdidas potenciales?
Esperamos que cada vez quede más claro por qué es importante el papel del CFO en la
ciberseguridad. A continuación, entramos en más detalles sobre la relevancia del papel del CFO en
la construcción de un negocio resistente cibernético.
Definición del rol del CFO en la construcción de
resiliencia cibernética
Los riesgos cibernéticos son ahora uno de los riesgos más problemáticos para los
directores financieros. El CFO debe poder colaborar con el CISO y participar
plenamente en una discusión sólida sobre el riesgo cibernético con la junta, el resto
de la organización y las partes interesadas externas y posicionarlo como un riesgo
comercial y comercial, mitigado a través de una variedad de medidas, no todos son tecnológicos.
El CFO y el departamento de finanzas son altamente confiables y hábiles cuando se trata de
explicar las razones comerciales detrás de los límites y controles financieros que implementan; por
lo tanto, deberían aprovechar esto para promover la ciberseguridad. En caso de un ataque, el CFO
será, comprensiblemente, uno de los primeros en evaluar el posible daño y liderar, con el CEO,
acciones y mensajes tanto internos como externos a las partes interesadas esenciales.
El CFO puede mejorar las capacidades cibernéticas de una organización y ayudar a cumplir las
expectativas de la junta directiva y de la alta gerencia de maneras cruciales. Los exploraremos en
las próximas secciones.
Evaluación comparativa de los presupuestos de ciberseguridad El CFO puede
ayudar al CIO y al CISO a determinar el presupuesto de ciberseguridad adecuado. Los directores
financieros líderes comparan el presupuesto de seguridad cibernética de su empresa con el de sus
pares de la industria. Magda ha recibido solicitudes continuas de datos de evaluación comparativa
de los CFO. Las solicitudes de evaluación comparativa se extendieron más allá de la mitigación del
riesgo cibernético para cubrir la transferencia del riesgo cibernético. Si un CFO ve que el promedio
de la industria para los presupuestos de seguridad cibernética es el 10 por ciento del presupuesto
de TI, y su empresa asigna solo el 1 por ciento del presupuesto de TI a la seguridad cibernética, es
probable que esté invirtiendo lo suficiente.
Definición del rol del CFO en la construcción de resiliencia cibernética 35
La evaluación comparativa es una excelente posición de partida para el CFO y lo
ayuda a determinar si está gastando demasiado o si no está gastando lo suficiente.
Esto ayudará a ajustar el presupuesto antes de la asignación.
Definición del gasto en ciberseguridad
El CFO debe colaborar con el CISO para definir las asignaciones de fondos y los
gastos. Una organización debe evaluar si los fondos se invierten en las iniciativas
correctas. Esta evaluación ayuda a evaluar si la empresa está gastando la cantidad
correcta en las iniciativas adecuadas, dada su exposición al riesgo cibernético. Ha
habido situaciones en las que las empresas invirtieron en herramientas costosas sin
contar con los fundamentos de ciberseguridad, como la gestión de vulnerabilidades o
la autenticación de dos factores para el acceso administrativo. Incluso las mejores
herramientas son ineficaces sin sistemas básicos que las respalden.
La "definición de gastos" debe cambiarse a "asignación de gastos cibernéticos", que
habla sobre la asignación inteligente y cómo el CFO puede ayudar a distribuir y
amortizar los gastos en múltiples presupuestos, e incluso asignar porcentajes de gastos
de los presupuestos de otros departamentos para ayudar con la seguridad. Los CFO
están en una posición única para hacer esto porque tienen una visión holística del
presupuesto. También pueden evaluar el riesgo y aplicarlo a la asignación de recursos
de ciberseguridad, ya que las necesidades de todos los departamentos no serán iguales.
Apoyar la cuantificación del riesgo cibernético La actitud de dólar y
centavo del CFO es útil para analizar los riesgos cibernéticos utilizando un enfoque
cuantitativo en lugar de cualitativo, asegurando que los valores comerciales y de riesgo
se cuantifiquen por igual. Tradicionalmente, los profesionales de la ciberseguridad no
han cuantificado el riesgo cibernético, sino que lo presentan utilizando métodos cualitativos.
Si bien es útil, este enfoque es limitado cuando se requieren evaluaciones y priorización
de gastos objetivos. Si bien los profesionales de la gestión de riesgos han utilizado
estos modelos para otros tipos de riesgos durante años, solo ahora se están aplicando
a la ciberseguridad. Una vez presentado, si la junta sigue insatisfecha con los informes
de seguridad tradicionales, puede buscar una visibilidad alineada con otros tipos de
riesgo como parte de ERM. Esto requiere cifras financieras y pronósticos adecuados
para respaldar sus decisiones comerciales estratégicas. El CFO debe proporcionar
estos conocimientos y ayudar a cuantificar los riesgos cibernéticos en colaboración con el CISO.
Magda ha colaborado con profesionales de contabilidad forense que pudieron brindar
información increíble mediante la cuantificación de valores basados en escenarios de
riesgo cibernético. Por ejemplo, pudieron calcular claramente las posibles pérdidas
financieras para todo tipo de interrupciones comerciales, incluidas las pérdidas de
ganancias, las horas extra de los empleados y los gastos de terceros, entre otros. Esto
demuestra que el CEO y los miembros de la junta solo pueden garantizar que los recursos
se gasten de manera eficiente al medir tanto el riesgo cibernético como el apetito de riesgo
de la organización a medida que aumenta el costo de protegerse contra los ataques cibernéticos.
La cuantificación del riesgo es realmente importante y es cómo el equipo de finanzas puede
ayudar al CISO aquí. Si el CISO puede identificar riesgos, entonces el equipo de finanzas puede
cuantificar los impactos financieros, lo que ayuda con la priorización. El riesgo sustenta todas
las decisiones que se toman en una organización, y una forma de abordar el riesgo rápidamente
es mediante la transferencia.
Tradicionalmente, los directores financieros compran seguros corporativos en
colaboración con los gerentes de seguros. Al igual que con cualquier tipo de seguro
adquirido en nombre de la empresa, también administran la evaluación y suscripción
de seguros cibernéticos y supervisan la auditoría, el inventario, las pruebas y el cumplimiento.
El seguro es un contrato en el que una organización recibe protección financiera o
compensación de una compañía de seguros garantizada en una póliza. La
contratación de un seguro es un complemento a la gestión de riesgos en términos de salvaguarda
tu compañía.
Como los ataques cibernéticos pueden provocar pérdidas financieras, el seguro cibernético
podría cubrir esas pérdidas financieras, ayudando con el flujo de efectivo y la gestión de liquidez.
Una estrategia de gestión de riesgos detallada e inteligente considera la mitigación y las
transferencias del riesgo cibernético. Siempre existe un riesgo residual que podría materializarse,
afectando la posición financiera de la empresa. Si se produce ese riesgo, el seguro indemniza
los daños y perjuicios.
El seguro es una herramienta de riesgo poco común pero importante en el mundo de la
ciberseguridad que ayuda a reducir el riesgo rápidamente; tiene una correlación directa con los
costos incurridos por la organización. Las desventajas de los seguros son que no cubren todo, y
las compañías de seguros están comenzando a reducir el alcance de los pagos de seguros. Al
igual que con la compra de cualquier póliza, el escrutinio estricto de lo que está y no está cubierto
debe ser parte del proceso de diligencia debida.
Comunicación con el CFO sobre riesgos cibernéticos 37
Tener un programa cibernético sólido para abordar los problemas de higiene de la
seguridad ayudará a reducir las primas de seguros, lo que ofrece un mejor retorno de la
inversión que gastar en primas. Sin embargo, todavía hay un punto ciego para muchas
organizaciones, uno que a menudo no está cubierto por el seguro cibernético y es el riesgo de terceros.
Evaluación de riesgos de terceros Los directores
financieros suelen ser actores clave que definen el proceso de adquisición. Los riesgos
de la cadena de suministro han aumentado enormemente y, por lo tanto, respaldar los
procedimientos de evaluación de riesgos cibernéticos realizados en sus proveedores
antes de trabajar con ellos debe ser una prioridad para el CFO. En algunas
organizaciones, el CFO posee la función de gestión de riesgos de terceros, mientras
que en otras, esto puede compartirse entre el equipo de adquisiciones (finanzas), el
equipo de riesgos (bajo el CRO) y también la función de seguridad (bajo el CISO).
La presupuestación, el gasto y la cuantificación de riesgos en ciberseguridad son
parte de las responsabilidades del CFO en la creación de resiliencia cibernética. Sin
embargo, identificar y reconocer el riesgo cibernético es el papel de todos en la
organización. Por lo tanto, corresponde a todos comunicar esos riesgos de manera efectiva.
La siguiente sección proporciona consejos para la comunicación con su CFO.
Comunicarse con el CFO sobre los riesgos
cibernéticos
Shamane explica: “El lenguaje es importante. Tradicionalmente, el CFO siempre ha
estado familiarizado con el ROI. Sin embargo, puede ser un desafío para muchos
cuantificar el retorno de la inversión en ciberseguridad”.
A menudo, la ciberseguridad está bajo la superficie, no es reconocible ni reconocida,
pero protege a la empresa de las ciberamenazas. Podría estar ocurriendo toda esta
actividad, pero es posible que el CFO no vea ningún aspecto positivo en ella, ya que
no sabe cuántos incidentes se evitaron o cuántos cuasi accidentes hubo . El CFO lo
ve por lo que las herramientas le cuestan a la empresa, no por lo que le ha ahorrado a
la empresa.
Como muchos CFO han compartido con Shamane, “por lo general, se puede medir el
costo para la organización después de un ataque, pero si la empresa no se ha visto
comprometida, ¿cómo se puede saber qué costo se ha ahorrado?”.
Entonces, ¿cómo evalúan los demás en una organización las amenazas y necesidades de ciberseguridad?
Las mediciones como los indicadores de adelanto y retraso pueden ser útiles para
evaluar esto. Sus indicadores de retraso son sus multas financieras posteriores al
hecho y el costo de responder a un incidente que se puede ver, para lo cual tenemos
medidas cuantificables disponibles.
Los indicadores principales, por otro lado, implican el uso de proyecciones de
curva de pérdida o análisis factorial de riesgo de información (FAIR), que se
enmarca dentro del cálculo de riesgo "tradicional" de probabilidad e impacto. FAIR
es un modelo cuantitativo conocido para la seguridad de la información y el riesgo
operativo. FAIR ofrece un paradigma para comprender, evaluar y medir los riesgos
cibernéticos y operativos en términos financieros.
La buena noticia es que están surgiendo métodos de cuantificación innovadores. Una forma
de cuantificar el riesgo cibernético (desarrollar una curva de pérdidas cibernética específica )
puede ayudar a las empresas a desarrollar un marco de riesgo de capital significativo para
cibernéticos y responder esas preguntas difíciles, incluido el ROI. Además, la creación de
escenarios se puede utilizar para comprender las consecuencias de los ataques cibernéticos
y garantizar un modelo preciso para la cuantificación del riesgo cibernético.
Pasar de marcos cualitativos a cuantitativos para el riesgo cibernético es un viaje en sí
mismo. Sin embargo, cuantificar el riesgo proporciona la base para una mejor discusión
con su CFO. Requiere práctica y una perspectiva diferente, pero es considerablemente
más exitoso para ganar comprensión y mantener la atención de su CFO en el tema.
Magda ha practicado durante mucho tiempo la cuantificación del riesgo cibernético y
cree firmemente que empodera a los profesionales de la seguridad para comunicarse
de manera eficiente con las partes interesadas del negocio y alinear las estrategias de
ciberseguridad con los objetivos comerciales. Después de todo, la evaluación es solo un
elemento. Debe ser presentado al CFO. Al hacerlo, es fundamental evitar el lenguaje
técnico sobre ciberseguridad al discutir o dar consejos al CFO, que no tiene experiencia
en ciberseguridad, para garantizar que comprendan los riesgos cibernéticos y puedan
participar en una discusión. Por lo tanto, los hechos deben ser entregados en un idioma
que puedan comprender para que comprendan con seguridad el tema y especialmente
las solicitudes, si las hubiere. Aquí es donde se utiliza la cuantificación del riesgo
cibernético. Se alinea con el lenguaje del CFO: pérdidas financieras.
Por lo tanto, al iniciar una discusión con su CFO, es crucial aprovechar los temas
familiares para encontrar un término medio. La ciberseguridad es un tema complejo
para un CFO, al igual que la planificación financiera para los profesionales de la
ciberseguridad. El objetivo es que el CEO y el CISO consideren en colaboración varios factores del
Comunicación con el CFO sobre riesgos cibernéticos 39
Las recomendaciones del CFO para comprender las implicaciones financieras reales de los
costos y las pérdidas si ocurre un incidente de seguridad o una filtración de datos.
Costos económicos
Los costos financieros pueden ser sencillos e inmediatos, como sanciones y multas. Luego
están los costos de notificación, que pueden incluir tarifas, cargos y gastos necesarios
incurridos para notificar a las personas, los organismos reguladores y otras partes que
requieren la notificación de un incumplimiento. Luego están las actividades relacionadas con
los costos como resultado de las respuestas a las consultas y otras cuestiones de aclaración
y consecuencias legales.
Los costos de la filtración de datos pueden incluir investigaciones forenses, con resultados
potenciales como una disculpa en forma de compensación, un cambio en los procedimientos,
la mejora de las garantías de seguridad y/o el pago de una compensación por la pérdida o el
daño sufrido. En Japón, por ejemplo, se paga dinero de disculpa a las personas afectadas.
Todos estos factores aumentan directa e indirectamente las pérdidas financieras de la
empresa después de una filtración de datos y deben evaluarse como parte del costo total de
la filtración de datos.
En el caso de un ciberataque exitoso en general, una empresa podría sufrir impactos
significativos, como la interrupción de los sistemas centrales, la corrupción de las bases de
datos, la parálisis empresarial, etc. Tradicionalmente, los impactos de los incidentes de
seguridad se clasifican en financieros, reputacionales y legales. Sin embargo, si no se
cuantifica, podría conducir a una falta de visibilidad precisa de los costos.
Los costos económicos adicionales incluyen pérdidas financieras derivadas de costos directos
e indirectos y costos de terceros. Además de la interrupción inmediata, también pueden surgir
las horas extra de los empleados, los costos de comunicación, los costos directos (costos de
recuperación) y la pérdida de valor de las acciones. También existe la potencial pérdida de
clientes, pérdida de ventas y una reducción de las ganancias en el mediano plazo. Esto podría
resultar en una caída en la participación de mercado, la valoración o un retraso en una oferta
pública inicial (OPI).
En el caso de un ataque cibernético exitoso que involucre ransomware, la organización podría
enfrentar la interrupción del negocio o la parálisis de las operaciones, las cuales tienen
implicaciones financieras.
Uno de los objetivos de comunicarse con el CFO y apelar a ellos en un lenguaje que
entiendan, las pérdidas financieras, también sirve para redirigir la mentalidad que tienen en lo
que respecta a la ciberseguridad y la resiliencia.
Mentalidad
Ha habido un cambio intencional en los últimos años para enfocar las necesidades
de ciberseguridad en el retorno del valor (ROV) o el retorno del objetivo (ROO).
Piénsalo desde la perspectiva de la estrategia de defensa de una nación. Se inyectan miles de
millones en estrategias militares y equipos de guerra de artillería avanzados en un intento por
estar preparados para luchar en una guerra y salvar tantas vidas como sea posible si alguna vez
llega a ser necesario. Nunca esperamos la guerra, pero aun así nos preparamos para ella.
Esta sección analiza una nueva perspectiva y un enfoque innovador para la evaluación
del riesgo cibernético en la función financiera. Los marcos tradicionales de seguridad
cibernética no empoderaron a los profesionales de la seguridad para liderar las
discusiones comerciales y crearon varios desafíos para que las partes interesadas
comerciales reconocieran el valor y la necesidad de la seguridad cibernética.
Cuantificar las pérdidas financieras plausibles y discutirlas en términos de escenarios
de riesgo cibernético son factores clave para facilitar la colaboración entre seguridad, finanzas y ERM.
Afortunadamente, hay preguntas diseñadas para extraer los puntos de vista y la comprensión
de su CFO sobre el riesgo cibernético y también desafiarlos sobre las formas en que deberían
asumir un papel más activo en la defensa de la seguridad cibernética.
Preguntas para hacerle a su CFO
Estas preguntas ayudarán a facilitar una discusión saludable con su CFO y explorar formas en
que pueden trabajar de manera más efectiva con otros ejecutivos para abordar las brechas de
resiliencia cibernética de su organización y el programa de mejora.
• ¿Ha considerado el riesgo cibernético como parte de ERM? •
Como director financiero que gestiona el riesgo financiero dentro de una organización,
¿cómo puede convertirse en un campeón de la seguridad en la sala de juntas?
• ¿Cómo puede cambiar su punto de partida de eliminar todos los riesgos a
reduciendo el rango de resultados aceptables?
• ¿Cómo entiende la implementación de la higiene de la ciberseguridad? ¿Es algo más
que cortafuegos y autenticación? • ¿Cómo garantiza la cuantificación del
riesgo cibernético y la optimización financiera?
• ¿Confía en que el riesgo cibernético debe abordarse con un equilibrio entre la mitigación
y la transferencia? ¿Ha considerado la gestión del flujo de efectivo y la transferencia
de riesgos a través de los seguros cibernéticos?
Resumen 41
• ¿Cómo está trabajando con el CISO y el CIO/CTO para cumplir con los requisitos
reglamentarios, como los requisitos de GDPR y PCIDSS?
• ¿Cuánto tiempo pasa con el CISO y el CIO para hacer una revisión empresarial del entorno
de ciberseguridad?
Resumen En este
capítulo, mencionamos que los CFO deben reconocer que el peligro para la seguridad cibernética
es constante: los ataques ponen a prueba continuamente las defensas de las empresas grandes
y pequeñas. Los directores financieros también deben considerar la posibilidad de que ya se
hayan visto comprometidos y no lo sepan. Ya no existe un perímetro de defensa, con empleados
que trabajan de forma remota de forma permanente o con mayor frecuencia. Esto tiene un impacto
significativo en las exposiciones comerciales y el riesgo cibernético.
Los CFO y los ejecutivos financieros deben considerar los riesgos de ciberseguridad y utilizarlos
para reformular y reposicionar la gestión de la ciberseguridad como un riesgo comercial
estratégico . Los directores financieros deben ayudar en la gestión de riesgos asegurándose de
que una organización tenga los recursos apropiados asignados a todas las categorías de gestión
de riesgos, incluido el riesgo cibernético.
Las finanzas desempeñan un papel fundamental en la evaluación de riesgos y la gobernanza en
toda la organización. El cibernético es uno de estos riesgos, pero dado el potencial de pérdida
monetaria, debería ser uno en el que las finanzas tengan una influencia significativa.
En el próximo capítulo, discutiremos el rol del Director de Riesgos. Este capítulo identificará los
mayores desafíos y conceptos erróneos que se enfrentan actualmente en lo que respecta al riesgo
cibernético y ERM.
3
El papel de la CRO en
la resiliencia cibernética
El Director de Riesgos (CRO) es un alto ejecutivo responsable de la identificación y
evaluación de los riesgos comerciales que pueden afectar negativamente la
rentabilidad y la productividad de su organización. Defienden los esfuerzos de
gestión de riesgos empresariales (ERM) liderando estrategias de gestión de riesgos
y son responsables de los procedimientos de identificación y mitigación de riesgos.
En algunas organizaciones, el CRO encabeza un comité de riesgos compuesto por
ejecutivos de diferentes departamentos, como finanzas, operaciones, TI, ventas y recursos humanos.
El enfoque de la CRO para la gestión de riesgos ha evolucionado con la forma en que hacemos
negocios en la era de las ciberamenazas. Las técnicas de gestión de riesgos en los negocios han
tenido que adaptarse al hecho de que la mayoría de las empresas ahora dependen de la
tecnología o dependen de la tecnología de la información (TI) para ejecutar sus operaciones comerciales.
La función de gestión de riesgos evoluciona a medida que cambia el alcance, el tamaño y
el valor de una empresa, y cada categoría de riesgo (operacional, cibernético y financiero,
entre otros) necesita sus propios marcos de riesgo y aplicabilidad.
Esto ha resultado en una transformación significativa en la comprensión del proceso de gestión
de riesgos por parte de varias partes interesadas, especialmente para el riesgo cibernético,
donde muchos profesionales de riesgos parecen tener una brecha de conocimiento particular.
Esto se ilustra con la forma en que la mayoría de los profesionales del riesgo todavía se
refieren a la norma ISO 31000 cuando hablan de los riesgos cibernéticos, a pesar de que la
ISO 27005 se centra más en el riesgo cibernético.
44 El papel de la CRO en la resiliencia cibernética
• ISO 31000 es la norma internacional para la gestión de riesgos. Proporciona un marco y
una guía para gestionar el riesgo en toda la organización. ISO 31000 está diseñado
para ayudar a las organizaciones a identificar y gestionar el riesgo de una manera
más sistemática y proactiva. El estándar puede ser utilizado por cualquier organización,
independientemente de su tamaño o sector.
• ISO27005 es el estándar internacional para la gestión de la seguridad de la información.
Proporciona un marco y una guía para gestionar la seguridad de la información en
toda la organización. Complementa las normas ISO 27001 e ISO 27002 al proporcionar
las mejores prácticas para gestionar los riesgos relacionados con la seguridad de la
información.
Con la transformación digital generalizada y la adopción de tecnología acelerada por la
pandemia de COVID19, los CRO de hoy deben asegurarse de que los riesgos digitales estén
incluidos en los registros de riesgo de su organización y actualizar las matrices de riesgo para
reflejar mejor los eventos de riesgo específicos de los impactos tecnológicos.
En este capítulo, nos adentraremos en el mundo de las CRO, teniendo en cuenta que el riesgo
cibernético es un nuevo enfoque para muchas de ellas. Las secciones cubiertas en este capítulo
exploran las áreas clave en las que las CRO deben centrarse, sus principales desafíos y las
formas de conectar los puntos y mantenerse a la vanguardia en la gestión del riesgo cibernético.
Los CISO también encontrarán útil este capítulo para comprender lo que los CRO requieren y
esperan de los CISO. El final del capítulo proporciona conclusiones prácticas y preguntas que
los ejecutivos de nivel C pueden analizar con sus CRO, lo que sirve como una lista de
verificación para que los CRO sopesen sus prioridades y comprendan su posición al abordar
los riesgos cibernéticos.
Este capítulo cubre los siguientes temas clave:
• Comprender el papel de la CRO y su área de enfoque clave
• Analizar las prioridades clave de la CRO •
Identificar los desafíos de la CRO
• Desarrollar la mentalidad correcta como CRO
• Comprender el potencial de colaboración entre el CRO
y CISO
• Preguntas para hacerle a su CRO
Comprender el papel de la CRO y sus áreas de enfoque clave 45
Comprender el papel del CRO y sus
áreas de enfoque clave
La gestión de riesgos ha ganado importancia en un mundo empresarial cada vez más complicado,
dinámico e interconectado. Las mejoras tecnológicas han transformado las operaciones corporativas,
pero también han creado nuevos desafíos de gestión y mitigación de riesgos. Cada vez más
empresas se están dando cuenta del valor y la necesidad de tener un marco integral de gestión de
riesgos que les permita predecir e identificar mejor los riesgos, para que puedan convertirse en
ventajas competitivas sostenibles.
Como CEO, es importante comprender y valorar la gestión de riesgos dentro de su
organización. ERM es una estrategia empresarial basada en un plan que tiene
como objetivo identificar, evaluar y preparar a la organización para cualquier peligro
y desastre potencial que pueda interferir con sus operaciones y objetivos.
En muchas organizaciones, la gestión de riesgos aún se encuentra en una encrucijada. Los mejores
administradores de riesgos son aquellos que buscan oportunidades para ampliar su base de
conocimientos, refinar sus conjuntos de habilidades y obtener acceso a las mejores prácticas,
herramientas y tecnologías, incluso cuando una cultura de aversión o evasión de riesgos aún
impregna gran parte de sus organizaciones. Es esencial que el equipo de liderazgo central comprenda
completamente la importancia de la gestión de riesgos y desarrolle capacidades de toma de
decisiones que tengan en cuenta el riesgo.
Con niveles crecientes de aceptación por parte de la alta gerencia, la función de riesgo puede
acercarse a la sala de juntas. Los equipos de gestión de riesgos deben aspirar a desempeñar un
papel más destacado en la gobernanza y el cumplimiento de los riesgos. Deben influir activamente
en las opciones de crecimiento estratégico identificando y mitigando los riesgos nuevos y emergentes.
La clave para una estrategia exitosa de gestión de riesgos es fomentar una cultura de asunción de
riesgos en lugar de una que sea adversa al riesgo. Los tomadores de decisiones deben estar
empoderados para enfocarse en objetivos que respalden esto. Después de todo, siempre hay riesgos
en los negocios, como en la vida.
El CRO es el custodio de los riesgos comerciales en una variedad cada vez mayor de riesgos, un
reflejo del mundo cada vez más conectado y complejo en el que vivimos. Estos riesgos incluyen,
entre otros:
• Riesgos financieros (incluyendo riesgos de mercado, de interés y de crédito).
• Riesgos operativos y tecnológicos (incluidos los riesgos cibernéticos).
• Riesgos de la cadena de suministro, de terceros y de proveedores.
• Riesgos de cumplimiento, conducta, personas y cultura. • Más
recientemente, los riesgos relacionados con el medio ambiente, la sociedad y el gobierno corporativo
(ESG)
Un CRO efectivo debe trabajar con la junta directiva para establecer el apetito y la tolerancia al riesgo de
una organización mientras logra la estrategia y los objetivos comerciales. Sería un error catastrófico que una
CRO evaluara el riesgo fuera de contexto y sin una comprensión clara de los objetivos comerciales y de
negocio.
Análisis de las prioridades clave de la CRO
En 2022, las prioridades de la CRO se están moviendo hacia tecnologías innovadoras que han experimentado
cambios y cambios significativos. Por lo tanto, es fundamental asegurarse de que todos sus ejecutivos
comprendan la estrategia y la visión de negocios establecidas por el CEO, hacia la cual el directorio orienta
a la empresa.
Una prioridad clave para el CRO es la necesidad de reconocer la importancia de las personas en
la formación de una sólida cultura del riesgo para complementar todas las actividades de
mitigación necesarias, en consonancia con el apetito por el riesgo de una organización. La cultura
de riesgo de una organización impulsa y motiva los resultados de comportamiento correctos de
las partes interesadas críticas. La cultura de riesgo correcta también influirá en los comportamientos
correctos durante la toma de decisiones y la capacidad de diseñar e implementar controles efectivos.
Sin embargo, las secuelas de COVID19 también han sacado a la luz riesgos relacionados con el talento;
una gran cantidad de trabajadores eligen dejar sus puestos o dar un paso atrás para dejar de estar "siempre
activos", y reemplazar a los empleados con el conjunto de conocimientos ha sido un desafío. Esto afecta
directamente la capacidad de una organización para mantener una cultura de riesgo saludable. Los CRO
clasifican constantemente los riesgos relacionados con el talento como su desafío más crítico para 2022, y
en el que tienen menos confianza en su estrategia actual de recursos humanos.
Otra prioridad clave de un CRO es garantizar que las decisiones informadas sobre el riesgo
sigan siendo una piedra angular fundamental para su organización. La incorporación del
apetito por el riesgo en la toma de decisiones y el análisis de riesgos difíciles de cuantificar
siempre ha sido un desafío, especialmente si no cuenta con el apoyo del director ejecutivo
y otros miembros del equipo de liderazgo. Esto es igualmente cierto y relevante cuando se
habla de riesgo cibernético. Si bien otras preocupaciones pueden ser más apremiantes, los
CRO a menudo carecen de la confianza necesaria para acelerar la gestión de riesgos y la
adopción de tecnología de gobierno, riesgo y cumplimiento (GRC) dentro de la organización.
Identificación de los retos de la CRO 47
Por último, a pesar del gran interés en definir la posición de ERM dentro de ESG, muchas
CRO, lamentablemente, no consideran el fortalecimiento de su gobernanza/ informes de
ESG como una prioridad importante para 2022.
En un podcast presentado por Shamane (coautora de este libro), Joanna Knox, CRO del
gigante de las telecomunicaciones Telstra, analizó cuatro categorías clave en las que se
enfocan en su marco de organización de riesgos:
• El riesgo de seguridad para los empleados y miembros del público es una prioridad:
Joanna prefiere concentrarse en las cosas que tienen más probabilidades de
tener malos resultados para sus clientes o comunidades. El equipo organiza
esto principalmente en torno a los riesgos para la seguridad, incluida la seguridad
de sus empleados y la seguridad de los miembros del público que interactúan
con la infraestructura de la empresa.
• Riesgo de resiliencia para sus clientes: esto incluye cualquier forma en que una
interrupción de uno de los servicios de Telstra (como los servicios de red) podría
afectar a sus clientes. Esta es otra área donde la cibernética es una preocupación
principal.
• Cumplir con los compromisos de los clientes: por ejemplo, Telstra necesita
asegurarse de vender productos y atender a los clientes de una manera que
cumpla con sus expectativas.
• Todo lo que tenga que ver con el cumplimiento normativo: Telstra gestiona este
riesgo haciendo lo correcto para los clientes, en particular con las obligaciones
de alto riesgo, como la privacidad y las llamadas de emergencia.
Cada ejecutivo de nivel C tiene diferentes responsabilidades, motivaciones y prioridades.
Comprender las prioridades relevantes para las responsabilidades y los objetivos del
CRO lo ayuda (ya sea un CEO o un CISO) a desarrollar prácticas más efectivas para
trabajar con sus CRO. Si bien muchas CRO se adaptan a las nuevas normas y cambios
comerciales, siempre hay desafíos con riesgos emergentes, ya sean previstos o que
surjan inesperadamente.
Es por esas razones que es importante explorar los desafíos que enfrentan las CRO.
Identificación de los desafíos del CRO
La historia sigue siendo el maestro supremo; entre sus lecciones está mostrar que los
patrones se forman y se repiten. Al estudiar la economía global a lo largo del tiempo,
parece ocurrir una crisis financiera significativa aproximadamente cada siete años
(comezón de 7 años). Por esta medida, podríamos inferir que, preCOVID, estábamos
atrasados para experimentar un evento catastrófico, dado el último, la Crisis Financiera
Global (GFC) comenzó a mediados de 2007 y duró hasta principios de 2009.
No obstante, anticipar los riesgos en el horizonte es complejo, impredecible y, a menudo,
tiene consecuencias negativas masivas para las empresas.
Jeff McArthur, CRO de Greater Bank, compartió lo siguiente en una grabación de Mega
CSuite Stories con Shamane: “De ahora en adelante, el CRO debe tener la capacidad
de obtener información histórica retrospectiva y aplicar inteligencia para predecir lo que
sucederá. podría parecer el futuro. El próximo desafío de CRO es identificar si la
organización está equipada con la capacidad de responder a un evento,
independientemente de su naturaleza, de manera adecuada dentro de un perfil de
riesgo en constante cambio. Este ha sido uno de los desafíos más importantes, ampliando las capacidades d
¡Ese es todo un desafío para un CRO! Los desafíos evolucionan constantemente dentro
de un entorno cambiante y que se mueve rápidamente. No importa cuánto se concentren
las CRO en sus prioridades, inevitablemente enfrentarán obstáculos y desafíos.
Desafortunadamente, el apetito por el riesgo no está integrado continuamente en el
proceso de toma de decisiones, y esto es especialmente cierto cuando el CRO no tiene
conocimientos de seguridad cibernética o no trabaja en colaboración con otras partes
interesadas en la seguridad. El riesgo es una noción intangible, especialmente cuando
se trata de tecnología. La dificultad para evaluar y cuantificar el impacto de un riesgo
determinado limita a las CRO en sus estrategias de ERM, así como también limita el
apoyo de la junta para identificar y abordar el apetito por el riesgo y la tolerancia al
riesgo. Esto se refleja en la actitud generalizada de "No nos puede pasar a nosotros".
Vemos este desafío particularmente entre los gerentes comerciales, los CRO y los
analistas de seguridad/riesgo de tecnología de la información o CISO. Por ejemplo,
cuando la gerencia de la empresa analiza el efecto de una pérdida, no se refiere a la
cantidad de servidores o sistemas operativos de TI que dejarían de brindar servicios
básicos si ocurriera un evento cibernético. Sin embargo, tal descripción es cómo muchas
de las partes interesadas cuantificarían tales pérdidas. En cambio, se debe comunicar
de manera efectiva a estos grupos de interés que los efectos de una pérdida casi
siempre se refieren a la pérdida de actividades comerciales que perjudican la capacidad
de la empresa para continuar operando. Las pérdidas de servidores o sistemas
operativos son un dolor de cabeza, pero pueden ser reemplazados. Ya no poder hacer
negocios sería catastrófico.
Identificación de los desafíos de la CRO 49
Las partes interesadas en la gestión empresarial se preocupan por proporcionar transacciones
regulares y cumplir con los estándares regulatorios relevantes, lo que puede hacer que la
empresa limite o incluso deje de operar frente a severas sanciones regulatorias y legales si se
materializa un riesgo. De manera similar, los gerentes corporativos a menudo consideran las
pérdidas como amenazas que pueden hacer sufrir a la empresa pero, lo que es más importante
a sus ojos, no pondrán en peligro sus propias posiciones comerciales de manera significativa.
Esto conduce a grandes desafíos con la presentación de informes. Los informes de riesgos
siguen siendo lamentablemente mediocres y la mayoría de los informes de riesgos rara vez
transmiten la información precisa y necesaria a las principales partes interesadas y al directorio.
Magda (coautora de este libro) señala que varios registros de riesgo manejados por CRO en
Asia aún no incluyen el riesgo cibernético, pero sí consideran los riesgos tecnológicos, que son diferentes.
Debido a que la mayoría de los CRO tienen un conocimiento limitado del riesgo cibernético,
solo pueden planificar escenarios limitados basados en experiencia y conocimiento limitados.
A menudo utilizan una plantilla de plan o un plan preparado previamente que es general y no
necesariamente específico para su empresa. Estos planes son teóricos y, en caso de una
amenaza real, no pueden ejecutarse de manera efectiva. Por lo tanto, encontrar los recursos
y capacidades adecuados para implementar planes de riesgo lo más rápido posible es un
desafío importante al que se enfrentarán las CRO.
Hemos avanzado más allá de las nuevas tecnologías de los canales electrónicos y el
comercio electrónico. Con la transformación digital continua, otro desafío clave para Jeff
McArthur es: "¿Cómo tratamos los nodos de riesgo y, lo que es más importante, cómo
usamos algunas de las tecnologías emergentes para gestionar los riesgos?"
Las CRO deben estar abiertas a la idea de los riesgos que se originan en fuentes no tradicionales.
Aprovechando los riesgos emergentes e incorporándolos al perfil de riesgo de una
organización, los CRO pueden identificar de manera más creativa y efectiva sus indicadores
de riesgo de adelanto y atraso, formular sus riesgos e informarlos.
Un buen CRO debe observar las diferentes clases de riesgo sobre la mesa
y considerar los impactos asociados de varios eventos. El CRO debe
tener la mentalidad de que algo sucederá, incluso si no saben qué podría ser.
Su proceso de pensamiento está constantemente preguntando qué pasaría si, incluyendo lo siguiente:
• ¿Qué podría salir mal si…?
• ¿Cuál es el camino al éxito si…?
• ¿Qué suposiciones hemos hecho en nuestros escenarios si...?
• ¿Qué escenarios hemos considerado y cuáles hemos omitido, si…?
• ¿Qué debemos hacer para mejorar nuestros pronósticos si…?
• ¿Conoce la junta directiva la tolerancia al riesgo de la organización si...? (La mayoría de las
juntas honestas admitirán que no saben cómo definir la tolerancia al riesgo).
Quizás algunas de estas preguntas le llamen la atención y se pregunte cómo
las abordan otras CRO. Entonces, hablemos de las diferentes estrategias,
sistemas y marcos que han ayudado a las CRO a administrar sus riesgos cibernéticos.
Estrategias, sistemas, marcos para gestionar el riesgo cibernético Uno de los valores
agregados de una
función de riesgo es un sistema en el que la empresa toma decisiones informadas
sobre el riesgo. Definir la tolerancia al riesgo requiere un enfoque estructurado,
destacando los escenarios de riesgo y rendimiento que reflejan y respaldan los
objetivos estratégicos y luego solicitando una compensación de riesgo/rendimiento
que acuerde la junta directiva. A menudo, las juntas toman decisiones que contradicen
una estrategia establecida, lo que demuestra la falta de una comprensión compartida
de la estrategia, o tal vez diferentes motivaciones.
La estrategia informa la tolerancia al riesgo y viceversa, por lo que la tolerancia al riesgo debe
revisarse para alinearse con la estrategia.
Su CRO debe desarrollar y mantener un marco de gobierno que alinee la gestión de riesgos de
ciberseguridad con sus operaciones comerciales. Este marco de gobierno permitirá a su organización
considerar los riesgos de seguridad cibernética relevantes, estimar su gravedad y determinar sus
impactos y mitigaciones.
Mientras que ERM tradicionalmente ha sido una función de cumplimiento y la
ciberseguridad un problema de TI, la ciberseguridad ahora debe considerarse un riesgo comercial.
Este riesgo empresarial afecta a toda la organización y abarca a las personas, los procesos y la
tecnología.
Existe una escuela de pensamiento que, en la taxonomía general de riesgos, los riesgos cibernéticos
se destacan como una categoría de riesgo independiente. Sin embargo, dado que el riesgo cibernético
es muy diverso y omnipresente dentro de una organización, sus elementos a menudo aparecen en
todas las demás categorías de riesgo, lo que crea otro desafío para los CRO en la actualidad.
El CRO debe tener una perspectiva sobre la eficacia con la que gestiona el riesgo. La
cibernética puede ser un dominio difícil de dominar para que las CRO obtengan una
buena perspectiva y, como tal, podría crear un obstáculo o incluso una brecha crítica en
Identificación de los desafíos de la CRO 51
el proceso de ERM. Esos obstáculos y brechas deben superarse y el riesgo
cibernético debe definirse e incluirse en la estrategia de su CRO, con estrategias de
mitigación implementadas. Una de esas estrategias de mitigación es vincular la
estrategia del CRO con la estrategia de ciberseguridad del CISO.
Joanna Knox también compartió detalles del tablero de efectividad de riesgos que han
desarrollado en Telstra, que evalúa la efectividad de las actividades de gestión de riesgos de la
empresa . Han ido más allá de solo observar las clasificaciones de riesgo, el riesgo residual y la
efectividad del control y ahora consideran los riesgos organizacionales de Telstra de manera
más holística.
Cuando dan un paso atrás y analizan sus riesgos, se preguntan si los están gestionando de
manera eficaz. Considere las siguientes preguntas clave que siempre se hacen:
• ¿Está clara la rendición de
cuentas? • ¿Tenemos nuestro apetito de riesgo definido y acordado? •
¿Tenemos nuestros planes de acción para gestionar el riesgo? Son ellos
adecuado y encaminado?
• ¿Tenemos el tipo correcto de garantía de que nuestro riesgo
las acciones de manejo son efectivas?
La estrategia de Joanna es tener un equipo eficaz que gestione todos los principales riesgos
empresariales de Telstra, incluidos los riesgos cibernéticos.
Al igual que Joanna administra sus otras actividades de gestión de riesgos, la cibernética
no es una excepción, incluso si es realmente especializada y, a veces, sigue siendo técnica.
Creó una función dedicada dentro del equipo cuyo único propósito es comprender la eficacia
con la que el equipo puede gestionar su riesgo cibernético. Aunque el especialista no es un
experto cibernético en comparación con el equipo del CISO, su experiencia en riesgos es
increíblemente útil para evaluar cómo todos manejan el riesgo cibernético. Luego usan ese
enfoque para desafiar al equipo cibernético, lo que a su vez fortalece sus estrategias.
Por último, incluso dentro del propio grupo de seguridad cibernética, se reconoce que la
diversidad de pensamiento y experiencia es esencial para desarrollar una capacidad de
seguridad sólida. Es necesario cuestionar de manera crítica y constructiva cómo se hacen las
cosas, dada la naturaleza en constante evolución de las ciberamenazas.
Por lo tanto, el equipo cibernético de Telstra emplea a una cantidad de personal con diversos
antecedentes en campos no técnicos, que incluyen periodismo, lingüística, educación e incluso
UX y diseño gráfico.
Conectando los puntos
En el entorno actual de riesgo cibernético intensificado, el CRO y el trabajo del
equipo de riesgo central es conectar los puntos entre todos los equipos y el trabajo.
juntos de manera efectiva.
El CRO debe asociarse con el CISO y su equipo cibernético para categorizar, identificar y cuantificar
con éxito los riesgos cibernéticos. El equipo cibernético también debe trabajar en estrecha colaboración
con sus equipos de seguridad física, salud y seguridad, gobierno de datos y otros equipos comerciales
responsables. La colaboración es clave para crear planes de riesgo efectivos.
Los equipos de especialistas en riesgos, junto con el equipo de especialistas en riesgos
cibernéticos, colaboran para garantizar la eficiencia de la gestión de riesgos en toda la
organización. Luego, el CRO trabaja en estrecha colaboración con el CISO en sus marcos,
modelos operativos, informes y gestión de incidentes.
Juntos, encuentran oportunidades para mejorar su trabajo al considerar otras partes del negocio,
como el riesgo de la cadena de suministro, la seguridad física, la privacidad y otras áreas importantes
con gobernanza compartida.
Luego, el CISO posee los controles de mitigación y el cumplimiento de los riesgos digitales/
cibernéticos y garantiza la alineación entre el riesgo residual y la tolerancia al riesgo de su organización.
El CRO, con el apoyo del CISO, permite discusiones sobre la gestión del riesgo cibernético. A tales
discusiones se les debe dar el tiempo adecuado en la agenda de una reunión de la junta.
Ahora que hemos demostrado las diferentes formas en que las piezas del rompecabezas de la
colaboración en equipo pueden encajar, la siguiente sección cubre la mentalidad que es de vital
importancia para los CRO y otros ejecutivos de nivel C al administrar el riesgo cibernético.
Desarrollar la mentalidad correcta
como CRO
En los talleres de riesgo, el enfoque del CRO no debe centrarse en por qué no se puede realizar un
nuevo proyecto o por qué la empresa no puede implementar algo. En lugar de "No, esto no es posible",
la mentalidad del CRO debería ser "Sí, tratemos de encontrar opciones que puedan ayudar a lograr
el objetivo". Debería haber un mayor enfoque en
Desarrollar la mentalidad correcta como CRO 53
definir la propuesta de valor de un nuevo proyecto con el CEO, en lugar de
centrarse solo en los procesos de gestión de riesgos.
Al desarrollar su capacidad de gestión de riesgos, siempre comience con el objetivo.
Este principio de liderazgo crucial requiere una formación adecuada. Cuando sus
ejecutivos están bien informados de sus objetivos corporativos, combinados con una
forma estructurada de considerar los riesgos, están facultados para tomar decisiones informadas.
El trabajo del CRO no es ayudar a todos a evitar todas las posibles amenazas de riesgo.
Su trabajo es construir un enfoque estructurado en el proceso de toma de decisiones que
complemente los objetivos comerciales. El siguiente paso es mejorar la probabilidad de
lograr esos objetivos y el éxito de la nueva empresa.
Además de su propio negocio, es aún más crítico para una empresa de telecomunicaciones
desarrollar resiliencia para sus clientes. Joanna Knox compartió el viaje de su equipo a lo
largo de los años, construyendo diferentes marcos de resiliencia, desde la resiliencia de
redes y TI hasta la resiliencia cibernética, la resiliencia de los proveedores y la gestión de
la continuidad del negocio.
En los últimos dos o tres años, han integrado todos estos marcos de resiliencia en un
marco general, que cubre todas las diferentes áreas donde la resiliencia es vulnerable,
ya sea para sus clientes o sus procesos internos. La cibernética es uno de los dominios
clave en este marco de resiliencia.
Las CRO también están a cargo de la gestión de crisis. La forma más importante de
prepararse para eso es realizar revisiones exhaustivas posteriores al incidente y ejecutar
escenarios del equipo de gestión de crisis (CMT) con un elemento cibernético. Joanna
compartió cómo algunos de sus escenarios cibernéticos específicos involucran a sus
clientes de grandes empresas, donde ejecutan los escenarios de ataque juntos.
También crean otros escenarios que incluyen elementos cibernéticos porque los
incidentes cibernéticos a menudo no ocurren de forma aislada. Estos ejercicios se llevan a cabo
con los equipos de riesgo y cibernético. Ponen a prueba las operaciones cibernéticas
para practicar su respuesta. Una de las funciones clave del CRO es garantizar que las
interacciones con la junta, el equipo de liderazgo y el resto de la empresa sean fluidas.
El propósito de tales ejercicios es ayudar a su organización a gestionar mejor sus riesgos
en caso de que se produzcan ataques. También demuestra por qué una fuerte relación
de confianza entre el CRO y el CISO es crucial y da como resultado mejores resultados.
Comprender el potencial de
colaboración entre el CRO y el CISO
Shamane comparte su observación de las conversaciones que tuvo con varios
CRO sobre sus interacciones con la junta: “No quieren que tengamos miedo de ser contenciosos.
De hecho, dan la bienvenida a una visión alternativa”. Parte de esta visión alternativa es cambiar su
mensaje de miedo a las amenazas a uno que el CRO pueda usar para informar mejor su marco/
análisis/taxonomía de gestión de riesgos.
Los CRO han observado que los CISO pueden usar un lenguaje amenazante para asustar a la junta
directiva para que tome una decisión. Sin embargo, desde una perspectiva conductual y psicológica,
el miedo solo impulsa decisiones irracionales que no funcionan bien a largo plazo.
Uno de esos CISO informó durante una reunión de gestión que el delito cibernético sería la tercera
industria más grande del mundo dentro de unos pocos años. El CISO no respaldó estas afirmaciones
con hechos ni proporcionó un análisis de las consecuencias. Entonces, no sorprende que el CRO, e
incluso la gerencia en general, se sintieran dudosos sobre el contexto.
Con demasiada frecuencia, los CRO suelen trabajar en silos, abordando el riesgo cibernético en
función de reclamos históricos en lugar de colaborar con los CISO. Sobre la base de esta situación
desafiante, los CISO generalmente no abordan los riesgos digitales de manera cuantitativa, sino que
utilizan un marco cualitativo. Esto hace que el enfoque de riesgo sea poco claro e insuficiente para
alinearse con una estrategia de gestión de riesgo empresarial. Sin un marco cuantitativo que
identifique las pérdidas financieras potenciales en las que se puede incurrir después de un evento
cibernético, usted, como director ejecutivo, su junta directiva y su CRO no pueden alinearse, brindar
consideraciones de seguridad adecuadas e identificar posibles inversiones o asignaciones
presupuestarias para ciberseguridad. .
Este es un gran desafío para su CISO, que se abordará con más detalle en el Capítulo 5, Trabajando
con su CISO.
Por lo tanto, las CRO podrían recurrir a evaluaciones basadas en reclamos para problemas de riesgo
crecientes, como ataques cibernéticos y violaciones de datos. Sin embargo, esto tiene sus límites,
especialmente en la región de Asia y el Pacífico, debido a la insuficiencia de los datos actuariales y
la falta de precisión de los datos.
El riesgo cibernético es un desafío relativamente nuevo en comparación con peligros más
establecidos, como inundaciones o terremotos. Puede haber datos históricos mínimos o
inexistentes sobre el riesgo cibernético. Sin embargo, mediante el uso de un enfoque de escenario estructurado,
Comprender el potencial de colaboración entre el CRO y el CISO 55
las organizaciones pueden estimar efectivamente el riesgo cibernético. Esto requiere
una colaboración entre el CRO y el CISO. Trabajando juntos, pueden identificar los
riesgos cibernéticos y cuantificarlos. El CRO necesita la ayuda del CISO para
comprender los posibles ataques cibernéticos y sus consecuencias en el negocio. El
CISO necesita que el CRO identifique las prioridades y objetivos comerciales.
La junta y los ejecutivos también deben reconocer que algunos escenarios de riesgo pueden no
manifestarse por uno o dos años, o tal vez nunca. Simultáneamente, el CRO necesita educar a la
junta sobre los riesgos emergentes al:
• Estimación de la frecuencia de eventos de riesgo cibernético •
Consideración de vectores de ataque
• Complementar el análisis con datos relevantes
• Teniendo en cuenta los incidentes cibernéticos históricos proporcionados por el
CISO • Su opinión experta
Juntos, el CRO y el CISO pueden crear escenarios estructurados para cuantificar la gravedad de
los eventos cibernéticos en función de los tipos de pérdida y los factores de pérdida. Luego, pueden
proporcionar informes de valor agregado real a la junta y al director ejecutivo y una visión adecuada
de los riesgos cibernéticos.
Para los directores ejecutivos, cuando hable con sus CRO, lleve la conversación más allá de la
gestión de riesgos y comience a hablar sobre la toma de decisiones efectiva que usted y otros
ejecutivos pueden aceptar. Considere el proceso completo de gestión de riesgos, incluido el seguro
o la transferencia de riesgos. En el caso de la transferencia de riesgos cibernéticos, puede ser difícil
para los administradores de riesgos identificar completamente los efectos de los ataques cibernéticos
en la organización y comprender los requisitos para una buena cobertura. Cubrimos el seguro
cibernético con más detalle en el Capítulo 6, El papel del CHRO en la reducción del riesgo
cibernético.
La colaboración entre un CRO y un CISO es crucial para los planes de gestión de riesgos efectivos
y exitosos y para desarrollar la resiliencia cibernética. Pero no termina ahí. Hay preguntas
fundamentales que el Csuite puede hacer a sus CRO para guiarlos a través de su viaje de gestión
del riesgo cibernético. Esto también sirve como una lista de verificación interna para que los CRO
desarrollen sus perspectivas y las comuniquen de manera efectiva.
Preguntas para hacerle a su CRO
El panorama de riesgos está cambiando rápidamente. La geopolítica, los avances técnicos,
la integración económica global y el cambio climático están todos interrelacionados, lo que
significa que es más probable que la manifestación de un riesgo desencadene otros.
Por lo tanto, las empresas que crean una estrategia multidimensional para detectar y gestionar
peligros complejos a menudo logran el éxito en sus objetivos de gestión de riesgos. La siguiente
lista proporciona algunas preguntas que puede hacerle a su CRO para asegurarse de que estén
preparados para respaldar la gestión de riesgos cibernéticos:
• ¿Quién está en la parte superior de su lista de llamadas? ¿Estás en comunicación abierta?
con el CISO y su equipo cibernético?
• ¿Cómo se está educando sobre cibernética y asegurándose de ser un defensor poderoso
en su organización y la comunidad?
• Como CRO, ¿está de acuerdo en que el apetito de riesgo actual es adecuado para la
organización?
• ¿Cómo clasifica el riesgo cibernético en comparación con otros riesgos?
• ¿Cómo nos aseguramos de que el riesgo cibernético esté integrado en nuestra estrategia
de ERM? • ¿Cuáles son las métricas de riesgo adecuadas para ayudar a la empresa a
comprender con precisión nuestro perfil de riesgo cibernético? ¿Están las métricas más
centradas en incidentes y ataques, o más en controles externos/internos y en garantizar
que se implementen acciones de gestión de riesgos?
• ¿Cómo se alinea o compara su tolerancia al riesgo cibernético con
otros riesgos?
• ¿Cómo se mantiene al tanto de la conciencia de seguridad del personal y la cultura del
riesgo cibernético en su organización? ¿Cómo está trabajando con su equipo de
comunicaciones y/o Recursos Humanos para informar las cosas correctas para
mantener a todos alerta?
• En los últimos tres años, ¿ha aumentado su atención, tiempo y enfoque en cibernética? Si
es así, ¿cuánto más cree que crecerá en los próximos tres años?
Estas preguntas están destinadas a ampliar los límites de cómo pensamos sobre nuestros
riesgos cibernéticos, desafíos y cultura cibernética, y explorar cómo podemos alinearnos más
estrechamente con las diferentes partes interesadas en nuestra perspectiva y tolerancia de los
riesgos cibernéticos.
Resumen 57
Resumen
A medida que las organizaciones se esfuerzan por gestionar el riesgo cibernético en la
primera línea de un entorno en constante cambio, el papel del CRO es fundamental.
Desglosamos las diferentes capas de las responsabilidades y motivaciones del CRO en este capítulo.
También analizamos las experiencias de los expertos en CRO y extrajimos enfoques que
los aspirantes a CRO pueden aprovechar.
Tanto si es un CRO nuevo como si es otro ejecutivo de nivel C, este capítulo proporciona
una comprensión del enfoque del CRO para diseñar una estrategia, un sistema o un
marco tecnológico y comprender el lenguaje necesario para comunicarlo de forma eficaz.
El desarrollo de este marco se realiza mejor en colaboración con el CISO para lograr
resultados comerciales significativos.
A continuación, abordaremos las prioridades de otro ejecutivo de nivel C y su papel en
la construcción de un negocio resistente a la cibernética. El siguiente capítulo le muestra
cómo su CIO puede ser su habilitador cibernético.
4
Su CIO—Su
Facilitador cibernético
El Director de Información (CIO) es el ejecutivo de la organización a
cargo y responsable de la administración, implementación y uso de la
tecnología informática y de la información.
El papel del CIO en una organización está cambiando de brindar servicios empresariales a
habilitar procesos comerciales estratégicos. Esto es evidente, especialmente en los últimos
años, con más organizaciones impulsando agendas de transformación digital. A medida
que la tecnología avanza y remodela las empresas en todo el mundo, la profesión de CIO
se ha vuelto más popular y relevante. Hoy, el CIO estudia cómo las diferentes tecnologías
ayudan a la organización a mejorar los procesos comerciales existentes, reducir los costos
y mejorar las experiencias de los clientes, entre otras cosas, para lograr resultados
comerciales.
El CIO ha evolucionado desde la simple selección de tecnologías hasta la toma de
decisiones comerciales críticas sobre la adopción de tecnología basadas en una sólida
estrategia de TI combinada con una arquitectura empresarial que escala con el negocio,
mantiene la estabilidad operativa e impulsa la eficiencia de costos. La resiliencia cibernética
es una extensión natural de las actividades de un CIO para ayudar a alcanzar estos objetivos.
El mandato del CIO ya es amplio y la resiliencia cibernética es un área de conocimiento
especializada. Al igual que con el CFO y el CRO, esperar que un CIO también posea todos
los conocimientos de ciberseguridad sería exagerar. Aquí es donde interviene el CISO.
60 Su CIO: su habilitador cibernético
El rol del Director de seguridad de la información (CISO) se centra en preservar la
confidencialidad, la integridad y la disponibilidad de los activos de información y
tecnología de una organización . El rol de CISO complementa el rol de CIO, el último
de los cuales está más enfocado en asegurar las herramientas adecuadas para mejorar
la productividad, identificar tendencias que afectan el negocio e identificar posibilidades
para usar y crear una mejor tecnología adaptada a los modelos de negocios de la empresa.
Los CISO y los CIO a menudo trabajan juntos y se apoyan mutuamente para
preservar y proteger la información y los activos tecnológicos de una organización.
Según la encuesta sobre el estado de la ciberseguridad de ISACA de 2021
(https://www.isaca. org/resources/infographics/stateofcybersecurity 2021
part2), de los 3700 profesionales de ciberseguridad global encuestados, el 48
% de los equipos de seguridad informan a un CISO, mientras que el 25 %
informan al CIO. En particular, los encuestados no demostraron una preferencia
a quién debería pertenecer la propiedad de la seguridad cibernética. Sin embargo,
la encuesta deja en claro que la propiedad de la seguridad cibernética, ya sea el
CIO, CISO o CRO, influye en cómo los ejecutivos de nivel C responden a la
valoración de las evaluaciones de riesgo cibernético, si la junta directiva prioriza
la seguridad cibernética y si existe una alineación estratégica entre TI y ciberseguridad.
En el entorno actual de desarrollo de resiliencia cibernética, es más importante que nunca
que un CISO y un CIO colaboren para mantener la compatibilidad entre la estrategia de TI y
la estrategia de ciberseguridad. Si lo hace, permitirá el mejor resultado de la organización.
Ya hay debates en la industria hoy en día sobre cómo las responsabilidades entre el CISO y
el CIO son lo suficientemente distintas como para dividir las funciones y la propiedad de la
seguridad de la información, donde el CISO ya no informa al CIO. Sin embargo, esta es
todavía una perspectiva bastante nueva que requiere tiempo para ser probada.
Para entender mejor al CIO, cubriremos los siguientes temas en este capítulo:
• Comprender el rol del CIO y los impactos que tienen sus decisiones
sobre ciberseguridad
• Desafíos que puede enfrentar un CIO con las líneas de reporte actuales •
Adelantarse a los ciberdelincuentes
• Cómo el CIO respalda su seguridad
• Preguntas para hacerle a su CIO
Comprender el rol del CIO y los impactos que sus decisiones tienen en la ciberseguridad 61
Comprender el papel del CIO y los
impactos que sus decisiones tienen en
la ciberseguridad
Hoy en día, el CIO es el ejecutivo de más alto nivel en una empresa que habilita
el negocio con soluciones tecnológicas. A veces, en organizaciones más
pequeñas, este rol puede denominarse director de TI.
El papel del CIO ha evolucionado significativamente a lo largo de los años. A partir de la
década de 1980, las empresas comenzaron a utilizar tecnologías como computadoras, bases
de datos e incluso redes de comunicación como una forma de mejorar la productividad de la
fuerza laboral. Esto significó que el CIO estaba muy enfocado en soluciones técnicas para un
propósito muy utilitario. A medida que las necesidades comerciales han cambiado, con la
tecnología vista universalmente como un habilitador comercial, la importancia del CIO se ha expandido.
Hoy en día, los CIO deben poseer varias habilidades técnicas y sociales para tener éxito en
este puesto, logrando un equilibrio entre los requisitos comerciales y la productividad
organizacional con las soluciones tecnológicas adecuadas, mientras operan su propia unidad
comercial para respaldarlo todo.
Rogier Roelofs, CIO de Asia Pacífico en ABN AMRO Clearing Bank, agregó sus
tres recomendaciones principales para la habilitación de nuestros CIO:
• Conocer la normativa en materia de información y ciberseguridad. Es un área cada vez
más compleja, especialmente para las empresas que operan en diferentes países.
Esto crea mucha complejidad porque el CIO tiene que pensar en diferentes requisitos
en múltiples jurisdicciones y cómo cumplir con todos esos elementos al mismo
tiempo. Mientras que en el pasado los CIO pensaban principalmente en el
cumplimiento y las regulaciones como una preocupación geográfica relacionada con
la jurisdicción en la que estaban ubicados, hoy en día no se saldrá con la suya. El
CIO debe tener una visión transfronteriza holística de los datos distribuidos,
procesados y almacenados.
• La mayoría de las organizaciones designan a una persona para que sea responsable
en última instancia de la seguridad cibernética. Sin embargo, es responsabilidad de
toda la alta dirección gestionar los riesgos de ciberseguridad en sus áreas y proteger
los intereses de todas las partes interesadas. Desafortunadamente, muchos ejecutivos
no ven la seguridad cibernética como un problema de liderazgo sénior y, por lo tanto,
la creación de juntas con conocimientos cibernéticos es de suma importancia.
El papel del CIO es hacerse cargo y desarrollar una sólida cultura de ciberseguridad.
Esto no significa simplemente implementar
diversas políticas y procedimientos. En cambio, la alta gerencia debe dejar en claro
a través de sus propias acciones que la ciberseguridad es esencial para la misión de
la organización, y el CIO debe tomar la iniciativa creando transparencia,
responsabilidad y comunicación sólida dentro de la organización.
• Los CIO deben integrar la ciberseguridad en los procesos de desarrollo de software de
la empresa. Aunque el enfoque es mucho en DevOps, esto no es lo suficientemente
bueno, como debería ser DevSecOps. Esto significa que todos en la organización de
TI deben tener la mentalidad de que son responsables de la entrega de software
rápida y segura.
Para garantizar que la organización se mantenga a la vanguardia, los CIO a menudo
establecen estrategias y hojas de ruta para que se seleccionen los sistemas de tecnología
central que sean apropiados para las necesidades comerciales de la organización, lo que
permite que la empresa siga siendo competitiva en un mercado global que cambia
rápidamente. La estrategia tecnológica del CIO puede incluir la adopción de tecnologías
innovadoras y disruptivas, como computación en la nube, inteligencia artificial, realidad virtual e incluso drones.
La función principal de un CIO es pronosticar el futuro de los avances tecnológicos
informáticos que proporcionarán a su corporación una ventaja sobre sus
competidores. Una de las tareas más importantes de un CIO es comprender cómo
opera cada unidad o departamento comercial, establecer los requisitos y las
opciones tecnológicas y proporcionar un claro retorno de la inversión (ROI) a las
partes interesadas de su negocio . Las operaciones diarias de mantenimiento del
panorama tecnológico a menudo son delegadas y/o subcontratadas por el CIO.
Adopción rápida de tecnología Una
encuesta global de ejecutivos de McKinsey de 2020 (https://
www.mckinsey. com/businessfunctions/strategyand
corporate finance/ourinsights/howcovid19haspusted
Companiesoverthetechnologytippingpointand
transformedbusinessforever) indicó que el COVID La
pandemia del 19 aceleró los esfuerzos de transformación digital en tres o cu
Más sorprendentemente, los productos habilitados digitalmente avanzaron siete años
impactantes. Al mismo tiempo, las observaciones anecdóticas muestran que las organizaciones
ciberdelincuentes también han seguido la misma trayectoria, progresando a través de su
propia transformación digital al igualar y responder a las nuevas formas de trabajar que sus
objetivos han adoptado como resultado de la pandemia.
Comprender el rol del CIO y los impactos que sus decisiones tienen en la ciberseguridad 63
A medida que las organizaciones continúan reimaginando y renovando sus procesos,
tecnología, recursos y experiencia del cliente, debe haber una conciencia igual, si no mayor,
de que las amenazas cibernéticas, como la apropiación de cuentas, los compromisos de
correo electrónico comercial que resultan en fraude de transferencias bancarias y ataques de
ransomware. contra las organizaciones también se están acelerando a un ritmo rápido. Un
CIO prudente comprende que crear nuevas experiencias para los clientes mientras se
adoptan nuevas tecnologías puede parecer emocionante y, a menudo, proporciona un gran retorno de la inversión.
Sin embargo, una elección mal juzgada también podría conducir a pérdidas financieras significativas
y riesgos comerciales indebidos.
Independientemente de lo que impulse la afluencia de nuevas tecnologías, los CIO no pueden
ignorar las nuevas soluciones tecnológicas que resuelven problemas comerciales o mejoran el
servicio al cliente para sus organizaciones, pero ¿a qué costo? La nueva tecnología es emocionante
y esperada con impaciencia. A menudo también se sostiene que cuanto más antigua (más madura)
es una tecnología, existen menos errores y vulnerabilidades de seguridad, ya que se han abordado
en nuevas versiones. Por lo tanto, una tecnología más nueva teóricamente puede tener más
vulnerabilidades de seguridad sin descubrir.
Equilibrar la transformación digital Un CIO siempre debe considerar el
equilibrio entre los impulsores comerciales, el riesgo de vulnerabilidades de seguridad no mitigadas
y no descubiertas, y los costos y pérdidas financieras probables luego de un ataque cibernético o
una violación de datos. Otra consideración es si las nuevas tecnologías son soluciones solo locales,
que requieren un gasto operativo continuo (OPEX) para brindar soporte y seguridad.
Para ilustrar esto, consideremos tres escenarios que destacan la lucha entre la innovación, la
inversión futura y la gestión de la liquidez. Estos escenarios mostrarán cómo las decisiones del CIO
afectan la resiliencia cibernética y la estabilidad financiera de la organización.
• El CIO elige una tecnología de Internet de las cosas (IoT) que se ha comprado a una nueva
empresa innovadora que es un producto mínimo viable (MVP) para sus soluciones, lo que
significa que el producto aún está en desarrollo y tiene el mínimo posible de funciones y
capacidades. requerimientos de seguridad. La oferta es económicamente atractiva y el
producto otorga una ventaja competitiva a la organización del CIO. Sin embargo, debido a
que es un MVP, a menudo significa que el producto no incluye controles de seguridad de
nivel empresarial ni cumple con los requisitos de cumplimiento.
Por lo tanto, la puesta en marcha tiene el desafío de cumplir con sus obligaciones cuando
una organización más grande solicita una evaluación de seguridad de un tercero.
Si bien la decisión del CIO no es incorrecta al decidir trabajar con una empresa
nueva, el CIO necesitaría considerar los costos asociados con asegurar el
producto MVP y/o incluso tomar la empresa nueva dentro del paraguas de
seguridad organizacional del CIO. Un CIO debe ser consciente de esos desafíos.
• El CIO elige adoptar
inteligencia artificial (IA) para mejorar la productividad de una línea de producción.
Esta elección de utilizar IA introduce una vulnerabilidad desconocida, que
conduce a un ciberataque. El ataque crea retrasos importantes al interrumpir la
línea de producción y causa un daño enorme a la reputación de la organización.
La organización también incurre en pérdidas financieras masivas ya que no se
cumplen los plazos y se incumplen las obligaciones contractuales.
Si bien este escenario es específico de ciertas industrias, el ejemplo destaca la
importancia que el CIO y el CISO deben otorgar a la evaluación de los riesgos
asociados con las nuevas tecnologías. Cada tecnología viene con nuevos riesgos
cibernéticos porque ninguna tecnología es segura por defecto. • El CIO
pronostica que la adopción de la nube estará impulsada por una mayor flexibilidad
para acceder a la infraestructura digital y los recursos informáticos, respaldada
por costos OPEX mensuales más bajos. Sin embargo, la adopción de la nube se
aborda con una mentalidad y una arquitectura "locales", lo que significa que las
personas que adoptan los servicios en la nube los configuran de manera que
tenga más sentido para los sistemas locales. Es casi seguro que esto aumentará
los costos de seguridad porque el equipo de seguridad deberá reconfigurar las
soluciones de seguridad tradicionales para cumplir con los requisitos de seguridad
de la nube. Las soluciones de seguridad, como el uso de un firewall de próxima
generación, deberán ejecutarse las 24 horas del día, los 7 días de la semana en
su tenencia en la nube para obtener una visibilidad completa. O la empresa
podría optar por el Web Application Firewall (WAF) más generalizado para
controlar mejor todo el tráfico web, pero esto sin duda aumentaría los costos
mensuales de OPEX. El CISO también deberá considerar una solución de
seguridad para mejorar la visibilidad del uso del servicio en la nube a través de
un agente de seguridad de acceso a la nube (CASB) para monitorear el uso de
servicios en la nube no autorizados, ya que la red corporativa ahora está expuesta a más servicios de
Escenarios como estos muestran cómo cualquier transformación digital impulsada por el
CIO debe equilibrarse entre los requisitos comerciales, la innovación, las mejoras de
productividad y la ciberseguridad. En casi todos los casos, cualquier cambio transformador
en la tecnología aumenta la exposición de su organización a las ciberamenazas.
Diferencias y puntos en común entre los roles de CIO y CISO 65
Panorama regulatorio complejo Además de las
amenazas cibernéticas, los CIO deben considerar el panorama regulatorio y
de cumplimiento en constante expansión relacionado con la privacidad y la seguridad.
El incumplimiento o las infracciones de los requisitos reglamentarios deben tomarse en
serio, ya que a menudo conllevan multas reglamentarias muy elevadas y, en la mayoría
de los casos, la posibilidad de entablar demandas civiles contra la organización.
Por ejemplo, las instituciones financieras en los Estados Unidos deben cumplir con
estándares como el Estándar de seguridad de datos de la industria de tarjetas de pago
(PCI DSS), la Ley SarbanesOxley de 2002 (SOX, PL 107204), la Ley Gramm Leach
Bliley, y la Ley de Modernización de los Servicios Financieros de 1999, entre otras. En
medio de estas regulaciones, la adopción de tecnología y la transformación digital general
deben tener en cuenta la seguridad, el cumplimiento y la privacidad desde el principio.
Riesgos de terceros
Muchos proveedores de servicios de tecnología se centran más en la seguridad en estos días,
adoptando prácticas de codificación seguras y pruebas de penetración de seguridad periódicas.
Sin embargo, muchos proveedores aún no tienen la madurez adecuada o la inversión en
ciberseguridad para garantizar los fundamentos mínimos para mantener una solución
resistente y segura. Es importante que el CIO comprenda la diferencia entre una actividad
de seguridad (por ejemplo, marcar la casilla después de realizar una prueba de
penetración) y una práctica de seguridad madura (comprender los riesgos generales de exposición).
La seguridad, especialmente cuando se utilizan proveedores externos, no debe verse
como un gasto defensivo con un ROI bajo, sino como un componente necesario y
fundamental de cualquier decisión organizacional. La seguridad debe considerarse al
principio del proceso de toma de decisiones y no como un complemento al final.
Teniendo una mejor comprensión del rol del CIO, la siguiente sección
establece paralelismos entre los roles del CIO y el CISO, y revela las diferencias.
Diferencias y puntos en común entre los
roles de CIO y CISO
El CISO reporta al CIO en muchas organizaciones, con una línea punteada al CEO. Si
bien esta estructura puede ser efectiva, el CIO y el CISO tienen objetivos y prioridades
diferentes.
Tanto el CIO como el CISO, como ejecutivos senior y de nivel C, se centran
principalmente en la planificación estratégica, la innovación, el liderazgo y la gestión.
Los CISO elaboran estrategias para la resiliencia cibernética empresarial al tiempo que
protegen todos los activos y datos de la empresa. Alinean las políticas y prácticas de
seguridad con los objetivos y la tolerancia al riesgo de la empresa. Por otro lado, los CIO
se centran en el uso y la gestión estratégicos generales y más amplios de la tecnología
de una organización y definen la hoja de ruta para la implementación y utilización de los
sistemas de TI y las herramientas tecnológicas.
La TI y la ciberseguridad son dos dominios diferentes, aunque a veces se cruzan.
El CIO suele ser un profesional calificado con una experiencia significativa en TI,
además de tener una comprensión de las funciones comerciales de la empresa.
Se centran en impulsar el valor comercial a través de la adopción y operación de
tecnología. El CISO suele ser un profesional capacitado con una experiencia
significativa en la gestión de la seguridad de la información, además de comprender
la ciberseguridad empresarial, la seguridad de la información, el gobierno de la
seguridad, el cumplimiento y el riesgo; dos roles muy diferentes para dos dominios
muy diferentes. La Tabla 4.1 es una excelente descripción general de las diferencias
entre TI y ciberseguridad, y sus prioridades.
Tabla 4.1 – Las diferencias entre TI y ciberseguridad
Los puntos en común entre ambos roles incluyen la necesidad de amplias
habilidades de comunicación, cualidades de liderazgo, comprensión estratégica de
la gestión comercial y tecnológica y, especialmente, la alineación comercial con
opciones cibernéticas, lo que garantiza una innovación segura, una previsión
adecuada del flujo de caja y la gestión de la liquidez.
En la siguiente sección, profundizamos en el papel del CIO en lo que respecta a la
ciberseguridad.
Adelantándose a los ciberdelincuentes 67
Adelantándose a los ciberdelincuentes
Si bien manejar el ciberdelito es un desafío, hay formas en que los CIO, con el
apoyo del CISO, pueden pensar, astutar y maniobrar mejor que los ciberdelincuentes.
Los CIO deben desempeñar un papel en el impulso de los esfuerzos de transformación tecnológica que
incluyen la planificación para una mejor resiliencia cibernética.
Theresa Payton, directora ejecutiva de Fortalice, autora de MANIPULATED: Inside
the Cyberwar to Hijack Elections and Distort the Truth, y la primera mujer CIO en la
Casa Blanca, compartió sus puntos de vista con Shamane sobre las acciones críticas
para que los CIO fortalezcan la resiliencia frente a los ciberdelincuentes. . Para hacer
un cambio evolutivo, sus tres acciones principales son:
• Comprenda y edúquese sobre lo que impulsa la naturaleza humana e incorpórelo a su
seguridad cibernética.
• Conozca a los criminales. Cree señuelos de perfiles humanos de aspecto auténtico y
sistemas que parezcan valiosos y los dejen vulnerables a los ciberdelincuentes. Luego,
estudia los elementos criminales que atacan a los señuelos y aprende de lo que hacen.
• Vence a los criminales en su propio juego. Aproveche el poder de la IA y el análisis
basado en el comportamiento para crear perfiles de actividades delictivas basados en
el comportamiento y luego use esos perfiles para crear un guardaespaldas digital para
proteger a los empleados y los sistemas contra el comportamiento delictivo digital.
Si estudiamos la psique humana, podemos empoderarnos e informarnos para detener o frenar
el crecimiento del ciberdelito. Perfilar a los ciberdelincuentes y comprender mejor cómo operan
es otro paso proactivo en la creación de resiliencia cibernética.
La carga de la ciberseguridad no debe recaer únicamente en un equipo de seguridad o en los
hombros de un usuario. En cambio, el CIO necesita construir un guardaespaldas digital
alrededor de cada ser humano y su vida digital en cada paso del camino. Para comenzar,
Theresa recomienda que los CIO tomen dos medidas críticas:
• Conozca sus historias de usuario. Comience a recopilar las historias de usuarios de su
organización ahora. No intentes arreglar las cosas al principio; sólo escucha. Escuche
las oportunidades para rediseñar su proceso y la seguridad en torno a la experiencia
de los empleados que usan las tecnologías.
• Centrarse en la conciencia y el comportamiento. Aproveche la IA para estudiar casos de
uso y comportamiento legítimos en su organización y luego entrene a la IA para alertar
a su equipo de seguridad cuando el comportamiento no coincida con esa línea de base.
Ofrezca a sus usuarios una red de seguridad mediante la instalación de
opciones sencillas y elegantes de autenticación multifactor (MFA) : existen
algunas tecnologías excelentes y los beneficios de usarlas son significativos.
Según estudios de investigación realizados por Microsoft (https://
techcommunity.microsoft. com/t5/azureactivedirectoryidentity/yourpa
word doestmatter/bap/731984), MFA detiene el 99,9 % de los delitos
cibernéticos basados en contraseñas.
Magda recuerda a un CIO que dudaba en implementar MFA, debido a preocupaciones sobre
la baja adopción por parte de los usuarios. Magda brindó una alternativa al hacer que la
MFA fuera opcional inicialmente y exigible después. Este enfoque funcionó, demostrando
que siempre se puede encontrar un compromiso.
En la siguiente sección, analizaremos otras actividades importantes en las que un CIO
puede respaldar claramente la resiliencia cibernética de la empresa.
Cómo el CIO respalda su seguridad
El CIO se enfoca en administrar la tecnología de la información para el negocio
mientras equilibra los objetivos comerciales, asegura una ventaja competitiva y aboga
por la innovación, todo en consonancia con el CISO para garantizar que la seguridad
y la privacidad sean parte de la hoja de ruta tecnológica. El papel del CIO en la
ciberseguridad se extiende más allá, asegurando la efectividad y continuidad de las operaciones.
Rogier Roelofs de ABN AMRO Clearing Bank lo dice muy claramente:
“Aunque el CISO puede ser el principal responsable de la hoja de
ruta de ciberseguridad, el CIO debe tener un conocimiento profundo
de cómo esto afecta el panorama de TI y las consecuencias para el
negocio, algo que el CISO no tiene. Veo que muchos CIO son muy
tradicionales en la forma en que ven su función y
responsabilidades. Demasiado de la vieja escuela.
Están demasiado enfocados en el panorama de TI en sí mismo
y, por lo tanto, se pierden lo que esto significa para el negocio.
Los CIO deben utilizar su conocimiento técnico con un
conocimiento sólido del lado comercial de la organización,
aumentando su visibilidad y autoridad a través de una
comunicación sólida sobre ciberseguridad para que el entorno
pueda actuar en consecuencia”.
Cómo el CIO respalda su seguridad 69
Esto requiere una relación sólida y una colaboración regular entre el CIO y el
CISO. El CIO puede percibir la seguridad como un desafío o un problema , lo
que ralentiza implementaciones o iniciativas específicas. En lugar de ver sus
funciones y objetivos como un conflicto de intereses, el CIO y el CISO deberían
colaborar en la estrategia cibernética.
Debido a que el CIO tiene una comprensión holística de las actividades comerciales y el
modelo comercial, puede considerar todas las implicaciones y analizarlas con el CISO para
encontrar el equilibrio adecuado entre el riesgo cibernético, las operaciones comerciales y
los ingresos. Dichos debates respaldan la búsqueda de compromisos con un equilibrio entre
la usabilidad y la seguridad para los usuarios finales, una preocupación común para todas las partes.
Tener la última solución de seguridad no es una respuesta infalible para proteger una
organización. En cambio, es fundamental un enfoque colaborativo para centrarse en las
personas y la cultura , y esto requiere el apoyo y el liderazgo del CIO.
La siguiente lista detalla algunas de las actividades del CIO y su papel en el apoyo a la
resiliencia cibernética:
• Establecer metas y planes para la estrategia de tecnologías de la información de la
empresa, considerando la ciberseguridad y la privacidad como componentes clave
para la toma de decisiones.
• Elegir e instalar la tecnología adecuada para simplificar todos los procesos internos y
optimizar sus ventajas estratégicas mientras se equilibra la seguridad y la privacidad.
• No comprometa la usabilidad por la seguridad; hable con su CISO y encuentre el
equilibrio adecuado.
• Mejorar la experiencia del consumidor mediante el diseño y personalización de
sistemas y plataformas técnicas, centrándose en la ciberseguridad y la privacidad
como diferenciador y valor añadido en lugar del coste.
• Planificar la instalación de nuevos sistemas y dar instrucciones a los especialistas de
TI y otro personal de la organización, al mismo tiempo que garantiza que se
cumplan los requisitos de seguridad del CISO. Esto incluye gestionar las
expectativas de las partes interesadas del negocio en relación con la exposición de
la organización a los ciberataques y los riesgos de filtración de datos.
• Aprobar las adquisiciones de equipos técnicos y software, y formar alianzas
estratégicas con empresas de TI mientras se considera su postura de seguridad y
privacidad, para respaldar la resiliencia cibernética de la organización.
• Supervisar la infraestructura técnica de la organización (redes y sistemas informáticos) para
garantizar un funcionamiento óptimo y aprovecharla para respaldar las prioridades de su
CISO en la detección y respuesta a eventos de seguridad.
• Gestione iniciativas usando tecnología de la información mientras involucra a su CISO en los
pasos iniciales. Siempre es más económico incorporar controles de seguridad en una
solución que aplicar soluciones cuando se compromete una vulnerabilidad o se produce
un ataque.
• Esté atento a soluciones innovadoras o mejoras en la tecnología que puedan dar a la
empresa una ventaja competitiva y recuerde siempre que la madurez cibernética varía de
una empresa a otra, de un país a otro y de una función a otra.
• Analizar los costos, beneficios y riesgos asociados con la tecnología de la información para
asesorar a la gerencia y hacer recomendaciones mientras se consideran posibles pérdidas
financieras e importantes inversiones en seguridad al tomar decisiones tecnológicas.
A medida que la transformación digital avanza a buen ritmo y las amenazas de los ataques
cibernéticos siguen estando siempre presentes, el CIO puede y debe desempeñar un papel vital
en la construcción y el mantenimiento de la resiliencia cibernética de una organización. En la
siguiente sección, nos centramos en las preguntas que debe hacerle a su CIO.
Preguntas para hacerle a su CIO
Las siguientes preguntas ayudan a enmarcar las consideraciones de seguridad cibernética para un
CIO y facultarlos para tomar decisiones en consonancia con los objetivos de resiliencia de una
empresa:
• ¿Tratamos la ciberseguridad como una responsabilidad y un riesgo empresarial o de TI?
• ¿Nuestros objetivos de seguridad se alinean con las prioridades
comerciales? • ¿Nuestra arquitectura de TI actual está diseñada para la ciberseguridad?
• ¿Se embarcará la empresa en algún programa importante en los próximos años, como
digital, big data, nube, movilidad, subcontratación o empresas de terceros y cuáles son
las preocupaciones sobre el riesgo cibernético?
• ¿Iniciamos decisiones teniendo en cuenta la privacidad y la seguridad? • ¿Consideramos la
inversión en seguridad cibernética cuando discutimos nuevas tecnologías?
Resumen 71
• ¿Evaluamos a nuestros proveedores y tecnologías en busca de riesgos de seguridad?
antes de tomar decisiones estratégicas?
• ¿Cuál es la información más crítica recopilada y mantenida por la empresa? ¿Conocen el
nivel de protección requerido para esa información?
• ¿Qué equilibrio consideramos entre usabilidad y seguridad?
Esta lista sirve como una base de referencia saludable y una lista de verificación interna para
guiar a los CIO en la ejecución de la hoja de ruta.
Resumen
En este capítulo, definimos el rol del CIO en la construcción de un negocio resistente a la cibernética.
La ciberseguridad es una empresa enorme. Requiere adquirir diversas habilidades y talentos
especializados. Ciertamente requiere la colaboración y el apoyo de las partes interesadas clave,
incluso entre el CIO y el CISO.
Hicimos hincapié en varias consideraciones de seguridad cibernética, incluidas inversiones
adicionales, flujo de efectivo, liquidez y usabilidad. La ciberseguridad es un habilitador de negocios,
y un equilibrio entre la usabilidad y la seguridad es una cuestión de encontrar el compromiso
adecuado. En un rol estratégico que garantiza que cualquier adopción tecnológica apoye a la
empresa para que tenga una ventaja competitiva, el CIO no puede ignorar los requisitos de
ciberseguridad. Debe integrarse en el proceso de toma de decisiones y en la transformación
digital general y la adopción de tecnología.
El CIO debe empoderar y apoyar la estrategia y los objetivos del CISO. Esto se logra escuchándose
unos a otros y comprendiendo las perspectivas de los demás; hacerlo es un requisito esencial
para el éxito: el objetivo final siempre es mantener la prosperidad del negocio.
En el próximo capítulo, veremos más de cerca el papel del CISO. Definiremos su papel en detalle
y profundizaremos en su impacto vital en la ciberseguridad.
5
Trabajando con
su CISO
El director de seguridad de la información (CISO) o el director de seguridad (CSO)
de una organización garantiza que el personal, la infraestructura física y los
activos digitales de la organización estén disponibles para la empresa y protegidos
contra el acceso no autorizado, la pérdida, el robo o la interrupción y el daño
físico a través de adecuada gestión del riesgo cibernético.
Las infracciones de seguridad explotan a las personas, los procesos y la tecnología.
Ya no es un problema técnico sino un riesgo comercial y debe ser tratado como tal.
Se deben proporcionar recomendaciones eficientes para los controles en los
elementos de personas, procesos y tecnología, mitigando el riesgo cibernético en
consonancia con el apetito por el riesgo de la empresa. Esta es la responsabilidad
del CISO en colaboración con sus pares CxO.
El cambio de enfoque en la seguridad cibernética, la integración del riesgo cibernético
en el proceso general de gestión de riesgos empresariales, sustenta los cimientos de
este capítulo.
Un buen CISO debe ser un gran comunicador, un gerente y un líder intelectual con
una comprensión fundamental del negocio. Deben informar regularmente a los
ejecutivos y al directorio sobre los riesgos cibernéticos y aclarar si el apetito por el
riesgo y la tolerancia de la empresa se alinean con ellos.
74 Trabajar con su CISO
En este capítulo, cubriremos los siguientes temas:
• Comprender el papel del CISO
• Abordar los desafíos de ciberseguridad • La
comprensión de su negocio por parte de su CISO
• Prioridades para un nuevo CISO
• Abordar los desafíos de ciberseguridad • Preguntas
para hacerle a su CISO
• Un segmento de bonificación para nuestros CISO: decodificación de las expectativas de sus CxO
• Un segmento de bonificación para nuestros CISO: comprar seguros cibernéticos • Un
segmento de bonificación para nuestros CISO: informar a la junta directiva
Comprender el papel del CISO
Como CEO, su función es desafiar a su CISO a pensar de manera diferente, a ir más allá de su
conocimiento técnico y alinear su pensamiento con las prioridades comerciales. Es de su interés ayudar
al CISO a tener éxito como socio estratégico, creando un marco que permita el progreso de una
empresa hacia sus objetivos mientras logra la seguridad y la privacidad.
El papel de un CISO todavía se malinterpreta en gran medida y, si bien las cosas están
mejorando progresivamente, demasiadas organizaciones aún no han contratado a un CISO.
Muchas organizaciones todavía creen que su seguridad es un requisito técnico proporcionado
por su departamento de TI. En Asia, cuando Magda preguntaba sobre la seguridad
cibernética de los proveedores, generalmente la remitían a un gerente de TI en lugar de a un CISO.
Las empresas que comprenden la creciente relevancia y el poder de la
digitalización y la transformación digital deben apreciar el valor de un CISO.
La dependencia y la adopción cada vez más rápida de nuevas tecnologías significa que las
consecuencias de un ataque cibernético o una violación de datos pueden tener consecuencias nefastas.
Las principales responsabilidades del CISO son administrar la seguridad cibernética, mitigar los riesgos
cibernéticos y manejar todos los incidentes de seguridad cibernética. Estas responsabilidades se
extienden al uso de controles y medidas para las personas, los procesos y la tecnología para garantizar
que el panorama empresarial en constante expansión esté debidamente defendido de las amenazas
de ciberseguridad en constante evolución. El CISO también debe considerar un entorno complejo y en
crecimiento, con proveedores terceros y cuartos.
Comprender el papel del CISO 75
Un CISO que adopte un enfoque equilibrado entre un negocio y sus amenazas se asegurará de
que no se formen brechas significativas que puedan limitar la eficacia de las mitigaciones de riesgos
de seguridad cibernética. En otras palabras, la estrategia de ciberseguridad del CISO debe
desarrollarse en sintonía con la estrategia comercial y tecnológica de la organización, que va
mucho más allá de los firewalls y las soluciones antivirus.
Las responsabilidades del CISO incluyen:
• Establecer una estrategia de ciberseguridad bien pensada que se alinee
con una estrategia empresarial y tecnológica más amplia.
• Definición de un sistema robusto de gestión de riesgos cibernéticos y sus asociados
procesos.
• Desarrollar una jerarquía de estructuras de políticas y gobernanza de la seguridad.
• Impulsar una cultura apropiada de concientización sobre ciberseguridad dentro
una organización.
• Diseño y desarrollo de un conjunto de cuadros de mando de ciberseguridad efectivos para la
elaboración de informes de gestión.
• Tener una visión y comprensión amplias de las obligaciones legales y reglamentarias de la
jurisdicción en la que se encuentra una empresa.
Para realizar estas funciones, un CISO debe construir su equipo con las habilidades y capacidades
necesarias para entregar la estrategia comercial y los hitos clave.
El CISO moderno, o el CISO empresarial, como lo llama Shamane, es excelente
para comunicarse con otros líderes de la organización. Además de comprender
los pros y los contras de un marco de gestión de riesgos de seguridad cibernética
tradicional, informan a las partes interesadas del negocio en un lenguaje que una
persona que no es de seguridad cibernética puede entender. El CISO empresarial
es un comunicador excepcional, ingenioso y un gerente influyente, un gran
narrador que puede hablar sobre la ciberseguridad y cómo afecta a la organización.
Muchos CISO comenzaron su carrera en TI y tienen una sólida formación técnica. Esto no es
sorprendente porque lleva años de estudio y práctica antes de estar calificado para liderar un
puesto tan importante dentro de cualquier organización. Hoy en día, muchos CISO también tienen
títulos en negocios. Los CISO deben tener un conocimiento profundo tanto de la tecnología como
del negocio para tomar decisiones efectivas sobre ciberseguridad.
Cerrar la brecha entre la jerga técnica y un negocio es importante,
y aunque un CISO con experiencia técnica ayuda, no impide que
alguien sin experiencia en tecnología asuma el rol de CISO.
Para desempeñar con eficacia las responsabilidades enumeradas anteriormente, es
importante que los CISO tengan un sólido conocimiento de las últimas tendencias y
desarrollos tanto en tecnologías emergentes como en ciberdelitos en evolución para
asegurarse de que su organización esté preparada para lo que venga a continuación.
La ciberseguridad requiere colaboración y aceptación en toda la organización.
Eso primero debe venir desde arriba. Bajo la dirección de los CISO, el liderazgo y la junta
directiva deben hacer lo siguiente:
• Comprender quién posee y es responsable del riesgo cibernético. Después de una
violación de datos o un ataque cibernético, la junta directiva, no el CISO, soportará
la mayoría de las consecuencias, multas legales y otros impactos.
• Definir el riesgo cibernético en el contexto del riesgo empresarial. La mayoría de las
empresas no pueden definir adecuadamente el riesgo cibernético al que se enfrentan,
ni el potencial de interrupción sustancial del negocio debido a un ataque cibernético.
¿Ha pensado su organización en el impacto de un ataque cibernético, lo que lleva a
la retirada de un producto? Probablemente no. Es fundamental situar dichos riesgos
en un contexto empresarial en lugar de considerarlos como problemas técnicos.
• Cuantificar el riesgo cibernético a través de la identificación, protección, detección,
respuesta y recuperación de ataques cibernéticos.
• Considere las implicaciones de ciberseguridad de los vendedores y proveedores
externos. A menudo son el eslabón más débil, especialmente cuando se utilizan
tecnologías en la nube y, con demasiada frecuencia, la seguridad se asume por defecto.
Generalmente, las disposiciones contractuales a menudo no incluyen una referencia
explícita a las obligaciones de seguridad o privacidad.
• Establezca indicadores de resiliencia y controle su madurez cibernética.
Lo mejor para la organización es maximizar el valor del CISO para aplicar un proceso de
gestión de riesgos cibernéticos e integrarlo en el marco general de gestión de riesgos. En la
siguiente sección, desmitificaremos aspectos importantes de la ciberseguridad, el papel del
CISO y su comprensión del negocio.
La comprensión de su CISO de su negocio 77
La comprensión de su CISO de su
negocio
Dependiendo de su progresión profesional y experiencia, algunos CISO pueden tener
poca o ninguna comprensión de las otras áreas del negocio o del negocio en sí.
Debido a que la resiliencia cibernética es un riesgo comercial, un CISO efectivo debe
alinear todos los marcos cibernéticos con los objetivos comerciales.
Un concepto erróneo común que muchos equipos de CxO tienen sobre el CISO es que el CISO es
un ejecutor de la seguridad. En cambio, el equipo de CxO debe apreciar que el CISO brinda una
conversación centrada en el riesgo a nivel de sala de juntas sobre el impacto que tienen los riesgos
cibernéticos en términos de interrupción del negocio, filtraciones de datos, pérdida de datos,
incumplimiento de los requisitos reglamentarios, etc. Más crucial y específicamente, el CISO
comprende las consecuencias financieras de estos riesgos, que en condiciones extremas pueden
afectar la viabilidad del negocio en sí.
El CISO debe ser parte de su equipo de gestión de riesgos corporativo o empresarial. Deben
comunicarse con otros en el equipo y comprender sus prioridades; aquellos en el equipo de gestión
de riesgos deben comprender las prioridades del CISO.
Aunque el CISO es responsable de los riesgos cibernéticos, en el caso de una infracción o un ataque
cibernético, los propietarios de negocios o los directores de la empresa son los responsables en
última instancia, no el CISO. Por lo tanto, las partes interesadas deben comprender claramente los
riesgos cibernéticos y el CISO debe comprender claramente las prioridades y objetivos comerciales.
Ninguno de los dos puede lograrse de manera óptima sin el otro.
Como parte del equipo de gestión de riesgos, un CISO debe comunicar los riesgos cibernéticos
regularmente a la empresa y conocer y comprender los objetivos y la visión de la empresa. Si su
CISO cuenta con el apoyo de las partes interesadas clave, reduce el riesgo de que su CISO fracase
y trabaje en un vacío.
Los desafíos y obstáculos que enfrentan los CISO para hacer cumplir la resiliencia cibernética no se
eliminan con este entendimiento, pero se reducen cuando todos tienen un interés en desarrollar la
resiliencia cibernética. También permite que el CISO, ya sea nuevo en la empresa o que cambie a
un enfoque holístico de riesgos comerciales, priorice elementos específicos de ciberseguridad.
Prioridades para un nuevo CISO
Los primeros meses de un nuevo CISO en una organización son cruciales y representan
un período de tiempo crítico para alinear las metas y objetivos comerciales de la
organización con los riesgos cibernéticos. Es durante este período que un CISO
establece su credibilidad en toda la organización.
Es el establecimiento de esta base cibernética central lo que le permite al CISO crear una hoja de
ruta de seguridad que incluye controles de mitigación que se alinean con el apetito de riesgo y los
objetivos comerciales de la organización.
Pero primero, es fundamental que el CISO comprenda el entorno y la cultura
existentes de la organización antes de diseñar cualquier estrategia. Para el
CISO, la vía para hacer esto es comprender los desafíos cibernéticos que
enfrenta la organización y qué enfoques ha adoptado (o no) la empresa para mitigarlos.
Abordar los desafíos de la ciberseguridad
Las organizaciones tienden a subestimar los desafíos que presenta la
ciberseguridad. No es algo que pueda abordarse como un ejercicio de una sola
vez. Se mantiene un gran enfoque en abordar los desafíos de ciberseguridad con
una solución basada en tecnología. Sin embargo, los desafíos de ciberseguridad
requieren un enfoque holístico entre personas, procesos y tecnología, e implican
un viaje continuo de refactorización y mejoras, y comunicación en toda la
organización sobre cuáles son las responsabilidades de cada persona.
Esto se ilustra mejor con la forma en que una organización maneja el riesgo de una amenaza de
ransomware. Las amenazas de ransomware nunca serán nulas, ya que la empresa necesita una
presencia en Internet y no puede evitar el uso de la comunicación por correo electrónico. La
aplicación de controles basados en tecnología suele ser el primer paso que da una organización
para abordar este riesgo: implementar protección contra malware, firewalls e incluso sistemas de
detección de intrusos. Pero estos son solo el primer paso. Estas soluciones son técnicamente
sólidas, pero no abordan la capacidad de respuesta de la organización cuando se enfrentan a tales
amenazas. En su lugar, se debe definir y comunicar un plan completo de respuesta de ciberseguridad :
• Proporcione conciencia y capacitación para garantizar que los empleados sepan que no
deben hacer clic en enlaces maliciosos o, al menos, saben cómo informar si lo hacen.
• Realice ejercicios de phishing con todos los empleados como recordatorio de estas lecciones.
Abordar los desafíos de ciberseguridad 79
• Asegúrese de que se defina un plan de respuesta para manejar este escenario de amenaza.
• Emprender ejercicios teóricos periódicos para refinar y mejorar la
proceso de respuesta
• Crear un conjunto predefinido de planes de comunicación internos y externos.
• Elaborar un presupuesto financiero predefinido para ayudar a responder a las amenazas.
Las amenazas de ransomware requieren más que las últimas protecciones tecnológicas.
Tal es el caso de todos los riesgos cibernéticos. Esto también demuestra la necesidad de una
cultura de ciberseguridad en toda la organización. Si todos son conscientes de los riesgos
cibernéticos y de lo que pueden y deben hacer para prevenir ataques, o lo que pueden hacer en
caso de que ocurra uno, la organización estará mejor protegida. Requiere que todos, desde la
junta directiva y el director ejecutivo hacia abajo, reconozcan la cibernética como un riesgo
comercial que debe abordarse de manera proactiva y continua y no reactiva.
A tal efecto, se deberá comunicar (en su caso), aceptar y reforzar que:
• No existe un “estado final” en ciberseguridad. El CISO preparará a una organización para
tantas amenazas de seguridad cibernética como sea posible y se preparará para
responder a los ataques cibernéticos cuando ocurran. Los controles necesarios para
mitigar los riesgos cibernéticos de su negocio se alinearán con la tolerancia al riesgo de
la organización.
• Los controles de ciberseguridad van más allá de las soluciones técnicas como antivirus,
firewall y otras herramientas costosas. Siempre debe haber un equilibrio entre las
personas (es decir, funciones y responsabilidades), los procesos (es decir, los
procedimientos definidos) y las soluciones tecnológicas.
• No se trata de si su organización será víctima de un delito cibernético, sino cuándo. Muchos
piratas informáticos maliciosos o ciberdelincuentes son capaces de comprometer sus
sistemas en silencio y sin llamar la atención. Entonces, si no los está buscando, puede
parecer que sus datos no se han visto comprometidos. A diferencia de los activos físicos,
los activos de datos se pueden robar sin quitar las copias originales. A pesar de los
controles de seguridad que el CISO define en su hoja de ruta, su empresa aún puede
ser víctima de un ciberataque.
• Un CISO no puede garantizar que los ciberataques no afectarán a su organización. El CISO
se asegurará de que su riesgo cibernético sea mitigado y tratado de acuerdo con su
tolerancia al riesgo. Ayudarán a minimizar la probabilidad y la frecuencia de los ataques
con medidas preventivas y de detección.
control S. También minimizarán el impacto comercial y el daño a través de
controles correctivos y ayudarán a su organización a reanudar las operaciones
normales más rápido.
• La estrategia de seguridad cibernética es efectiva cuando su organización puede
detectar y responder rápidamente a un incidente de seguridad cibernética,
continuar las operaciones comerciales y recuperarse del incidente con la menor
cantidad de impacto comercial.
• Debe asegurarse de que su organización tenga un proceso y un plan de respuesta a
incidentes de seguridad bien documentados y ensayados, un plan de continuidad
comercial y un plan de recuperación ante desastres (que se tratará más adelante
en el Capítulo 10, El mundo de la junta).
La ciberseguridad debe ser una preocupación y responsabilidad, liderada por el CISO, de
todos en la organización. Como director ejecutivo, es crucial capacitar a su CISO para
lograr la resiliencia cibernética en su organización. Su comprensión del negocio es clave
para esto.
Con una comprensión fundamental del negocio, existen aspectos
fundamentales que el CISO debe abordar para establecer un marco de seguridad.
Las estrategias de gestión de identificación y cuantificación de riesgos cibernéticos, y las
métricas e indicadores de seguridad cibernética para tableros/informes, son el punto de
partida para desarrollar la resiliencia cibernética.
Identificación y cuantificación de riesgos cibernéticos
Al abordar los riesgos cibernéticos de una organización, un CISO debe tener cierta
visibilidad de la exposición cibernética de la organización. Aquí es donde comienza el desafío.
El CISO podría heredar un registro de riesgos existente con una lista de riesgos cibernéticos
identificados para una empresa. La mayoría de las veces, esos riesgos se han definido o
descrito en múltiples escenarios como riesgos de seguridad de TI y no riesgos cibernéticos.
A menudo, los profesionales de seguridad asocian un riesgo cibernético con un riesgo
técnico de TI; por ejemplo, describen un riesgo cibernético como un ataque de denegación
de servicio distribuido (DDoS) , donde un servicio o red se inunda con tráfico, lo que impide
el acceso de usuarios legítimos. Cuando ataques como este se describen únicamente
como un problema de TI, cierra la puerta a las partes interesadas del negocio, ya que no
se cree que puedan ofrecer ningún valor a la solución. De hecho, tales riesgos, cuando se
describen como interrupciones comerciales, son oportunidades para una discusión comercial.
Por el contrario, muchos de los profesionales de la seguridad cibernética de hoy, después de haber
pasado un tiempo en un silo de riesgo de seguridad cibernética, están capacitados en marcos
cualitativos tradicionales, el paradigma de clasificación de riesgo "rojo, amarillo, verde" o "alto, medio, bajo".
La falta de claridad, precisión y expresividad inherentes a este paradigma es un impedimento
importante para las iniciativas de gestión de riesgos empresariales. En lugar de ampliar la evaluación
y mitigación de riesgos en el contexto más amplio de riesgos comerciales, sila la respuesta y
cualquier solución corre el riesgo de ser un esfuerzo provisional , exclusivo solo para el incidente
específico. La gestión de riesgos de ciberseguridad que se basa en el instinto no puede medir
objetivamente el riesgo con cifras financieras precisas. El CISO con un enfoque holístico y una
comprensión de los objetivos y riesgos comerciales debe estar preparado con un remedio adecuado.
Si bien este marco tiene sus propios beneficios, no permite que los profesionales de seguridad y,
especialmente, los CISO respondan las siguientes preguntas:
• ¿Cuál es la probabilidad de que la empresa sea víctima de un incidente cibernético significativo
en los próximos seis meses?
• ¿Es el riesgo superior al 60 por ciento?
• ¿Cuáles son las consecuencias financieras?
• ¿Cuáles son los escenarios potenciales?
Estas son preguntas importantes, pero este marco no admite una comunicación clara con las partes
interesadas clave del negocio donde puedan comprender los riesgos cibernéticos de una
organización. Sin este entendimiento, es difícil lograr el apoyo para las inversiones necesarias para
mitigar/tratar o transferir la ciberamenaza en consonancia con su tolerancia al riesgo. Por lo tanto,
es crucial poner números financieros a los riesgos cibernéticos, asegurando la visibilidad de las
posibles pérdidas financieras luego de los ataques cibernéticos y/o las filtraciones de datos.
Cuando el CISO identifica posibles consecuencias financieras, la junta directiva y el Csuite pueden
colaborar de manera más efectiva en iniciativas estratégicas de ciberseguridad. Un CISO exitoso
debe ser capaz de identificar y hacer coincidir la inversión en seguridad de una organización con la
tolerancia al riesgo de la junta, y de manera diplomática. Esta conciencia y aceptación del riesgo
cibernético posiciona mejor al CISO para construir medidas de mitigación efectivas al invertir en
controles de seguridad e identificar los riesgos que pueden transferirse a través del seguro cibernético.
Este es el beneficio principal de usar un marco cuantitativo: agregar precisión y defensa al riesgo
cibernético, con resultados medibles. Es un beneficio innegable para los CISO comprender las
exposiciones de la organización, priorizar iniciativas cibernéticas, solicitar presupuestos adicionales
y, especialmente, demostrar el retorno de la inversión (ROI) en ciberseguridad .
Otra herramienta en la que los CISO deben centrarse son los análisis de escenarios:
predecir el impacto financiero y la gravedad de los ataques cibernéticos con una precisión
razonable. Si bien es difícil calcular la probabilidad de que ocurra, como un esfuerzo de
phishing exitoso o un ataque de ransomware, el CISO puede modificar los modelos
cuantitativos para tener en cuenta los perfiles de riesgo y las situaciones relevantes de su organización.
Los CISO pueden respaldar el negocio al cuantificar el impacto de un ataque cibernético en lugar
de centrarse solo en la probabilidad. Si bien los especialistas tienen una variedad de modelos a su
disposición, ningún modelo es perfecto. Proporcionaremos más detalles sobre esto en las secciones
Un segmento de bonificación para nuestros CISO en la segunda parte de este capítulo.
Una vez que el CISO ha identificado y evaluado el riesgo cibernético de la empresa, el siguiente
paso es analizar las diversas formas en que pueden manejar esos riesgos.
Los diferentes enfoques para manejar su riesgo cibernético Existen varios enfoques para
abordar el riesgo
cibernético. Uno es la aceptación del riesgo, que es cuando una organización reconoce que la
pérdida potencial asociada con el riesgo es insuficiente para justificar la inversión de dinero para
evitarlo. Esto también es válido para el riesgo cibernético. Si el riesgo cibernético incurrido no
excede su apetito por el riesgo, puede aceptarlo.
Eliminar el riesgo es la estrategia de gestión de riesgos más simple y más a menudo pasada por
alto. Esta es una técnica que debe utilizarse siempre que sea factible, ya que implica una simple
eliminación del riesgo.
La terminación del riesgo se puede utilizar, particularmente en el contexto de la diligencia
debida de fusiones y adquisiciones (M&A) , cuando un acuerdo no se cierra debido a riesgos
cibernéticos significativos que afectan los costos de adquisición de la empresa, las
inversiones futuras y posibles riesgos y gastos cibernéticos residuales sustanciales.
La transferencia de riesgos cibernéticos es un tema que interesa cada vez más a los directorios
debido a la liquidez y el apoyo en efectivo que brinda a una empresa en caso de pérdidas
financieras luego de un ataque cibernético.
La transferencia de riesgos incluye la transferencia de riesgos o peligros futuros a otra parte.
La compra de seguros es una de las formas más frecuentes de gestión de riesgos en
general y de ciberriesgos en particular. Transfiere el riesgo de un negocio a un tercero ,
en este caso una compañía de seguros. La transferencia de riesgos residuales asegura
la recuperación de cualquier pérdida y mantiene el flujo de caja y la liquidez del negocio.
El seguro cibernético es una palabra general que se refiere a una variedad de pólizas de seguro.
Definir el seguro cibernético no es fácil, considerando las amenazas y riesgos cibernéticos en
evolución . Un antiguo colega de Magda lo comparó con un adolescente en crecimiento.
En su forma más simple, el seguro cibernético es un contrato entre una compañía de seguros y
una empresa que protege a la empresa contra pérdidas financieras causadas por incidentes
informáticos o de red. Sin embargo, no es realista anticipar una lista completa de cobertura, ya
que las aseguradoras a menudo aplican extensiones de póliza en respuesta a la naturaleza
dinámica del riesgo cibernético. Sin embargo, la siguiente lista contiene los más comúnmente
encontrados y contabilizados en una póliza de seguro cibernético:
• Cobertura de primera parte para el costo de reemplazar o restaurar datos perdidos •
Privacidad de datos y cobertura de red para los reclamos de responsabilidad de un
tercero
• Cobertura de interrupción del negocio por pérdida de ingresos como resultado del tiempo
de inactividad de la red
• Cobertura de extorsión cibernética para los costos de investigación y, en ocasiones,
también la demanda de extorsión
• Tarifas para las empresas de relaciones públicas para gestionar la reputación de la empresa en el evento
de un incumplimiento
• Costos legales por litigios o demandas
La lista no incluye todos los tipos de ciberataques potenciales. Por ejemplo, no incluye delitos
financieros o fraude financiero al usar una computadora. Esto suele estar cubierto por las
pólizas contra delitos comerciales y es una cobertura de seguro importante debido al creciente
número de ataques de ingeniería social, como ataques de phishing u otros medios para
manipular a una persona o personas para obtener acceso a un sistema o redes.
Los proveedores de seguros ya no brindan cobertura de seguro cibernético sin una evaluación
exhaustiva de la postura de seguridad cibernética de una empresa (o lo que se denomina datos
de suscripción). Por lo tanto, cada vez es más difícil obtener una cobertura óptima para todos
los riesgos cibernéticos, ya que las empresas a veces ni siquiera cuentan con los controles
fundamentales para administrar los riesgos cibernéticos.
No obstante, el seguro cibernético sigue siendo un control importante para cualquier estrategia de
ciberseguridad. Un CISO debe considerarlo como un apalancamiento para la gestión del flujo de
efectivo y el control de la liquidez cuando ocurre un ciberataque. Un CISO nuevo en la organización
debe revisar y actualizar el seguro cibernético que tiene la organización o, si no hay una póliza,
recomendar la compra de un seguro para proteger a la empresa.
Estrategia de gestión del riesgo cibernético Una vez que el CISO es
consciente del riesgo cibernético con el que está trabajando y las diversas formas de mitigarlo, el
siguiente paso es formular la visión y la estrategia de seguridad cibernética de la organización.
El principal objetivo del CISO es establecer la resiliencia cibernética empresarial y administrar el
riesgo cibernético, que solo puede ser efectivo si la seguridad se incorpora en todas las inversiones
e iniciativas planificadas. Además, el CISO debe tener en cuenta la dependencia de las
herramientas y los servicios digitales existentes, combinada con la probabilidad de un mayor
trabajo remoto y una gran dependencia de proveedores externos. Esto puede requerir una inversión
significativa.
El CISO debe preparar una estrategia y una hoja de ruta asociada, describiendo las capacidades
de la organización para lograr la resiliencia cibernética técnica y estratégica.
Una estrategia cibernética clara debe alinearse con todas las decisiones comerciales importantes,
así como una hoja de ruta definida para la gestión del riesgo cibernético.
Específicamente, la estrategia cibernética implica estimar las exposiciones, implementar la
combinación correcta de soluciones y procesos tecnológicos y desarrollar planes de recuperación
específicos en caso de una infracción. Además, la estrategia debe describir cómo la organización
administrará sus vínculos con socios y proveedores externos en todo el mundo para ampliar la
visibilidad y la capacidad cibernética de su organización , trasladando sus capacidades cibernéticas
de una función aislada a un ecosistema resistente y preparado para la cibernética.
Además, el CISO presentará varias iniciativas estratégicas nuevas. Estos incluyen iniciativas en
torno a la gobernanza, los procesos, la cultura y las nuevas herramientas tecnológicas. La
estrategia generalmente incluye iniciativas que se implementarán dentro de los primeros tres, o
incluso los primeros cinco años, para detectar, prevenir y responder a las ciberamenazas.
Uno de los propósitos de esta estrategia debería ser establecer líneas de
comunicación más sólidas con el nivel C y la junta directiva sobre el riesgo
cibernético, centrándose en medidas o indicadores clave de rendimiento (explicado con más detalle).
en la sección Métricas de ciberseguridad) para evaluar la progresión de la madurez
cibernética de la organización en los próximos años.
Bajo la estrategia de seguridad cibernética, el CISO podría definir un presupuesto
para las iniciativas que planea. Por ejemplo, Magda usa los costos en su borrador de
hoja de ruta de alto nivel y luego actualiza su estrategia con los requisitos del presupuesto.
Una vez que la estrategia está en su lugar, se apoya en una hoja de ruta con iniciativas
que abordan las siguientes áreas:
• Proteger: estas iniciativas están destinadas a implementar y verificar protecciones de
ciberseguridad adecuadas para los sistemas, redes e instalaciones de su
organización.
En las iniciativas de protección se incluyen la identificación de riesgos; medidas
de mitigación que abarcan personas, procesos y tecnología; y el desarrollo de una
cultura cibernética en toda la empresa. Ahora, la estrategia puede incluir conceptos
como zerotrust.
La confianza cero representa un cambio fundamental en la forma en que las
organizaciones piensan sobre la seguridad. Comienza con la suposición de que
no se puede confiar tanto en los usuarios como en los dispositivos,
independientemente de su ubicación, y todas las solicitudes de acceso deben
verificarse antes de permitir el acceso a los recursos. Este es un cambio
importante con respecto al modelo tradicional de seguridad basado en el perímetro,
que colocaba la confianza heredada dentro de los muros de la organización y
bloqueaba el acceso externo por completo. En un mundo tecnológico moderno
posterior a la pandemia, nuestros activos ya no están siempre dentro de las cuatro
paredes de la organización, lo que abre brechas importantes en nuestro antiguo
enfoque basado en el perímetro. La confianza cero moderniza este enfoque:
adopta la nueva forma de trabajar y refuerza la seguridad tanto dentro como fuera de las cuatro paredes
Sin embargo, es importante mencionar que aún se requiere habilitar los controles
fundamentales antes de intentar adoptar conceptos emergentes y soluciones de
palabras de moda de la industria. • Detectar: estas
iniciativas se utilizan para determinar el grado en que su organización descubre
rápidamente los incidentes de ciberseguridad. Después de la protección y la
mitigación, un CISO proporciona a una organización las herramientas necesarias
para identificar cualquier comportamiento o incidente sospechoso.
• Responder: estas iniciativas están destinadas a verificar que la organización tenga
políticas y procesos implementados que describan cómo la empresa responderá a los
incidentes de seguridad cibernética. Su organización debe tener un plan de respuesta
a incidentes como parte del plan de continuidad del negocio. Debe probarse
regularmente mientras se involucra a las partes interesadas correctas en las acciones
de respuesta necesarias para mitigar el efecto de un ataque.
Como CISO, proporciona a su organización las herramientas necesarias para
reaccionar ante incidentes de seguridad o violación de datos.
• Recuperar: Esas iniciativas son para garantizar que la organización planifique y ejecute
operaciones de resiliencia adecuadas que restablezcan las capacidades/servicios que
se hayan visto comprometidos como resultado de un incidente cibernético. La función
de recuperación mitiga el daño causado por un incidente cibernético. El CISO garantiza
una recuperación adecuada después de un incidente cibernético.
La siguiente figura muestra el marco de seguridad cibernética de la agencia
gubernamental del Instituto Nacional de Estándares y Tecnología (NIST) utilizado
por muchos CISO como una buena línea de base de los controles a seguir mientras
preparan sus hojas de ruta.
Figura 5.1 – El marco del NIST
Los CISO utilizan marcos para garantizar una cobertura completa de los controles de
ciberseguridad; sin embargo, la clave es garantizar la relevancia para la propia organización.
Esto se hace utilizando métricas para apoyar la mejora y las acciones correctivas.
Métricas de ciberseguridad Los
indicadores clave de desempeño (KPI) son beneficiosos para que el CISO
evalúe el desempeño del programa de ciberseguridad y ayude en la toma de
decisiones. Un modelo de madurez popular es Capability Maturity Model
Integration (CMMI) de ISACA , un modelo de madurez de desarrollo de
productos y servicios creado por el Instituto de Ingeniería de Software de la Universidad Carnegie M
Los procedimientos definidos de CMMI elegidos para la integración con los procesos de
gestión de riesgos incluyen acciones que llevan a las organizaciones a implementar procesos
de desarrollo y servicio altamente maduros. Los procedimientos de CMMI son de naturaleza
general y se pueden aplicar a una amplia variedad de procesos comerciales específicos.
CMMI tiene un amplio alcance y, por lo tanto, se puede utilizar para incorporar la gestión de
riesgos de TI en la fase de (re)diseño de cualquier tipo de proceso de TI, lo que significa que
la gestión de riesgos de TI se puede integrar en los esfuerzos para mejorar los procesos de
TI o la ciberseguridad.
La siguiente figura muestra ejemplos de los niveles de madurez.
Figura 5.2 – Modelos de madurez
La madurez es sin duda un buen indicador. No obstante, los CISO deben comprender mejor
la madurez cibernética de la empresa y su alineación con las expectativas comerciales. Sin
embargo, cuando se trata de reportar métricas a la junta, es crucial que el CISO lo mantenga
relevante y conciso.
La creación de paneles para capturar y reportar datos es importante para validar la estrategia
cibernética y la hoja de ruta.
Indicadores para tableros/informes La forma más clara para
que un CISO involucre a todas las partes interesadas en la estrategia
cibernética de la organización es presentar los indicadores relevantes para ellos.
Los que probablemente incluyen:
• Nuevas iniciativas de negocio y riesgos cibernéticos asociados.
• Riesgos cibernéticos no mitigados y el costo asociado frente a los costos previstos.
• Riesgos y gaps transferidos.
• Intentos de intrusión.
• Tasas de incidentes, su severidad, tiempos de reacción y el tiempo requerido para la
recuperación.
• Tiempos de respuesta para parches de vulnerabilidad.
Preguntas para hacerle a su CISO
Debido a que el CISO es el punto focal de la ciberseguridad, las siguientes preguntas lo
ayudarán a determinar si su CISO está liderando su resiliencia cibernética de manera efectiva.
Para los CISO, esta es una forma útil de evaluar esto por sí mismos.
• ¿Cómo abordan nuestra estrategia y hoja de ruta nuestras prioridades comerciales?
• ¿Cuál es nuestro riesgo residual y cómo lo medimos?
• ¿Cuáles son nuestros principales eventos de cisne
negro? • ¿Cuál es la pérdida financiera potencial después de un ataque cibernético?
• ¿Cuál es la pérdida potencial después de una violación de datos?
• ¿Cómo medimos nuestro ROI?
• ¿Cómo monitoreamos la mejora?
• ¿Cuál es nuestra respuesta cuando ocurre un incidente cibernético o una violación de datos?
• ¿Cómo recuperamos los costos asociados?
En la siguiente parte de este capítulo, incluimos segmentos adicionales para nuestros CISO.
Los segmentos incluyen sugerencias y consejos para aspirantes a CISO. También son buenas
recomendaciones para que los ejecutivos de Csuite las lean mientras intentan aprovechar más
conocimientos sobre ciberseguridad y ayudar a respaldar a su CISO. Con este fin, a continuación
analizaremos la decodificación de las expectativas de su CxO.
Un segmento de bonificación para nuestros CISO: decodificación de las expectativas de sus CxO 89
Un segmento de bonificación para nuestros CISO:
Decodificación de las expectativas de sus CxO
Las juntas directivas tienen una tarea desafiante cuando se trata de ciberseguridad.
Por un lado, deben garantizar que su negocio siga siendo competitivo y rentable,
adoptando tecnología y ejecutando transformaciones digitales para mantenerse a la
vanguardia del mercado. Por otro lado, deben asegurarse de que su negocio esté
preparado para la cibernética y cumpla con las leyes y regulaciones aplicables en
materia de privacidad y ciberseguridad.
A lo largo de las décadas, ha habido muchas discusiones técnicas en torno a la
ciberseguridad. Sin embargo, la presentación termina bastante rápido cuando se
presenta a la junta directiva u otros CxO si el CISO no es claro en su comunicación y/o
usa demasiada jerga técnica.
Cada profesional, incluido el CISO, tiene un dominio de experiencia y se siente cómodo
discutiendo ese conjunto de habilidades. No obstante, un CISO moderno necesita
adaptarse aún más, ya que las expectativas son más altas, y a menudo se colocan
fuera de su zona de confort. Necesitan comprender los desafíos y prioridades de los
otros CxO y ponerse en su lugar para generar confianza y tener una comunicación
efectiva. Las expectativas de sus CxO en las sesiones informativas cibernéticas difieren
entre sí, pero sutilmente producen resultados significativamente similares: beneficios de
ciberseguridad para sus iniciativas y funciones. Una vez que el CISO descodifica las
rúbricas de las expectativas de cada ejecutivo, alinear las respuestas con cada uno de
los CxO objetivo se convierte en una tarea menos onerosa.
Un CISO necesita construir una reputación como facilitador del negocio y no como
inhibidor. Deben darse cuenta y comprender que el primer objetivo del negocio es el
negocio y no la ciberseguridad. El objetivo del negocio es generar un producto o servicio
rentable, asegurando mayores ganancias y crecimiento. El CISO adapta la perspectiva
empresarial para lograr la ciberestrategia óptima.
El CISO comunica el riesgo cibernético a los CxO a través de actualizaciones o
informes de rutina, por ejemplo, una reunión ejecutiva trimestral de toda la empresa.
Sin embargo, la comunicación debe ocurrir con más frecuencia que trimestralmente. Los informes
cibernéticos a veces tienen que enviarse por correo electrónico. Por lo tanto, es fundamental que
las actualizaciones o informes de rutina sean claros y simples, e identifiquen preguntas anticipadas
que podrían estar en la mente de los CxO y proporcionen respuestas.
Puntos clave de comunicación no negociables “Los informes simples a
menudo funcionan mejor”, dice el Dr. Siva Sivasubramanian, CISO del gigante de las
telecomunicaciones Optus. Siva proporcionó ejemplos de los diferentes enfoques que un
CISO puede adoptar para las distintas partes interesadas:
• El CFO y el CRO se enfocan en los riesgos de los problemas cibernéticos que tienen el potencial
de afectar a una organización, particularmente en dominios operativos específicos. Necesitan
saber cómo las iniciativas que están en marcha y las que están planificadas mitigarán esos
riesgos. Necesitan respuestas cuantificadas con cifras claras y defendibles.
A menudo, el CISO tendrá dificultades para proporcionar estas respuestas, ya que se siente
más cómodo con las evaluaciones de riesgos cualitativas. Los informes para el CRO y el CFO
deben tener un lenguaje comercial y estar centrados en el riesgo, con una articulación clara del
ROI y la reducción cuantificada del riesgo por dólar gastado. Es fundamental evitar estrictamente
las palabras de moda cibernéticas. Cada declaración debe ser lógica y cuantitativamente
defendible con hechos y cifras.
Involucrar a los grupos financieros o de riesgo al preparar el informe ayudará.
Estos son algunos consejos rápidos:
Presente datos relevantes fácilmente comprensibles al CFO en tablas simples.
Evite diagramas o gráficos complejos que sean técnicos y no estén relacionados con las
prioridades del CFO.
Tenga una historia cohesiva del problema (por ejemplo, qué se está haciendo, qué se hará,
cómo eliminará o mitigará el problema, y el costo y el cronograma involucrados).
• Los Directores de Recursos Humanos (CHRO, por sus siglas en inglés) a menudo no son expertos
en tecnología, pero son muy leídos. Rápidamente se entusiasman con los informes de los
medios sobre los ataques cibernéticos recientes y su impacto en las corporaciones.
El enfoque del CHRO se centra por completo en el aspecto humano y organizativo de la
implementación de la protección cibernética. Para ellos, los empleados significan una agregación
de empleados directos, contratistas y recursos de proveedores externos, tanto dentro como
fuera de las instalaciones. Su preocupación está en la logística de hacer que el personal participe
y actúe según las instrucciones. También necesitan métricas para medir qué constituye una
acción y cómo se debe manejar la inacción. Además, el CHRO probablemente
buscarán alguna garantía de que la actividad propuesta será efectiva, ya que
desconfían de las consecuencias de las actividades fallidas de los empleados.
Las declaraciones del CISO como "la seguridad es responsabilidad de todos" y
"los empleados deben ser responsables de la seguridad", sin recomendaciones
procesables y explicaciones simples, preocuparán al CHRO, ya que tales
declaraciones son demasiado amplias. Las declaraciones libres de retórica con
medidas cuantificables de cumplimiento y respuestas sugeridas al incumplimiento
(límite estas a educar y traer al redil; evitar recomendaciones punitivas) darán en
el blanco para un CHRO.
Aquí hay algunos consejos rápidos:
Asegúrese de que su presentación sea simple y relevante para el CHRO.
Integre la privacidad y el cumplimiento, ya que los CHRO los entienden
fácilmente.
Articule lo que se espera y cómo podría lograrse para el CHRO.
Sugerir métodos y controles de compensación para abordar los asuntos de
incumplimiento.
Tenga un argumento claro (por ejemplo, el problema, la solución más amplia
que sigue la empresa, el aspecto humano de la solución y lo que se espera del
departamento de recursos humanos).
• El CEO y la junta directiva son las partes interesadas más exigentes con las que
tratar. Ambos esperan que todos los detalles estén condensados y presentados
en un formato prescrito que suele ser muy breve y estructurado de manera rígida.
Son maestros de las palabras y leen entre líneas. Cada palabra del informe debe
estar bien elaborada y la narración debe fluir bien. El informe debe ser revisado y
ratificado por sus líneas de reporte o los miembros de su equipo para garantizar
que se alinee con sus expectativas.
El informe y/o los tableros del CISO deben estar en lenguaje comercial,
proporcionar una imagen completa del problema y señalar las incógnitas con
franqueza. Cualquier riesgo mencionado debe ser totalmente respaldado por el
grupo de riesgo. Cualquier solución sugerida debe ser ratificada por los grupos de
partes interesadas pertinentes. La junta y el CEO ven las soluciones como
respuestas de equipo de las partes interesadas. Por lo tanto, el informe del CISO
debe ser una respuesta de equipo de las diferentes partes interesadas, con el
CISO funcionando como presentador.
Estos son algunos consejos
rápidos: Alinearse con las prioridades comerciales.
Concéntrese en el riesgo y no en los tecnicismos.
Habla de dólares y no de amenazas.
Mantenga una narrativa sólida y tenga pruebas para cada punto que se plantee.
Elabora bien cada oración; busque posibles interpretaciones alternativas y edítelas o
elimínelas.
No incluya palabras innecesarias; mantén las oraciones nítidas y haz que cada palabra
cuente.
Evite gráficos e imágenes complejos; Proporcione ayudas visuales simples para
fundamentar su mensaje sin necesidad de explicación.
Tener el informe revisado, ratificado y aceptado por las partes interesadas.
Cuantificación del riesgo cibernético: el Santo
Grial para su éxito
La cuantificación del riesgo cibernético se ha mencionado varias veces a lo largo de este libro. Se
considera cada vez más una herramienta insustituible para abordar la brecha entre la ciberseguridad
y los negocios.
Las empresas han utilizado durante mucho tiempo la gestión de riesgos para evaluar los riesgos
financieros y los riesgos operativos, entre otros. El proceso de gestión de riesgos tradicional ha
evolucionado junto con el alcance, el tamaño y el valor de una empresa, y cada categoría de riesgo
(operacional, cibernético, financiero, etc.) ha seguido su propio enfoque y metodologías de riesgo
en el proceso de gestión de riesgos.
Hoy en día, las técnicas de gestión de riesgos comerciales deben adaptarse porque la mayoría de
las empresas dependen de la tecnología o dependen de TI para ejecutar sus operaciones. En
realidad, sin embargo, todavía enfrentamos una divergencia significativa en la comprensión de las
partes interesadas del lenguaje de gestión de riesgos, especialmente en lo que respecta a los
riesgos cibernéticos. Esta distinción es particularmente pronunciada entre los gerentes de negocios
y la seguridad de TI, los analistas de riesgos y los CISO. Debido a esta desalineación, las empresas
continúan enfrentando desafíos en la implementación de controles importantes para mitigar sus
riesgos.
Los expertos en ciberseguridad han utilizado durante mucho tiempo marcos cualitativos :
"verde, amarillo y rojo" o "bajo, medio y alto" están en el riesgo de la mayoría de los CISO.
registrados y, en ocasiones, combinados con ciberamenazas como ransomware o
DDoS. Pero este marco tiene poco significado para el CEO, la junta u otras partes
interesadas. El uso de descripciones cualitativas sigue siendo subjetivo,
especialmente para las partes interesadas del negocio que necesitan información
precisa sobre las posibles consecuencias de un ciberataque. Lo que puede parecer
crítico o alto para un individuo puede parecer verde o amarillo para otro.
En cambio, tener estimaciones cuantitativas sólidas tanto para el impacto como para la
probabilidad permite que los CISO y las partes interesadas del negocio estén preparados en
caso de un ataque cibernético.
Magda ha abordado la cuantificación en varios niveles, siguiendo una extensa investigación
publicada y el desarrollo de técnicas y modelos de cuantificación. Ella cree que muchos carecen
de estándares de la industria o no tienen posibles aplicaciones globales en el espacio de la
industria cibernética. El marco de cuantificación más popular es el análisis factorial del riesgo de
la información (FAIR), que surgió como el principal marco de valor en riesgo (VaR) para la
ciberseguridad.
Para un CISO, un buen punto de partida es leer y comprender los estados financieros
de una empresa. Este primer paso ayuda a identificar las prioridades y preocupaciones
de la empresa . Los estados financieros a veces se publican públicamente y, a
menudo, incluyen escenarios de riesgo, detalles del apetito por el riesgo y productos
y servicios clave. Los estados financieros también brindan información sobre qué
servicio o producto genera la mayor cantidad de ingresos para la organización.
Usando lo que aprenden de los estados financieros, un CISO necesita
construir escenarios de riesgo cibernético. ¿Qué podría suceder que llevaría
a la interrupción de las iniciativas, productos o servicios estratégicos de la empresa?
La creación de escenarios permite a los CISO ver los riesgos y las oportunidades de manera
más amplia, visualizar los desafíos o obstáculos de ciberseguridad e identificar las fuentes de
riesgo que la empresa no ha considerado.
Para tener éxito en esta actividad, un CISO debe seguir algunas reglas básicas:
• Priorizar los principales escenarios de riesgo y no las interrupciones menores
• Esfuércese por ocurrencias realistas y no se centre en la probabilidad, como
sabemos que es un caso de cuando y no de si
• Asegúrese de que los escenarios estén orientados al negocio y no sean técnicos, y
cuenten con suficiente información para estimar las pérdidas de manera adecuada
Los siguientes son algunos ejemplos de escenarios de riesgo cibernético de alto nivel:
• Interrupción o alteración de los sistemas centrales y las plataformas comerciales durante
dieciséis días debido a un ataque de ransomware
• Corrupción de bases de datos y pérdida de integridad de datos, lo que lleva a importantes
reclamaciones de consumidores y cancelaciones
• El retiro de un producto debido a un ciberataque en la línea de producción
impactando el etiquetado
• Daños físicos e incendio por ciberataque a una fábrica
• Interrupción extendida de proveedores externos debido a un ataque cibernético
Una vez que se construyen buenos escenarios, el CISO inicia el proceso de
cuantificación. Como parte de este proceso, el CISO debe identificar las diferentes
áreas que podrían verse afectadas y si se pueden utilizar prácticas de trabajo
alternativas durante un período de inactividad. Esta actividad se realiza en
colaboración con el CxO correspondiente a cargo de la actividad o iniciativa empresarial afectada.
Los siguientes son ejemplos de las áreas afectadas:
• Negocios: pérdida de ganancias, pérdidas de participación de mercado y fluctuación del valor de las
acciones, entre otros
• Recursos: horas extras de los empleados y recursos para atender requerimientos
específicos, entre otros
• Jurídico: Demandas por indisponibilidad del servicio o daños mayores
• Comunicación: Necesidades de comunicación por falta de disponibilidad del servicio
• Datos: Pérdida/robo de datos o cifrado de datos • TI:
Incluido el tiempo de recuperación y construcción
Brindamos detalles adicionales en la sección Un segmento de bonificación para nuestros CISO:
compra de seguros cibernéticos; sin embargo, el objetivo es mostrar claramente que con cada
escenario se identifican las consecuencias que afectan al negocio en general, no solo a los
sistemas de TI.
Esto ayuda al CISO a pronosticar las posibles pérdidas y costos asociados con cada escenario
cuando sucede. Esto ciertamente ayuda a iniciar la discusión y muestra cómo un ataque
cibernético puede conducir a un riesgo comercial, y respalda el aspecto cuantitativo donde se
enumeran los costos claramente identificados, lo que permite a las partes interesadas del
negocio tomar decisiones informadas en función de su apetito por el riesgo.
Un segmento de bonificación para nuestros CISO: compra de seguros cibernéticos 95
La siguiente figura muestra el aspecto que puede tener una previsión.
Figura 5.3 – Un ejemplo de cuantificación de riesgo cibernético de alto nivel
Esto es de alto nivel, y un CISO debería poder identificar los costos con mayor detalle con el
apoyo de sus colegas y pares.
Además, la previsión proporciona visibilidad a la junta sobre el ROI para ciber. El beneficio (o
retorno de la inversión) de una inversión se calcula dividiéndolo por el costo de la inversión.
El valor calculado se da luego como un porcentaje o se presenta como una relación.
La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) introdujo un
concepto llamado retorno de la inversión en seguridad (ROSI). Para calcular el ROI
cibernético, la pérdida neta de una inversión se divide por su costo potencial. El costo real de
un incidente representa un componente crítico del cálculo de ROSI.
Este pronóstico de cuantificación permite a una organización aumentar su comprensión de
las exposiciones cibernéticas actuales y su capacidad para mitigar sus repercusiones al hacer
juicios deliberados y transparentes.
En algunos casos, el seguro cibernético se considera una alternativa a los controles internos
de seguridad cibernética por parte de las partes interesadas del negocio o los administradores
de TI. Esto no es absolutamente el caso. El seguro cibernético es un control de ciberseguridad
fundamental y forma parte del proceso de gestión del riesgo cibernético como un tratamiento
complementario, brindando un apoyo adicional cuando ocurre un ataque cibernético o una
violación de datos. Ayuda con la gestión de la liquidez y el flujo de efectivo y cubre las
pérdidas en las que podría incurrir la empresa.
La seguridad infalible no existe. A estas alturas, está convencido o al menos aburrido de leer
la misma declaración. Sin embargo, es importante repetirlo porque no se trata de si sucede,
sino de cuándo.
El seguro cibernético está diseñado para proteger a las empresas y las personas contra los riesgos
asociados con Internet y, en términos más generales, los riesgos asociados con la infraestructura
de TI, la privacidad de la información, la responsabilidad del gobierno de la información y
actividades relacionadas. Por lo general, estos riesgos están excluidos de las pólizas de
responsabilidad general comercial estándar o no están claramente establecidos en los paquetes de seguro estándar.
Las pólizas de seguro cibernético generalmente brindan:
• Cobertura de primera parte contra pérdidas causadas por destrucción de datos, extorsión, robo,
piratería y ataques de denegación de servicio.
• Cobertura de responsabilidad civil que compensa a las empresas por las pérdidas causadas a
otros por errores y omisiones, pérdida de datos o difamación.
• Otros beneficios, como auditorías de seguridad periódicas, informes públicos posteriores a los incidentes.
relaciones y gastos de investigación.
• Reembolsos de rescate en algunos casos (en el momento de escribir este artículo)
En resumen, el seguro cibernético compensa las pérdidas financieras relacionadas con la cibernética.
Hay diferentes tipos de cobertura cibernética. También sepa que la cobertura difiere de un suscriptor a
otro, y de una compañía a otra. Los siguientes son una muestra de los tipos de seguros cibernéticos
(pérdidas propias) disponibles:
• Recuperación del sistema: este seguro asume los gastos asociados con la restauración técnica de
los datos y la erradicación de la infección, por ejemplo, cuando un ataque cibernético afecta las
operaciones comerciales y genera tiempo de inactividad.
• Reconstrucción de datos: A raíz de un ciberataque, no todos los datos se pueden recuperar
mediante copias de seguridad. Algunos deben reconstruirse manualmente. Este seguro corre
con los gastos del trabajo adicional y del personal necesario para ello.
• Pérdida de ganancias como resultado de actividades suspendidas: por ejemplo, un ataque DoS
afecta los sistemas de un sitio web de comercio electrónico en línea, causando pérdidas
financieras importantes. Los clientes no pueden acceder al sitio web y durante más de 2
semanas, todas las operaciones se paralizan. Este seguro compensa la pérdida de ingresos
durante este tiempo.
• Investigación forense: por ejemplo, la Autoridad Monetaria de Singapur (MAS) requiere una
respuesta detallada al incidente con detalles forenses. Este seguro cubre el costo de los
proveedores forenses digitales.
Un segmento de bonificación para nuestros CISO: compra de seguros cibernéticos 97
• Costos de notificación: por ejemplo, un ciberdelincuente usa un correo electrónico de
phishing para robar datos confidenciales de pacientes del consultorio de un médico.
Este seguro corre con los gastos de alertar a los pacientes afectados y, en su caso, a
las autoridades.
• Costos de comunicación: este seguro paga a expertos externos en crisis para proteger
la marca de una empresa y mitigar agresivamente su reputación en línea.
• Producción defectuosa: por ejemplo, un competidor que busca dañar su organización
emplea a alguien para piratear el sistema de TI de la empresa y realizar cambios en
la fórmula del producto de la empresa. La fábrica de fabricación totalmente
automatizada produce 50.000 botellas de bebidas etiquetadas erróneamente. Las
bebidas fabricadas ya no se pueden vender. Este seguro cubre los gastos de
reposición del lote y disposición adecuada de los artículos no utilizados.
Además de mejorar la seguridad directamente, el seguro cibernético es ventajoso en el caso
de una brecha de seguridad a gran escala. El seguro ofrece una opción de financiación
simplificada para la recuperación de grandes pérdidas, ayudando a las empresas a reanudar
sus operaciones regulares y disminuyendo la necesidad de ayuda del gobierno.
A medida que los riesgos cibernéticos evolucionan y las empresas adaptan sus estrategias
cibernéticas, las soluciones de seguros se adaptan junto con los programas de ciberseguridad.
Debido a sus beneficios financieros, se están convirtiendo en una parte integral del proceso.
Nuevamente, enfatizamos que el fraude financiero y la ingeniería social pueden estar cubiertos
por las pólizas contra delitos comerciales y no por el seguro cibernético. El CISO necesita
verificar y adquirir la confirmación de la cobertura. Sabiendo que las estafas de ingeniería
social están creciendo y son uno de los tipos de ataques cibernéticos más populares, el CISO
también debe pronosticar sus consecuencias financieras.
Por último, aún se están desarrollando los criterios de suscripción de las aseguradoras para
ofrecer productos de seguros cibernéticos , y los suscriptores están colaborando activamente
con las empresas de seguridad cibernética para mejorar sus productos. Sin embargo, la
tendencia se dirige hacia controles iniciales extensos. El CISO debe considerar esto como un
buen servicio de valor agregado, con garantías externas de terceros proporcionadas como
servicios gratuitos, por ejemplo, informes de calificación y escaneos automatizados.
Reportando a la Junta Directiva
Reportar a los CxOs oa la junta directiva no es fácil pero sí necesario.
Se deben considerar varios factores cuando se presenta a la junta, incluidos, entre
otros, los siguientes:
• Estrategia: ¿Con qué eficacia comprende el CISO los objetivos y las iniciativas estratégicas
de una empresa, y en qué medida se incorpora el riesgo cibernético en la toma de
decisiones más amplia a nivel de directorio?
• Propiedad de la junta: ¿ Hasta qué punto la junta impulsa la estrategia y con qué eficacia se
incorpora a los procedimientos de gestión de riesgos a nivel de la junta?
• Resiliencia financiera: ¿Se cuantifican las exposiciones cibernéticas y se incluyen en un plan
de recuperación ante desastres que ha sido sometido a pruebas de estrés?
• Responsabilidad de los ejecutivos: ¿Cómo se organizan los deberes ejecutivos para la gestión
del riesgo cibernético y cómo se responsabiliza a los ejecutivos?
• Garantía: ¿Cómo garantiza el CISO que el riesgo cibernético se haya evaluado
adecuadamente?
• Informes: ¿Cómo se informa al directorio sobre la posición y el progreso del riesgo cibernético
de una empresa?
Muchas organizaciones tratan el riesgo cibernético de forma aislada de otros componentes de su
marco ERM, y no logran ver la conexión entre el riesgo cibernético y otros aspectos de la toma de
decisiones a nivel de directorio. Informar a la junta debe cerrar esta brecha, y el CISO debe
centrarse en algunos puntos principales limitados que ayudarán a lograr el objetivo final.
La presentación a la junta debe enfocarse y responder claramente las siguientes preguntas:
• ¿Qué tan bien comprenderá la junta directiva los
objetivos de riesgo cibernético y enfoque estratégico?
• ¿Qué iniciativas de mejora existen para reducir el riesgo cibernético a un nivel
nivel que es aceptable?
• ¿Cuánta inversión se prevé para la gestión del riesgo cibernético?
• ¿Cómo se integra el riesgo cibernético en la toma de decisiones más amplia a nivel de directorio?
Resumen 99
Al informar, no debe haber jerga técnica ni centrarse en amenazas cibernéticas y
tácticas de miedo. Esos sirven como obstáculos y dificultan la oportunidad de que
un CISO justifique tener un asiento en la sala de juntas.
Resumen En este
capítulo, logramos decodificar muchas de las expectativas para un CISO, sus
prioridades y desafíos. Desde la seguridad técnica hasta un asiento en la mesa y, a
menudo, una financiación limitada, los CISO no tienen un camino fácil para construir
un negocio resistente a la cibernética. Si bien es un líder técnico en algunos casos, un
CISO supervisa la gestión del riesgo cibernético . Esto incluye primero comprender las
exposiciones de la empresa y luego cuantificar las posibles pérdidas financieras para
comprender y priorizar las iniciativas de mitigación y la transferencia de riesgos. La
mitigación debe abarcar controles para personas, procesos y tecnología y no centrarse únicamente en TI.
Hoy en día, debido a las amplias amenazas de ataques cibernéticos y la adopción
masiva de soluciones tecnológicas, las empresas varían en sus esfuerzos para medir
sus exposiciones al riesgo cibernético. Algunos no tienen visibilidad de la ciberseguridad.
Otros lo limitan a su entorno de TI. Esto representa un gran desafío para un CISO que
necesita comprender el entorno comercial más amplio que necesita proteger, antes de
analizar e identificar los posibles riesgos cibernéticos.
La comunicación con el lado comercial se potencia mediante la cuantificación de las
ciberamenazas . Si bien algunas empresas aún no están convencidas de la
cuantificación (por ejemplo, afirman que sin datos históricos, el riesgo cibernético no
se puede cuantificar con precisión), otras enfatizan que la cuantificación es necesaria
para evaluaciones de costos efectivas. Los CISO deben cambiar su enfoque hacia la
cuantificación en lugar de continuar con el uso de métodos subjetivos cualitativos.
Esto se hace en colaboración con, o con el apoyo de, las partes interesadas comerciales relevantes.
En el próximo capítulo, abordaremos el rol del CHRO y su papel esencial en la
construcción de una organización ciberresiliente.
6
El papel de la
CHRO en la reducción
Riesgo cibernético
Los directores ejecutivos entienden que los recursos humanos de sus empresas son
fundamentales para su éxito. Como dice el refrán: “Cuida primero a tu gente, y ellos se
encargarán de tu negocio”. Las personas, no las empresas, generan valor.
Los directores ejecutivos de todo el mundo perciben el capital humano como una de las principales
preocupaciones, y RRHH es una de las funciones más esenciales en una organización. RRHH tiene un
papel fundamental, no solo en sus responsabilidades tradicionales, sino también en la resiliencia cibernética. necesita:
• Proteger los datos personales de los empleados y otros asuntos confidenciales.
• Reclutar miembros calificados del equipo de seguridad cibernética. •
Reducir las amenazas internas, con verificaciones de antecedentes eficientes para mitigar
riesgos
• Apoyar una cultura de conciencia cibernética a través de la capacitación a bordo y el desarrollo
profesional continuo.
Los empleados de una empresa pueden representar consciente o inconscientemente una amenaza interna,
una de las ciberamenazas más prevalentes y de mayor éxito en el robo de datos y propiedad intelectual y
en las infracciones accidentales.
102 El papel del CHRO en la reducción del riesgo cibernético
El Director de Recursos Humanos (CHRO) generalmente ayuda al CEO a
mantener la cultura organizacional adecuada. El CHRO también es crucial para
garantizar que los roles y equipos críticos cuenten con el mejor personal. En el
caso del Director de Seguridad de la Información (CISO) y el equipo de
seguridad, el CHRO también trabaja para reforzar el mensaje sobre los valores
cibernéticos de la organización e implementar las recomendaciones del CISO
cuando se trata de personas, procesos y tecnología.
El CHRO desempeña un papel destacado en la toma de decisiones corporativas y debe
estar debidamente preparado para ese trabajo, incluidos los asuntos de ciberseguridad y
privacidad, en lugar de ser relegado como un rol de apoyo cuyo propósito es ejecutar las
elecciones que ya se han hecho.
Cubriremos los siguientes temas en este capítulo:
• Por qué el CHRO debería preocuparse por la ciberseguridad.
• El papel de transición del CHRO. • Cómo el
CHRO apoya la resiliencia cibernética.
• Los desafíos que enfrentan los CHRO con la ciberseguridad.
• Preguntas para hacerle a su CHRO. •
Un segmento de bonificación para nuestros CISO: reclutar y desarrollar su equipo de
seguridad cibernética.
Por qué el CHRO debería preocuparse por
la ciberseguridad
En la era digital, la información se ha convertido en el alma de las organizaciones.
Las empresas dependen cada vez más de la información y los sistemas de información
para lograr sus resultados comerciales. La información también es un activo único y existe
en muchas formas, no solo digitalmente.
Un activo de información puede aparecer como un recurso físico en forma de documento.
Puede residir en el conocimiento institucional del personal representante de los recursos
humanos. Finalmente, puede vivir en los sistemas de información como un recurso digital.
Al igual que los riesgos operativos y financieros, los riesgos cibernéticos se presentan de
muchas formas y, si no se tratan, pueden provocar el fracaso empresarial.
El CHRO y su equipo de recursos humanos son los custodios de la información del personal de
cualquier organización. El departamento de recursos humanos tiene cantidades significativas de
Por qué el CHRO debería preocuparse por la ciberseguridad 103
Información de identificación personal (PII) de sus empleados, sus familias y sus
contactos de emergencia, así como de los solicitantes de empleo y contratistas de la empresa.
HR también puede tener información financiera, incluidos detalles de cuentas bancarias y números
de archivos de impuestos. Desde la selección inicial de candidatos, las consultas sobre visas y las
verificaciones de antecedentes hasta el desarrollo profesional y los procesos de salida/terminación,
los CHRO tienen acceso a un vasto mar de datos personales y confidenciales . Este hecho vincula
inmediatamente a los recursos humanos con el riesgo cibernético, con escenarios potenciales que
incluyen el robo de datos, la pérdida de datos e incluso la eliminación o alteración de datos. Toda
esta información comercial es propiedad de HR.
Si bien el almacenamiento de esta información puede incluir formatos impresos y electrónicos , el riesgo y
la responsabilidad por el uso adecuado o la protección de la información no se transfieren de Recursos
Humanos a TI.
Una amenaza interna es un peligro para una organización y el CHRO debe ser un
líder en la preparación y el abordaje de tales amenazas. Una amenaza interna puede
provenir de empleados (tanto actuales como anteriores), contratistas y socios
comerciales que tienen acceso y conocimiento interno sobre los procesos de
seguridad, los datos y los sistemas informáticos de la empresa . Las amenazas
internas incluyen actores no intencionales, como un usuario que pierde accidentalmente
su computadora portátil que contiene PII, e intencionales, como un actor malévolo
que roba datos para obtener ganancias financieras personales (espionaje).
El Informe global sobre el costo de las amenazas internas de 2020 del Ponemon Institute mostró que el
costo anual promedio mundial de las amenazas internas aumentó en un 31 % entre 2018 y 2020,
alcanzando $11,45 millones en pérdidas durante el período de dos años. El informe también destaca:
• Las personas internas negligentes suelen ser la razón principal de los ataques cibernéticos exitosos,
con una pérdida promedio por amenazas internas que alcanza los $4.08 millones por año.
• Los errores simples de los empleados representan el 62 por ciento de todos los ataques cibernéticos.
• El robo de credenciales es una de las formas más frecuentes de compromiso.
El CHRO supervisa las estrategias de abastecimiento y contratación y desempeña un papel fundamental
en la habilitación de un proceso eficiente en colaboración con el CISO para mitigar las amenazas internas
y los riesgos cibernéticos asociados.
Quizás uno de los roles más cruciales que desempeñan el CHRO y su equipo de recursos humanos
es encontrar el talento adecuado para el equipo del CISO. Sin embargo, contratar profesionales de
ciberseguridad se está convirtiendo en un gran desafío. La experiencia en ciberseguridad es de gran
demanda, y los CISO requieren apoyo para contratar y retener a las personas
adecuadas dentro de sus equipos. Requiere una fuerte colaboración con el CHRO.
Hay muchos desafíos que enfrenta el equipo de CHRO cuando se trata de la
adquisición y retención de talento para el personal de seguridad. Este pequeño grupo
de candidatos es el resultado de la falta de una vía de educación formal para el
personal de seguridad y se ve exagerado por la demanda exponencial de las
organizaciones que buscan contratar equipos de seguridad. Este desafío también se
ve agravado por la naturaleza de los roles de seguridad en sí mismos, que pueden
variar desde ser de naturaleza muy técnica hasta roles más centrados en el riesgo y
basados en políticas. Esto requiere recursos de adquisición de talento muy
especializados dentro del equipo de CHRO para crear de manera efectiva la descripción
de trabajo correcta, además de tener acceso a las redes y grupos de recursos correctos.
Los profesionales de seguridad experimentados que buscan un nuevo puesto no
toman a la ligera las descripciones de trabajo mal escritas para los roles de
seguridad . Por ejemplo, considere la descripción del trabajo en la siguiente figura y
los comentarios asociados que se publicaron en Twitter:
Figura 6.1 – Ejemplo de requisitos de trabajo
El papel de transición del CHRO 105
La figura 6.1 muestra claramente la facilidad con la que pueden ocurrir errores. Los
requisitos del trabajo incluyen certificaciones y conjuntos de habilidades muy técnicos, pero
al mismo tiempo también incluyen habilidades de evaluación de riesgos y una certificación
gerencial. Cualquier persona interesada en seguir una carrera en pruebas de penetración
buscará primero el Profesional Certificado en Seguridad Ofensiva (OSCP) , mientras que
cualquier persona interesada en seguir una carrera en gestión de ciberseguridad y
evaluación de riesgos apuntará al Profesional Certificado en Seguridad de Sistemas de
Información (CISSP) o Certificado en Información. Gerente de Seguridad (CISM). Es menos
probable que un solo candidato haya obtenido las tres certificaciones.
Las certificaciones en seguridad cibernética pueden ayudar a confirmar un cierto nivel de
conocimiento y habilidades, pero deben estar debidamente vinculadas a las responsabilidades de
un trabajo y no enumeradas al azar. Los miembros del equipo del CHRO no necesitan entender lo
que significa cada uno, pero sí necesitan colaborar y trabajar con el CISO para establecer la base
para puestos de trabajo confiables y creíbles. El propósito de las certificaciones es complementar
las habilidades y la experiencia de las personas y no deben considerarse obligatorias, excepto
para ciertos roles laborales específicos.
Ahora que hemos revisado por qué el CHRO debe preocuparse por la seguridad cibernética, es
importante examinar cómo puede ser un facilitador de la resiliencia cibernética y un líder de una
cultura de conciencia cibernética.
El papel de transición del CHRO
Como ejecutivo sénior que supervisa la gestión de recursos humanos y las relaciones industriales,
el CHRO es responsable del componente humano de las personas, los procesos y la tecnología en
una organización.
Los deberes del CHRO incluyen desarrollar una estrategia de fuerza laboral y una cultura
empresarial, y atraer, hacer crecer y retener el capital humano. Muchos CHRO también son
responsables de gestionar los riesgos de seguridad y salud en el lugar de trabajo.
Desafortunadamente, la mayoría no se da cuenta de que también son responsables de los riesgos cibernéticos.
Las organizaciones se establecen para una variedad de propósitos, pero en esencia, una
organización es un grupo de personas.
Las tareas normales de recursos humanos incluyen la supervisión de la felicidad, el
compromiso, los beneficios y la compensación de los empleados, la diversidad, etc. Un
CHRO excepcional va más allá de estas tareas y busca identificar problemas no detectados,
como brechas de comportamiento o habilidades. En lo que respecta a la conciencia
cibernética, deben prescribir medidas del componente humano que aporta valor a la empresa, como el coaching.
y desarrollo profesional. En términos generales, el rol tradicional de CHRO incluye
las siguientes responsabilidades:
• Responsabilidad por los empleados. Los empleados deben ser compensados en
función del valor que brindan a la empresa, una combinación de la importancia
del trabajo y el desempeño individual del empleado. El CHRO establece dichos
parámetros.
• Evaluar indicadores clave de desempeño, asignaciones de personal y presupuestos.
El CHRO debe validar si estos son apropiados para lograr los objetivos
comerciales.
• Proporcionar pronósticos competitivos precisos y respaldar la recopilación de
datos sobre los competidores y los posibles desafíos de retención. El CHRO
debe identificar cualquier cambio en los recursos humanos de los competidores,
como cambios en los sistemas de incentivos o nuevos expertos contratados, y
los impactos asociados en la participación de mercado de una organización.
• Comparar unidades, equipos y líderes, no sólo con rivales consolidados sino
también no convencionales que puedan incorporarse al mercado.
• Identificar a los que se destacan, que normalmente aportan mucho valor a la
organización, pero que también son igualmente sensibles a los cambios en la
línea de informes, la falta de reconocimiento y la promoción sin una comunicación
y consideración transparentes, lo que los convierte en un alto riesgo de
abandonar cualquier organización.
• Trabajar en inteligencia competitiva, con insights de headhunters, prensa y
personal reclutado de otras firmas, proveedores o clientes.
Los deberes tradicionales del CHRO se desbarataron durante la pandemia de COVID19, ya
que las empresas se vieron obligadas a trabajar de forma remota. Los límites tradicionales
del lugar de trabajo se desdibujaron y las empresas se vieron obligadas a permitir a los
trabajadores la libertad de trabajar desde cualquier lugar. Esta es ahora la nueva norma, y
esto significa que los funcionarios de recursos humanos han tenido que determinar qué
funciones necesitan una instalación física, junto con los gastos asociados, y qué funciones no la necesitan.
Al comparar las principales iniciativas estratégicas para los CHRO de 2020 y 2021, este
cambio de enfoque es claro. Los CHRO ahora se enfocan en dominar a los líderes
nuevos y futuros, perfeccionar el talento de liderazgo, comprometerse con el aprendizaje
transformador y equiparse con soluciones de análisis de personas. El bienestar/salud
mental de los empleados es ahora la principal prioridad, seguida de la diversidad y la
inclusión, el desarrollo del liderazgo, la experiencia de los empleados y la gestión de
empleados remotos.
Cómo el CHRO apoya la resiliencia cibernética 107
Debido a estas preocupaciones, las prioridades del CHRO están en transición para incluir:
• Cómo obtener el talento adecuado, proporcionar un proceso de incorporación fluido y lograr la retención
a largo plazo.
• Manejar el componente cultural y los valores de una empresa.
• Apoyar a una fuerza de trabajo híbrida o completamente remota de forma continua. • Hacer cumplir la
diversidad y la inclusión. • Jugar un papel crucial en la
salud mental y el bienestar de los empleados.
La resiliencia cibernética es un componente clave de estas prioridades recién calibradas.
En la era digital, es casi seguro que el sistema de recursos humanos de una organización se digitalice
mediante un sistema interno o una plataforma de recursos humanos como servicio basada en la nube.
Esto eleva inmediatamente el rol del CHRO al de custodio de la información personal, lo que significa que
deben asegurarse de que se aplique la protección adecuada a los sistemas que utilizan.
La siguiente sección aborda varias áreas en las que el CHRO y el CISO pueden
colaborar para mejorar la resiliencia cibernética y la preparación cibernética de una organización.
Cómo el CHRO apoya la resiliencia
cibernética
Quizás el vínculo más directo entre la función de recursos humanos y la ciberseguridad se encuentra en la
capacidad de recursos humanos para ayudar a controlar las amenazas internas que enfrenta la organización.
Durante el abastecimiento, la contratación y la incorporación de candidatos, existen evaluaciones y procesos
de seguridad que el CHRO puede utilizar para ayudar a la empresa a fortalecer su resiliencia cibernética y
mitigar los riesgos cibernéticos vinculados a las amenazas internas.
Aquí hay algunos ejemplos previos y posteriores a la contratación de donde el CHRO puede apoyar esto:
Precontratación:
• En la publicación del trabajo, el proceso de recursos humanos debe indicar que se verificarán las
referencias y que es necesaria una verificación de antecedentes antes de la confirmación de la
contratación.
• El proceso de recursos humanos debe garantizar que se proporcione y firme un acuerdo de no
divulgación antes de compartir cualquier información confidencial con el candidato y debe informar
al gerente de contratación en consecuencia.
• Cuando se prepara un contrato de trabajo, el proceso de recursos humanos debe garantizar que se
incluyan cláusulas sobre privacidad de datos, confidencialidad y mejores prácticas de seguridad.
En casos excepcionales, las continuas brechas de seguridad pueden ser causa de despido en
algunas empresas.
Postcontratación:
• El proceso de recursos humanos debe garantizar que se lleve a cabo una capacitación de
concientización sobre seguridad con el personal recién contratado y, luego, al menos una vez al
año, o según las recomendaciones del CISO. En el Capítulo 11, La receta para construir una
cultura de seguridad sólida: uniéndolo todo, abordaremos la conciencia cibernética y brindaremos
más ejemplos prácticos. • El responsable de recursos humanos debe considerar una
formación específica para determinadas funciones, por ejemplo, codificación segura para desarrolladores.
• El oficial de recursos humanos o CHRO es responsable de integrar la comunicación sobre las
políticas, los procedimientos, los estándares y las pautas de seguridad de la información a todos
los empleados en los planes de comunicación de la empresa.
También son responsables de asegurar el conocimiento de esta comunicación por parte de los
empleados.
La efectividad de una política de seguridad depende de la forma en que RRHH la ejecuta. Además
de la política de seguridad oficial, que especifica las reglas y los procedimientos que el personal
debe seguir al acceder a los sistemas y activos de TI de una empresa, RR. HH. puede crear un
documento informal como parte del manual del empleado. Este documento destacaría la visión y
los puntos de vista de la empresa en lo que respecta a la seguridad.
Comunicar la importancia de seguir las mejores prácticas de seguridad aborda la pregunta de por
qué hacemos lo que hacemos y demuestra que la seguridad es importante para el crecimiento y
la sostenibilidad del negocio.
Al mismo tiempo, el documento puede dejar en claro al personal las posibles consecuencias de
infringir la política de seguridad, como daños a la reputación o incluso una demanda.
• El proceso de recursos humanos debe garantizar la recopilación de equipos, datos y activos de la
empresa, como computadoras portátiles y dispositivos móviles, incluidos teléfonos, teléfonos
inteligentes, dispositivos de memoria USB y CD/DVD, de los empleados al finalizar el contrato. El
CHRO es responsable de garantizar que los empleados despedidos no retengan ningún dato o
propiedad intelectual que hayan desarrollado durante su período de empleo. Estos activos también
incluyen métodos de control de acceso físico, como tarjetas inteligentes y tokens fob.
Cómo el CHRO apoya la resiliencia cibernética 109
Esta lista no es exhaustiva y no abordará por completo el desafío de las
amenazas internas, pero definitivamente ayudará. El CHRO tampoco debería
hacer tales cosas en un silo; más bien, debería colaborar o estar en consulta
con el CISO para identificar, desarrollar e implementar políticas apropiadas.
Las herramientas que utiliza RRHH
La mayoría de los CHRO usan tecnología para respaldar sus actividades y funciones de recursos
humanos de manera efectiva y, en algunos casos, mejorar la experiencia general de los empleados.
Las herramientas de recursos humanos son un conjunto diverso de soluciones técnicas que ayudan a las empresas
a administrar adecuadamente sus responsabilidades diarias de recursos humanos. Las tecnologías de recursos
humanos hacen uso de la automatización para ayudar a los profesionales de recursos humanos a ahorrar tiempo,
reducir gastos y administrar a su personal de manera más efectiva.
A menudo, el CHRO o su equipo obtienen y eligen estas herramientas sin evaluar la seguridad y la privacidad.
Magda (coautora de este libro) ha visto y evaluado varias herramientas de recursos humanos que carecen de la
funcionalidad de seguridad básica, como la autenticación multifactor para administradores y documentación clara
sobre las ubicaciones de almacenamiento de datos y el cifrado, todo lo cual sirve como señales de alerta de
seguridad.
Además, varias herramientas de recursos humanos ahora están disponibles utilizando el modelo
de software como servicio o son esencialmente plataformas basadas en la nube. Si bien brindan
facilidad y conveniencia, esas herramientas requieren evaluaciones iniciales adecuadas de sus
implementaciones y prácticas de seguridad, después de lo cual debe haber un reconocimiento de la
responsabilidad compartida entre los equipos de tecnología, seguridad y recursos humanos para
garantizar que las herramientas estén configuradas de manera segura y que los datos estén
adecuadamente protegidos . y seguro. La estrecha colaboración con el CISO es clave para garantizar
una elección exitosa de una herramienta de recursos humanos.
Reclutar miembros calificados del equipo de ciberseguridad
El CHRO y su equipo desempeñan un papel invaluable al identificar lo que exige un determinado puesto y analizar
de manera realista si el empleado asignado cumple con esos criterios. Dado que la combinación entre las personas
y las ocupaciones es muy importante para el éxito de una empresa (especialmente en ciberseguridad), esta
actividad es vital cuando se contrata al CISO y cuando se apoya al CISO en la creación de un equipo de
ciberseguridad competente.
Si existe una gran disparidad entre las habilidades de un candidato y los requisitos del
trabajo, esto invariablemente genera problemas para el CISO, el supervisor, los colegas y
los subordinados. Una evaluación inexacta por parte de Recursos Humanos de la integridad
o los valores de un líder amplificará los problemas culturales dentro de la organización, lo
que puede tener un impacto muy profundo en la organización para un rol como el CISO.
En Cyber Mayday and the Day After, en coautoría con Shamane Tan y Dan
Lohrmann, ex director de seguridad (CSO) del estado de Michigan, cubrieron una
historia sobre Mark Weatherford, CSO en el Centro Nacional de Ciberseguridad.
Cuando Mark era el CISO del estado de California a mediados de la década de
2000, detectó algunas señales de alerta de un nuevo CISO de una gran agencia
estatal con importantes responsabilidades de privacidad de los ciudadanos.
Después de varias interacciones, intentó comunicarse con el CISO varias veces solo para
descubrir que ya no estaban empleados en la agencia: “En su prisa por contratar a un CISO,
esta agencia publicó una descripción del trabajo, entrevistó a los candidatos y contrató a un
CISO. todo sin realizar nunca una investigación de antecedentes.
Varios meses después de contratar al CISO, una organización encargada de hacer cumplir la
ley se reunió con el jefe de la agencia y les informó que su nuevo CISO acababa de salir de
prisión después de cumplir una condena por malversación de fondos”. (fuente: Cyber Mayday
and the Day After: A Leader's Guide to Preparing, Management, and Recovery of Inevitable
Business Disruptions, Dan Lohrmann y Shamane Tan: https://www.wiley.com/WileyCDA/
WileyTitle/ productCd1119835305,descCdbuy.html)
Este es probablemente uno de los ejemplos más extremos, pero solo sirve para resaltar la
importancia de marcar todas las casillas críticas cuando se trata de contratar. Imagine el revés
para una organización por la pérdida de tiempo y recursos al tener que comenzar de nuevo en
su búsqueda de un nuevo CISO contratado, y el tiempo que le toma a un nuevo CISO ponerse
al día nuevamente y construir nuevas relaciones con el mismo negocio. ¿partes interesadas?
¿Y qué pasa con la reputación de la organización después de que su CISO anterior fuera
despedido después de un corto período de tiempo, especialmente si se descubre que la
organización no hizo la diligencia debida en el proceso de contratación?
La creación de un equipo de seguridad sólido no se trata solo de garantizar que nuestros
recursos humanos tengan las habilidades, las capacidades y la adecuación organizativa o
cultural adecuadas, sino también que ellos mismos no sean amenazas internas potenciales.
Al final de este capítulo, hemos incluido un segmento de bonificación para nuestros CISO, Un
segmento de bonificación para nuestros CISO: reclutar y construir su equipo de seguridad
cibernética, donde hablaremos más sobre este tema.
Los desafíos que enfrentan los CHRO con la ciberseguridad 111
Como la mayoría de los CEO, CRO, CFO y otros líderes de la organización, es poco probable que un CHRO
tenga experiencia en seguridad cibernética. Pero tienen tanto papel en la seguridad cibernética y la resiliencia
como otros líderes en una organización. En la próxima sección, discutiremos los desafíos que enfrentan los
CHRO, los errores que se cometen con frecuencia y las lecciones que se deben aprender.
Los desafíos que enfrentan los CHRO
con la ciberseguridad
En una de las agencias de aplicación de la ley más grandes de Australia, cuando un
empleado solicita una licencia anual, su gerente recibe una notificación automática por
correo electrónico que le pide que haga clic en un enlace incrustado para aprobar la solicitud de licencia.
Este proceso contradecía la capacitación en seguridad de la información que aconsejaba al personal que no
hiciera clic en los enlaces de los correos electrónicos. Los correos electrónicos de phishing enviados por actores
maliciosos que solicitan al personal que haga clic en enlaces a códigos o sitios web maliciosos son uno de los
métodos más comunes, simples y rentables que utilizan los delincuentes para obtener acceso a la información
corporativa.
Cuando el CISO lo identificó y se lo comunicó al departamento de TI que
administraba el sistema de información de recursos humanos, quedó claro que
los recursos humanos habían definido los requisitos y el proceso que implementaba TI.
HR se opuso a cambiar este proceso porque lo haría más difícil para los gerentes. TI se opuso a cambiar el
sistema porque habría un costo para cambiar el sistema de TI.
Durante un ejercicio de prueba de penetración, numerosos miembros del personal respondieron a los correos
electrónicos de phishing enviados por el equipo de pruebas, alentados por un proceso de recursos humanos que
había condicionado al personal a responder a los correos electrónicos que les pedían que aprobaran las
transacciones haciendo clic en un enlace.
Como miembro del equipo, el CHRO debe asumir la responsabilidad de la seguridad y asegurarse de que
los procesos de recursos humanos estén alineados y sean coherentes con las recomendaciones del CISO.
Recursos humanos debe desempeñar un papel fundamental en el proceso de gestión del riesgo cibernético.
Hai (coautor de este libro) destacó una historia publicada por ABC News (Australia) donde una investigación
realizada por la Comisión de Corrupción y Crimen llevó a un hallazgo sorprendente: se accedió a los detalles
confidenciales de toda la Fuerza de Policía de Australia Occidental (WA) en una infracción de auditoría.
Era el momento de la auditoría y un auditor de la Oficina del Auditor General solicitó ciertos documentos
a Recursos Humanos. Requerido por la Ley del Auditor General para poner a disposición todo lo que
se solicitó, entre los documentos que HR entregó al auditor había una hoja de cálculo que contenía la
PII de cada empleado de la Policía de WA, incluidos los detalles de su cuenta bancaria. Unos años
más tarde, la misma hoja de cálculo se encontró en la computadora personal del auditor en su casa
durante un registro cuando estaba siendo investigado por la Comisión de Delitos y Corrupción.
Lo que no había era un proceso en el que el auditor general pudiera ser informado de las solicitudes
anormales de los auditores.
Esta historia ilustra los desafíos que los CHRO continúan enfrentando entre la usabilidad y la seguridad,
especialmente en un entorno de trabajo remoto. Deben asegurarse de que los trabajadores tengan
acceso a la información que necesitan y puedan realizar su trabajo, al tiempo que evitan exponer datos
confidenciales o comprometer las redes y los sistemas de una empresa. El CISO y el CHRO deben
tener una discusión clara sobre las expectativas y definir el equilibrio adecuado en consonancia con el
apetito por el riesgo de la empresa.
La información personal de los empleados, no solo la información personal del cliente, se encuentra
dentro del alcance de las leyes de privacidad. Estas infracciones pueden ser costosas y su seguridad
es responsabilidad del CHRO.
Hay preguntas prácticas que puede plantear a su CHRO y profundizar en su comprensión de la
estrategia cibernética. Estas preguntas ayudarán a alinear la perspectiva y el pensamiento de su CHRO
en torno a su rol y fortalecer su colaboración con el CISO para respaldar una misión organizacional
general de mejorar la resiliencia cibernética.
Preguntas para hacerle a su CHRO
• ¿Conoce los tipos de PII e información fiscal y financiera que posee el departamento de recursos
humanos?
• ¿Qué herramienta de recursos humanos utilizamos para salvaguardar la privacidad y seguridad
de nuestros datos?
• ¿Cómo gestionamos nuestro proceso de abastecimiento, contratación e incorporación con
respecto a la privacidad y la seguridad? ¿Nuestros contratos de trabajo incluyen cláusulas de
seguridad y privacidad?
• ¿Cómo garantiza el departamento de recursos humanos que los empleados conozcan las
políticas de seguridad de la información y que las cumplan?
Un segmento de bonificación para nuestros CISO: reclutar y formar su equipo de seguridad cibernética 113
• ¿Qué actividades lleva a cabo el departamento de recursos humanos para garantizar que
su equipo de recursos humanos conozca los requisitos legales, como los Principios de
privacidad de Australia o el Reglamento general de protección de datos (GDPR)?
• ¿Qué actividades lleva a cabo el departamento de recursos humanos para proteger a los
empleados de las ciberamenazas, incluida la formación sobre ciberconcienciación?
• ¿Cómo garantizan los procesos actuales de recursos humanos que se aborden las
amenazas internas si un empleado descontento deja la organización?
Una cantidad considerable de ataques cibernéticos se han atribuido a una higiene y conciencia
cibernética deficientes. Quizás lo más preocupante es que una cantidad desproporcionada de
infracciones cibernéticas fueron el resultado de errores humanos y la falta de conocimientos de
seguridad. El paso a un trabajo más remoto significa que los empleados ya no están obligados
a trabajar en una oficina física. Este cambio trae riesgos cibernéticos nuevos y emergentes a la
fuerza laboral, pero también presenta muchas oportunidades.
También significa que el papel del CHRO en la resiliencia cibernética de una organización es
clave para el éxito del negocio.
Un segmento de bonificación para nuestros
CISO: reclutar y desarrollar su equipo
de seguridad cibernética
A medida que la superficie de ciberataques de una organización continúa creciendo, se vuelve
más compleja con el panorama de amenazas en constante evolución. Como resultado, el CISO
necesita construir un equipo capaz para respaldar su estrategia de seguridad. El CHRO y el
equipo de RRHH deben ser colaboradores importantes en este esfuerzo.
Todos los CISO deben comprender el desafío de intentar contratar para uno o más
roles de seguridad cibernética mientras se aseguran de no pasar por alto los
requisitos fundamentales y no negociables de los roles. El CISO debe elegir los
perfiles correctos para los puestos correctos, pero no crear un rol que no se pueda cubrir.
La contratación de profesionales de ciberseguridad calificados, experimentados y confiables es
fundamental para el éxito de cada equipo de seguridad.
Algunos CISO contratan a partir de las redes sociales y de sus propias redes. Mientras esto
puede tener mucho éxito si la empresa es conocida por su buena cultura, sin duda no es
suficiente si hay más de un rol para cubrir.
La siguiente lista identifica algunos puntos importantes a considerar:
• Alinee sus expectativas con perfiles que complementen sus habilidades, ayudándole a
abordar brechas significativas con respecto a los riesgos cibernéticos a medida que
construye el equipo: Abordar las posiciones críticas primero fortalecerá su credibilidad
y respaldará sus actividades y estrategia.
La figura 6.2 proporciona un ejemplo de cómo algunos CISO han construido sus
equipos con diferentes especializaciones verticales que son complementarias.
Figura 6.2: ejemplo de una estructura de equipo de seguridad
cibernética Es casi seguro que los profesionales de seguridad cibernética más
inteligentes y brillantes ya están empleados por otra empresa. Es posible que el
CISO deba ser más proactivo al trabajar con una agencia de búsqueda de talentos
para roles más críticos y sensibles al tiempo.
• Cambiar los requisitos cuando un puesto no se ha cubierto durante cuatro a seis
meses: Magda descubrió que podía atraer los recursos adecuados cuando decidió
ampliar su búsqueda y miró diferentes mercados.
Con el trabajo remoto, puede contratar a casi cualquier persona en cualquier lugar.
Necesita el perfil de empleado adecuado, no alguien sentado físicamente en un
escritorio. Si bien esto puede parecer difícil, también puede ser una oportunidad
para que muchas empresas se diversifiquen.
Con los eventos Cyber Risk Meetup (www.cyberriskmeetup.com ) que Shamane
organiza a nivel internacional, también ha visto una miríada de personas brillantes y
motivadas que han sido muy eficaces en sus funciones de seguridad, a pesar de
provenir de entornos poco convencionales.
Un segmento de bonificación para nuestros CISO: reclutar y formar su equipo de seguridad cibernética 115
• Considere los programas de conversión de carrera y haga planes a largo plazo para
la capacitación: existe una brecha de habilidades en seguridad cibernética. es
una realidad En lugar de buscar un perfil perfecto con todas las certificaciones,
el CISO puede contratar a alguien sin la formación técnica esperada y capacitarlo.
Estas habilidades se pueden enseñar. La actitud, por desgracia, no puede.
Centrarse en las personas que están listas para aprender y mejorar lo ayudará a
aprovechar un nuevo grupo de talentos excepcionales que estarán más
interesados en su empresa, y puede brindarles oportunidades para avanzar.
• Busque habilidades en lugar de solo un título: específicamente en ciberseguridad,
muchos grandes piratas informáticos son autodidactas. No limite su grupo de
candidatos. Uno de los errores más comunes que cometen las empresas cuando
contratan es despedir automáticamente a las personas que no tienen el título o
las certificaciones requeridas.
• Colabore con su CHRO para preparar y publicar una descripción de trabajo
adecuada: Obtener la descripción de trabajo correcta es una de las tareas más
desafiantes en el reclutamiento de seguridad cibernética. A menudo, es posible
que las organizaciones ni siquiera tengan el título de trabajo correcto, lo que hará
que las personas calificadas lo pasen por alto. Esta es el área de especialización
del equipo de CHRO y HR. Aprovéchate de ello.
• Busque ayuda: A veces, simplemente no tiene el tiempo o los recursos para
encontrar a los mejores talentos. Se necesita tiempo para construir relaciones y
asistir a eventos de networking. Contratar a un reclutador que esté dispuesto a
dedicar tiempo y esfuerzo para identificar al mejor candidato para un trabajo
podría ahorrarle tiempo a su empresa a largo plazo. Busque una empresa que se
especialice en el reclutamiento de ciberseguridad.
Los reclutadores que no hablan el idioma de la ciberseguridad o que no están
familiarizados con la competencia que necesita no obtendrán los mismos
resultados que una empresa de reclutamiento especializada en ciberseguridad.
Esto se ha convertido en un desafío de contratación global, y es importante que
la contratación de seguridad cibernética sea reconocida por sus necesidades
únicas, que son diferentes de otros tipos de contratación laboral; una estrecha
colaboración con su CRHO es una necesidad.
Cada empresa es diferente y el CISO es dueño de su estructura de equipo. Asociarse
con CHRO o HR generará un mejor resultado y lo ayudará a reunir el equipo de seguridad
cibernética que necesita.
Resumen
Tradicionalmente, TI decidía qué sistemas de TI debían y no debían usar los empleados,
y Recursos Humanos se aseguraba de que los empleados recibieran información y
capacitación relacionadas con las políticas para mantener un uso adecuado de los sistemas de TI.
Cuando se determina que los empleados no han cumplido con estas políticas, Recursos Humanos
estaría involucrado en una acción disciplinaria o terminación del empleo.
El riesgo cibernético se presenta de muchas formas y, si no se trata, puede provocar el fracaso
comercial, el robo de datos o la pérdida de datos. Hoy en día, con la introducción de más
legislación relacionada con la cibernética en todo el mundo, el uso generalizado de la tecnología
y el trabajo remoto significa que el CHRO debe respaldar una sólida cultura corporativa de
ciberseguridad, lo que requiere la colaboración con la función de ciberseguridad en la organización.
Debemos recordar que la información existe como un activo dentro de las personas, no solo en
los sistemas informáticos o en forma física.
En este capítulo, establecimos cómo un CHRO puede tomar la iniciativa en la gestión del
comportamiento de los empleados y abordar los componentes de personas y procesos de la
tríada de personas, procesos y tecnología. El CHRO tiene un papel importante que desempeñar
en el apoyo al programa de seguridad cibernética y la cultura de conciencia cibernética de una
organización, algo que solo se puede lograr a través de una estrecha colaboración entre los
equipos de recursos humanos y seguridad.
A la luz de los desafíos actuales de seguridad cibernética, es decir, las amenazas internas y la
escasez de habilidades de seguridad cibernética, los propios profesionales de recursos humanos
enfrentarán otros desafíos en toda la organización que no se tratan en este capítulo, como
amenazas externas (por ejemplo, piratas informáticos malintencionados), vulnerabilidades de
software y redes sociales. ingeniería.
En el próximo capítulo, examinaremos el papel del director de operaciones (COO),
abordando sus contribuciones críticas a la resiliencia cibernética, así como
estableciendo cómo pueden trabajar junto con el CISO para la continuidad del negocio.
7
El director de operaciones y
Su papel fundamental en la
resiliencia cibernética
En los capítulos anteriores, discutimos varios roles y responsabilidades de
ejecutivos de nivel C (CxO) . Este capítulo analiza otro ejecutivo crítico en su
equipo: el director de operaciones (COO). El COO es el ejecutivo principal
responsable de gestionar las actividades administrativas y operativas del día a
día . Por lo general, el director de operaciones informa directamente al director
ejecutivo (CEO) y, a menudo, es el segundo al mando del director ejecutivo.
No es raro que el director de operaciones administre las operaciones internas de una
empresa mientras que el director ejecutivo actúa como su rostro público, manejando todas
las comunicaciones externas . Como resultado, el director de operaciones debe ser analítico
y poseer sólidas habilidades de gestión, comunicación y liderazgo. Y como segundo al
mando, el director de operaciones naturalmente desempeña un papel similar al del director
general en lo que respecta a sus responsabilidades de ciberseguridad.
El director de operaciones debe involucrar de manera proactiva a los empleados de toda la
organización para abordar los problemas de seguridad cibernética, desempeñando el papel de
facilitador y partidario del director de seguridad de la información (CISO). Parte de una
estrategia de ciberseguridad eficaz es la detección, la respuesta y la recuperación. Las pruebas
periódicas permiten que el COO y el CISO descubran y corrijan problemas, modifiquen
procedimientos y vuelvan a capacitar a las personas según sea necesario para garantizar la
preparación para cuando ocurra un ataque cibernético. Esta preparación es fundamental para
evitar interrupciones comerciales significativas, parálisis de actividades e incluso daños físicos.
118 El director de operaciones y su papel fundamental en la resiliencia cibernética
Por lo tanto, en este capítulo, cubriremos los siguientes temas:
• Comprender el papel del COO
• Por qué el COO debería preocuparse por la ciberseguridad
• Dónde está la línea entre el COO y el CISO en términos de
responsabilidad de la continuidad del negocio
• Tecnología operativa y ciberseguridad: una necesidad en el mundo actual
mundo
• Gestión del plan de continuidad del negocio: lo que se debe y lo que no se debe hacer •
Preguntas para hacerle a su director de operaciones
Comprender el papel del COO
En una organización moderna, los directores de operaciones están en el centro de la interacción
con el consumidor, las tecnologías innovadoras, el desarrollo corporativo, el liderazgo y la estrategia.
A menudo, asumen un papel activo en la sala de máquinas de la organización, mientras que el
director general gestiona la imagen y la marca externa de la organización.
El uso de tecnología con automatización y monitoreo por parte del COO en
apoyo de sus prioridades ha optimizado en gran medida su conciencia organizacional.
Esta optimización les ha permitido volver a centrar su atención en el valor de los datos y cómo las
empresas los utilizan para ayudar en la toma de decisiones e impulsar la mejora continua.
El uso de técnicas de ciencia de datos e inteligencia artificial ha proporcionado resultados
significativos en la detección de fraudes, pronóstico de tendencias de consumo, marketing y
transmisión y análisis de datos. Por ejemplo, la adopción de un chatbot bien diseñado que pueda
responder a las consultas de los clientes, dirigir a los consumidores a los productos y servicios
apropiados e incluso ayudar a realizar pedidos reducirá los gastos de una organización en su
centro de llamadas. Este es un gran ejemplo de cómo la tecnología puede descubrir ventajas
extraordinarias para los directores de operaciones al permitirles reducir gastos mientras mejoran
el servicio al cliente.
Como resultado, los directores de operaciones pueden reenfocar sus prioridades, con más énfasis
en salvaguardar la empresa mientras aumentan su resiliencia para sobrevivir mejor y tal vez incluso
beneficiarse de los impactos del mercado y las variaciones en la demanda comercial como parte
de su estrategia comercial.
Por qué el COO debería preocuparse por la ciberseguridad 119
La preocupación inmediata aquí es la expansión masiva de la adopción tecnológica.
Como se indica a lo largo de este manual, si bien la adopción de nueva tecnología es una
ventaja significativa, la tecnología también aumenta la exposición cibernética de una
organización , lo que podría generar cambios en las actividades comerciales, prioridades
o incluso interrupciones operativas debido a un incidente cibernético de nivel de crisis.
Esto debe ser una prioridad del COO.
El director de operaciones debe desempeñar un papel en el desarrollo de planes sólidos de
continuidad del negocio y recuperación ante desastres con planes detallados de respuesta a
incidentes cibernéticos. Esto incluye apoyar al CISO en las fases de detección, respuesta y
recuperación. El COO debe tratar los riesgos cibernéticos como riesgos comerciales, al igual
que todos los CxO de la organización. Como resultado, esto puede requerir que den un paso
atrás para considerar una visión holística de todas las áreas operativas para garantizar que
la adopción de nuevas tecnologías no empuje el riesgo comercial de una organización más
allá de su apetito por el riesgo. Un director de operaciones experimentado debería poder
distinguir entre la resiliencia operativa como estrategia ofensiva y la planificación de la
continuidad del negocio y la respuesta ante desastres como estrategia defensiva, así como
por qué es fundamental cambiar de una a otra rápidamente.
La consideración de los riesgos cibernéticos y la resiliencia operativa requiere que el COO
se mantenga actualizado sobre las amenazas y comunique estos problemas con otros CxO
o la junta o los directores. La comunicación efectiva necesita equilibrar
entre el apetito de riesgo de la organización por las amenazas cibernéticas y las iniciativas
estratégicas de ciberseguridad.
La siguiente sección describe la importancia de la ciberseguridad para el COO y cómo encaja
con sus prioridades.
Por qué el COO debería preocuparse por
la ciberseguridad
El COO es responsable de las operaciones continuas de una empresa frente a diversos
desafíos, que incluyen recesiones económicas, cambios tecnológicos y de procesos, y
catástrofes naturales, entre otros. Cuando se trata de preocupaciones de riesgo corporativo,
los directores de operaciones experimentados son maestros en el manejo de riesgos
planificados y no planificados. Esto debe incluir el riesgo cibernético como un riesgo comercial.
Dadas las responsabilidades del COO (gestión de proveedores, recursos humanos,
desarrollo de operaciones, diseño y producción, entre otras cosas), alfabetización en
seguridad cibernética, particularmente en lo que respecta a la continuidad del negocio, desastres
la recuperación y la planificación y ejecución de la respuesta a incidentes es fundamental. Es
necesario comprometerse con el CISO para comprender y definir mejor los escenarios
cibernéticos que podrían interrumpir las operaciones comerciales, de modo que el COO esté
preparado para enfrentarlos de frente en caso de que ocurra un incidente.
Para lograr esto, el COO debe colaborar y comunicarse con el liderazgo de
seguridad cibernética de la empresa para garantizar que los escenarios de riesgo
cibernético se incorporen en la estrategia operativa general. Si bien el CISO de
su organización es el responsable final de diseñar planes de respuesta a incidentes
cibernéticos, sus planes se incorporan a su Plan de continuidad comercial (BCP),
que se analizará más adelante en este capítulo.
Por último, un buen COO debe estar al tanto de los eventos actuales en el área de
ciberseguridad y tener en cuenta las amenazas más recientes que pueden afectar las
operaciones de una empresa. La respuesta y recuperación cibernética requiere que el
director de operaciones haga preguntas difíciles, como "¿Me he preparado a mí y a mi
negocio para un incidente cibernético y para la recuperación posterior?"
Puede parecer que las líneas de responsabilidad entre el COO y el CISO son borrosas,
ya que ambos deben centrarse en la continuidad del negocio. Con ese fin, debemos
identificar la línea entre las responsabilidades del COO y del CISO.
Donde está la línea entre el
COO y CISO en términos de
responsabilidad por la continuidad del negocio
La responsabilidad principal del director de operaciones es garantizar que una empresa
funcione sin problemas y que los gastos operativos se mantengan bajo control. Según un
informe de Fortinet de 2019, el 78 % de los directores de operaciones dicen que están a
cargo de proteger los procedimientos operativos (consulte la página 3 de https://
www.fortinet.com/ content/dam/fortinet/assets/analystreports/report cooand
cybersecurity.pdf). Esto requiere que el COO reconcilie las crecientes obligaciones de
seguridad con las tareas operativas convencionales. Como tal, los COO deben colaborar
con el CISO y otros ejecutivos de seguridad para proteger todas las operaciones y
actividades comerciales de las ciberamenazas.
Tecnología operativa y ciberseguridad: una necesidad en el mundo actual 121
Comprender el riesgo cibernético como un riesgo empresarial, desarrollar estrategias de respuesta
y responder rápidamente cuando ocurre un evento son todas las cosas que un COO puede hacer
para proteger una empresa. Una infracción es inevitable, independientemente de lo bien preparada
que esté una organización.
Las empresas rara vez actualizan sus planes de continuidad comercial durante
años, lo que les permite volverse obsoletos e irrelevantes para los riesgos
cibernéticos actuales y emergentes. Un área clara de colaboración entre el COO y
el CISO es la integración de la respuesta a incidentes cibernéticos en los planes de
continuidad del negocio. No es raro que los BCP presenten consideraciones de
daños físicos y desastres de TI, pero esto no es lo mismo que incluir escenarios de ataques cibernéticos
El primero es reactivo y el segundo es proactivo. El COO y el CISO deben adoptar un enfoque
proactivo de la ciberseguridad y la resiliencia. Sin embargo, la responsabilidad final recae en el
COO.
A menudo, la ciberseguridad aborda la tecnología de la información tradicional y
no se centra en la tecnología operativa (OT). OT sigue siendo crítico y requiere
un enfoque de seguridad dedicado, ya que sus prioridades y desafíos son
diferentes. Discutimos eso a continuación.
Tecnología operativa y
ciberseguridad: una necesidad en el
mundo actual
OT es una categoría de sistemas informáticos y de comunicación que administra, supervisa y
controla las operaciones industriales, centrándose en los dispositivos físicos y los procesos que
utilizan. Las plantas de fabricación, las redes eléctricas, los servicios públicos de agua, la extracción
de petróleo y gas, el transporte y otras instalaciones utilizan OT para monitorear y administrar las
operaciones y las actividades de producción.
Si bien la integración de la ciberseguridad en las operaciones comerciales puede parecer sencilla
para la mayoría de las industrias, los directores de operaciones de OT tienen más en juego, con el
riesgo de grandes interrupciones y problemas de seguridad causados si existen silos entre las
diferentes operaciones y la ciberseguridad.
Los directores de operaciones están lidiando con niveles de cambio sin precedentes, debido a la
convergencia de OT/TI y la expansión de sus roles para administrar el riesgo cibernético; tales
preocupaciones de gestión de riesgos desafían a los directores de operaciones significativamente
más que cualquier otro componente de riesgo. Al mismo tiempo, los CISO están ampliando su
participación en la ciberseguridad de OT.
OT ha dependido durante mucho tiempo de hardware y software diseñados expresamente
para aplicaciones industriales. En consecuencia, las infraestructuras de OT y TI se han
tratado tradicionalmente como entidades diferentes, tanto físicamente como en términos
de administración. Muchas redes OT no están segmentadas, con una combinación de
protocolos de producción, activos no identificados y dispositivos más antiguos. Algunos
tienen enlaces inseguros a redes corporativas/TI, mientras que otros están completamente
desconectados de Internet.
Cada vez más entornos OT se abren al mundo exterior. El uso de la tecnología para
mejorar la productividad y ofrecer soporte remoto a los sitios de OT es un cambio de juego
para los sectores de minería, fabricación, transporte y logística , entre otros. Sin embargo,
proporcionar dicho acceso introduce nuevos riesgos cibernéticos a la infraestructura de
OT y los expone a innumerables amenazas cibernéticas heredadas y bien definidas. El
impacto de un ciberataque en una fábrica o en una red eléctrica puede variar desde una
simple interrupción hasta un evento catastrófico que podría provocar la pérdida de vidas.
Magda (coautora de este libro) señala que los principales eventos de ransomware que
han afectado a las plantas de fabricación en Asia durante los últimos dos años han
causado grandes interrupciones, lo que ha provocado pérdidas financieras de millones de
dólares.
Dado que los departamentos de OT y TI de muchas empresas aún están separados, es
lógico que el COO colabore con el CISO e integre sus estrategias de riesgo cibernético en
el plan operativo comercial, así como también con el BCP.
Los planes sólidos de continuidad del negocio son vitales para una organización en caso
de un incidente cibernético. La siguiente sección describe lo que se debe y lo que no se
debe hacer al crear y administrar BCP.
Gestión del plan de continuidad del
negocio: lo que se debe y lo que no se debe hacer
El camino hacia la recuperación para las organizaciones después de un evento cibernético
catastrófico suele ser largo y desafiante. Cuando surgen circunstancias inesperadas,
ponen a prueba a los buenos líderes. Los ejecutivos de cualquier organización,
encabezados por el CEO y el COO y en colaboración con el CISO, deben poder adaptarse
a los rápidos cambios en la ciberseguridad actual.
Las iniciativas de lugares de trabajo seguros, los programas de bienestar de los empleados y los
procedimientos de continuidad comercial son ejemplos de planes que deben prepararse para cuando
suceda lo inevitable. Los directores de operaciones deben encontrar soluciones para mantener el negocio
Gestión del plan de continuidad del negocio: lo que se debe y lo que no se debe hacer 123
resiliencia, o arriesgarse a las consecuencias de no poder recuperarse de ella.
Incluso un ataque de ransomware relativamente simple ha costado a las organizaciones millones
de dólares, de los cuales algunas organizaciones nunca pueden recuperarse.
El COO debe, sin embargo, primero educarse como líder. El miedo o la incertidumbre pueden
conducir a elecciones emocionales, lo que lleva a malas decisiones.
¡La continuidad del negocio y la recuperación ante
desastres no deben fallar!
Todos hemos oído hablar del dicho "Nada es seguro en la vida, excepto la muerte y los impuestos",
pero en la era digital, ser el objetivo del delito cibernético se está convirtiendo rápidamente en una
certeza. Independientemente de lo que prometan los proveedores de seguridad, los controles de
seguridad preventivos y de detección para mitigar los ataques cibernéticos nunca son 100 por
ciento efectivos. Para minimizar el impacto que un ataque puede tener en el negocio, las prácticas
de continuidad del negocio y recuperación ante desastres deben probarse continuamente y
actualizarse regularmente para mantener la resiliencia.
En los últimos años, muchas organizaciones han sufrido interrupciones prolongadas en sus
sistemas y operaciones comerciales debido a incidentes cibernéticos relacionados con el cifrado
de sistemas críticos o demandas de ransomware. Estas organizaciones descubrieron que sus
prácticas de continuidad comercial no estaban preparadas para hacer frente a las interrupciones
tecnológicas a gran escala que, en la mayoría de los casos, requerían la reconstrucción de todo
su ecosistema tecnológico.
El gigante naviero Maersk es uno de esos ejemplos. Tuvieron que reinstalar toda su infraestructura debido a la
infección de NotPetya. Estuvieron sin TI durante diez días y los barcos que transportaban entre 10 000 y 20 000
contenedores ingresaban a los puertos cada 15 minutos. Durante estos diez días, tuvieron que instalar 4000
servidores nuevos, 45 000 PC nuevas y 2500 aplicaciones de software, lo que fue un esfuerzo heroico dentro de
ese período de tiempo (ver https://www.itnews.com.au/ news/maersktuvoquereinstalartodoslossistemas
después de notpetyainfection481815).
Ante la falta de disponibilidad de todos los sistemas tecnológicos simultáneamente, las
organizaciones deben planificar los requisitos de recursos, logística, comunicación, contención y
reconstrucción antes del evento. Diez días de interrupción pueden parecer insondables; imagine
el impacto en las operaciones comerciales si las interrupciones del sistema duran meses porque
la organización no ha planificado tal evento.
Tener un plan es solo la mitad de la batalla. Debe ser probado y vuelto a probar.
Las organizaciones deben ejecutar simulaciones y ejercicios de simulación para asegurarse
de que cuando llegue el momento (y no si) todos conozcan su función y los procesos que
deben seguirse. No se puede permitir que los planes de continuidad del negocio y
recuperación ante desastres fracasen, y estar preparado es clave en esto.
¿Cómo es un buen BCP?
En las fuerzas armadas, el espíritu de entrenamiento y ejecución está integrado en sus
planes de continuidad de operaciones. Hay un dicho militar famoso que dice: No se
intercambian tarjetas de visita durante una crisis. Esto es especialmente relevante para el
BCP de una organización, ya que la organización siempre debe planificar con anticipación
para saber qué se debe hacer. La planificación en sí misma no es suficiente; debe haber
responsabilidades claramente definidas para cada rol, que luego se practican para infundir familiaridad.
Construir un BCP completo toma tiempo, especialmente cuando se trata de
identificar los recursos apropiados necesarios, junto con la participación de socios
externos . Un muy buen punto de partida es pensar en los escenarios posibles
más probables y relevantes y luego construir un plan de acción en torno a ellos.
Otro atributo de un buen BCP es que se compara con organizaciones similares
en la misma industria. Existe una idea errónea común de que hablar con un
competidor sobre la continuidad del negocio plantea un conflicto de intereses.
Esto es infundado ya que estos puntos de referencia y discusiones cubren aspectos no
competitivos de un negocio. Las organizaciones que se comunican de manera proactiva y
aprenden unas de otras estarán mucho mejor preparadas.
La metodología
La continuidad del negocio y la planificación de la recuperación ante desastres en torno a
peligros físicos como incendios, desastres naturales y robos son fundamentales para las
operaciones comerciales en muchas organizaciones. Muy pocas organizaciones cuestionan el
valor de crear planes de evacuación de emergencia y ensayar esos planes anualmente (o con
más frecuencia); sin embargo, la mayoría de las organizaciones rara vez sufren un desastre
físico. Por el contrario, la probabilidad de que una organización sea blanco de un ciberataque
es muy alta (cuando, no si), pero muchas organizaciones aún no cuentan con planes
actualizados de continuidad del negocio y recuperación ante desastres de Tecnologías de la
Información y la Comunicación (TIC) para hacer frente a estas amenazas. mucho menos
planes que han sido probados y ensayados adecuadamente.
No hay duda de que una organización que puede continuar con las operaciones
comerciales mientras está bajo un ataque cibernético, promulgar su plan de recuperación
y reducir el impacto general del ataque está en una posición mucho mejor que una
organización con políticas de seguridad y herramientas de seguridad cibernética pero sin
un efectivo. plan de continuidad del negocio y recuperación ante desastres.
Andy Chauhan, ex CISO de Ausgrid, la distribuidora de electricidad más grande del
costa este de Australia, destacó algunos puntos clave que las organizaciones deben
considerar al evaluar su preparación para la continuidad del negocio:
1. Antes de un evento de BCP: la planificación de un evento de BCP es clave. Las
organizaciones deben planificar con anticipación para saber qué se debe hacer.
La clave para un buen plan es comprender los siguientes aspectos:
A. ¿ Qué sistemas son importantes/críticos para que opere el negocio? Dadas las
limitaciones de tiempo, recursos y logística, se debe priorizar la recuperación
de los sistemas. Las organizaciones suelen hacer esto a través de una
Evaluación de impacto comercial (BIA), que evalúa la prioridad de las
funcionalidades comerciales, como el efecto de la reducción de las operaciones
en la economía global (funciones de comercio internacional), país (servicios
de telecomunicaciones), sector transversal (suministro de electricidad y
sistemas de distribución), industria, toda la organización (sistemas de
colaboración, sistemas financieros) y niveles divisionales.
B. ¿ Qué se requiere para proteger y recuperar los sistemas críticos?
Esto incluye controles preventivos como controles antiransomware,
segregación de copias de seguridad, controles de aislamiento o toda una
gama de controles cibernéticos que protegen los sistemas vitales para que no
sean violados o comprometidos. Si bien los controles de prevención son
importantes, es posible que, sin embargo, no sean completamente efectivos.
Por lo tanto, se debe diseñar e implementar un conjunto sólido de controles
de monitoreo/detección y recuperación.
C. ¿ Qué recursos, tanto internos como de la cadena de suministro, se requieren
para ejecutar el plan? Estos incluyen personas, equipos (especialmente si la
reconstrucción de sistemas se convierte en la única opción), acceso a socios
especialistas para recuperar y reconstruir sistemas y negociar demandas de
rescate. Las agencias de aplicación de la ley estatales y federales también
deben participar, dependiendo de la naturaleza del evento.
D. ¿Qué cobertura de seguro está disponible? ¿El seguro cubre la recuperación
de los costos de los sistemas y las pérdidas financieras del impacto en las
operaciones comerciales? Por lo general, los proveedores de seguros
cibernéticos ahora también tienen un panel de proveedores especialistas que
pueden contratarse para ayudar con las actividades de recuperación.
E. ¿Se han creado planes detallados de recuperación y respuesta (llamados
guías)? Un manual detallado de recuperación paso a paso generalmente cubre
quién hace qué en la primera hora de un incidente, el primer día, la primera
semana, etc.
F. ¿ Se han probado los planes de recuperación y respuesta? Hay un dicho de
Vince Lombardi que “la práctica no hace la perfección.
Sólo la practica perfecta hace la perfección." La práctica perfecta de su BCP
requiere que sus ejecutivos y junta directiva ensayen periódicamente el BCP.
G. ¿ Cómo se gestionarán las comunicaciones con las partes interesadas, los
clientes y los socios de la organización? En un evento de BCP, la comunicación
efectiva con los medios y las partes interesadas puede tener un impacto
significativo en el precio de las acciones de una organización. Qué comunicar,
cuándo comunicarlo y con quién debe planificarse de antemano. La
comunicación debe ser liderada por la organización durante el evento para
que la narrativa se pueda gestionar de manera efectiva.
H. ¿ Cuál es la estructura de gobierno de un evento BCP o un evento de crisis? La
mayoría de las organizaciones que se han visto afectadas por incidentes
relacionados con el clima (como incendios forestales, tormentas o inundaciones)
cuentan con una estructura de gobierno bien organizada y probada. La junta
debe participar en las decisiones críticas, como si pagar una demanda de
rescate y las implicaciones de hacerlo.
2. Durante un evento BCP: una vez que se haya creado su plan de continuidad
comercial, debe probarse y ensayarse con regularidad. Un error común que
cometen muchas organizaciones al crear un BCP es suponer que la empresa
puede volver a los procesos manuales sin probar si los recursos humanos o las
habilidades pueden hacerlo.
Se podría argumentar que si el negocio no sobrevive porque no pudo mantener la
continuidad del negocio, la recuperación ante desastres no tiene sentido. The
Heritage Company, una empresa de telemercadeo con sede en EE. UU., fue uno
de esos ejemplos; después de más de 60 años en el negocio, la empresa tuvo que
cerrar sus operaciones definitivamente luego de un ataque de ransomware
paralizante.
Todavía puede haber incógnitas que surjan durante un evento de BCP, a pesar de la
planificación adecuada y las pruebas periódicas. Todos los aspectos del plan deben
probarse exhaustivamente para determinar su sostenibilidad durante un evento cibernético.
Si el incidente es un evento de ransomware, entonces la organización debe considerar
cómo atender la fatiga del personal y crear una lista de personal sostenible, teniendo
en cuenta el bienestar del personal. A veces, ciertos equipos pueden no estar
disponibles o pueden tener plazos de entrega, o puede descubrirse que las suposiciones
sobre los recursos, los sistemas y el tiempo requerido para la recuperación eran
incorrectas. La organización necesita entonces una estructura de gobernanza/
escalamiento para gestionar tales problemas.
3. Después del evento: lo más probable es que volver a la normalidad pueda llevar meses.
¿Cuáles son, entonces, los arreglos, roles y responsabilidades provisionales mientras
tanto? Otro ejercicio crítico que debe llevarse a cabo es una Revisión posterior al
incidente (PIR). Un PIR permite la retroalimentación y el refinamiento de los procesos,
libros de jugadas, planes y declaraciones de impacto para eventos futuros.
Cuando se habla de la continuidad del negocio, es imperativo comprender también la
recuperación ante desastres. En la siguiente sección, abordamos la diferencia entre la
continuidad del negocio y la recuperación ante desastres, y el papel del director de operaciones en cada uno.
Planificación de la recuperación ante desastres Una vez
que se ha creado, probado y ensayado un plan eficaz de continuidad del negocio, ahora debe
mantenerse. Esto permite que el enfoque cambie a la planificación de la recuperación ante
desastres. Donde un BCP se enfoca en continuar las operaciones comerciales, la planificación
de recuperación ante desastres se enfoca en restaurar los sistemas de TIC y los activos de
información a cómo estaban antes del desastre. Si la planificación de la continuidad del negocio
se compara con el plan para evacuar al personal a otra ubicación y seguir trabajando mientras
el departamento de bomberos apaga el fuego, entonces la planificación de la recuperación ante
desastres es como reconstruir el edificio y su contenido lo más cerca posible del estado original.
La mayoría de las organizaciones tienen un proceso de respaldo de datos razonablemente bien establecido.
Sin embargo, muchas organizaciones fallan en la planificación de la recuperación ante desastres
debido a la falta de pruebas periódicas para garantizar que realmente funcione cuando los datos
deben restaurarse. Una empresa de tecnología financiera que sufrió un ataque de ransomware
en el sur de Australia durante el COVID19 tenía una copia de seguridad de sus datos, pero
descubrió durante la crisis que su software interno personalizado no estaba respaldado. Esto
significó que perdieron su software y no pudieron usar la copia de seguridad.
datos para restaurar las operaciones comerciales. Terminaron reescribiendo su software
durante muchos meses, mientras procesaban millones de transacciones financieras a
mano en el ínterin. Pruebe, vuelva a probar, perfeccione y actualice, y vuelva a probar.
Otra falla en la planificación de la recuperación ante desastres es mantener copias de los planes
de recuperación ante desastres y continuidad del negocio (que pueden incluir procedimientos y
configuraciones) en los mismos sistemas de TIC que están en riesgo de sufrir un ataque cibernético.
Si los ciberdelincuentes obtienen acceso a sus planes de recuperación ante desastres, también pueden
encontrar formas de interrumpirlos.
Prueba, prueba, prueba. ¿Mencionamos que su
plan debe ser probado?
Hay un dicho común que dice que “la práctica hace al maestro”. Una vez que se completa
el BCP , el siguiente paso es ensayarlo y probarlo. Un ejercicio de simulación de recorrido
que involucre a todos los que tienen un papel en la ejecución del plan es fundamental.
La mejor práctica de su BCP requiere que sus ejecutivos y la junta directiva participen en el ejercicio
real. Cuando su directorio está involucrado en el proceso, habrá menos dudas sobre sus roles en caso
de que el negocio se viole o aparezca en los titulares de los medios después de un incidente. Su
participación en las pruebas aumenta su confianza en el plan y la ejecución real del plan en caso de un
ciberataque. Como resultado, esto fortalece la capacidad de la organización para recuperarse
rápidamente. Las empresas con más visión de futuro invierten tiempo en realizar estos ejercicios y
brindan capacitación sobre lo que se espera de arriba hacia abajo, y se comprometen a mejorar sus
BCP con simulacros continuos.
Preguntas para hacerle a su COO
La siguiente es una lista de preguntas para hacerle a su COO sobre cómo incorporan la ciberseguridad
en la planificación de sus operaciones comerciales:
• ¿Cómo considera la ciberseguridad en sus operaciones? • ¿Cubre OT (aplicable
solo a industrias específicas)?
• ¿Quiénes son sus principales interesados?
• ¿Mantiene reuniones recurrentes con el CISO? • ¿Ha integrado un
plan de respuesta a incidentes cibernéticos en su BCP y recuperación ante desastres (DR)?
Resumen 129
Resumen
Este capítulo proporcionó visibilidad sobre las prácticas comunes que podrían obstaculizar la
resiliencia cibernética de una organización. Enumeramos las responsabilidades generales del
director de operaciones y abordamos los desafíos para ellos en torno a la continuidad del
negocio y la respuesta a incidentes. Identificamos prioridades operativas que se implementan
para eventos de crisis importantes más tradicionales y mostramos la necesidad de cambiar las
prioridades hacia los ataques cibernéticos y las interrupciones importantes debido a amenazas
o ataques como el ransomware.
El director de operaciones impulsa la sostenibilidad y la resiliencia del negocio al
adaptarse a los riesgos nuevos y emergentes y al realizar los cambios necesarios en
sus prácticas tradicionales . Estos cambios aumentarán con el tiempo debido a la
adopción generalizada de la tecnología y el cambio al trabajo remoto. Esto destaca la
necesidad de cambiar y evolucionar mientras se construye una colaboración sólida y
transparente con el CISO y otras partes interesadas.
En el próximo capítulo, analizamos al director de tecnología y lo que
se requiere de él como resultado del tsunami tecnológico actual.
8
El CTO y
Seguridad por diseño
El Director de Tecnología (CTO) es un ejecutivo que maneja los
requisitos técnicos y la investigación y desarrollo (I+D) de una organización.
El CTO a menudo informa directamente al Director de Información (CIO) ,
pero en algunas organizaciones puede informar al Director Ejecutivo (CEO).
El CTO también es responsable de supervisar el desarrollo de tecnología para los
clientes de la empresa y puede manejar las operaciones internas de TI para empresas
más pequeñas que no tienen CIO.
Al trabajar con sus CTO, es útil comprender sus prioridades, los posibles conflictos de
intereses con el director de seguridad de la información (CISO) y la importancia de la
seguridad por diseño y la codificación segura para el rol del CTO en la ciberseguridad.
• El papel del CTO
• Por qué el CTO debería preocuparse por la ciberseguridad •
Cómo el CTO se convierte en un aliado de la seguridad
• Codificación segura y desarrollo de software seguro
• Conflictos de interés y colaboración entre CTO y CISO
• Preguntas para hacerle a su CTO
132 El CTO y la seguridad por diseño
El papel del CTO
El CTO supervisa y controla los componentes de TI de una empresa y, al mismo tiempo, se enfoca
en las futuras demandas de tecnología empresarial.
Responsable de la dirección tecnológica de una empresa, el CTO supervisa la I+D para
garantizar que los nuevos productos sean innovadores y eficaces. También trabajan con
otros departamentos para seleccionar e implementar las mejores soluciones técnicas para
sus necesidades. Además, el CTO suele ser responsable de elaborar estrategias sobre
cómo se puede utilizar la tecnología para lograr los objetivos de la empresa.
Entre las tareas específicas del puesto se encuentran:
• Definición de objetivos tecnológicos.
• Desarrollar un enfoque tecnológico para apoyar los objetivos comerciales. •
Establecimiento de una nueva infraestructura.
• Mantener la seguridad de los datos y la eficiencia de la red.
• Hacer avances técnicos. • Desarrollo de
tecnología externa orientada al cliente.
• Hacerse cargo de iniciativas alineadas con el público objetivo.
• Revisión de presupuestos y solicitudes de tecnología. •
Experiencia en arquitectura de redes, big data, gestión de seguridad de la información
y desarrollo de software.
• Innovación y liderazgo intelectual.
Según la investigación de Deloitte sobre las líneas de informes del CIO (https://www2.
deloitte.com/us/en/insights/focus/cioinsider businessinsights/trendsincioreporting
structure. html), es más probable que las empresas en las que el CTO informa al CEO
tengan una estrategia de TI integral para toda la empresa que las organizaciones con
diferentes estructuras de informes.
Independientemente de a quién informe el CTO, este es responsable de la implementación
y los avances técnicos de una organización. A medida que evolucionan las tecnologías,
el CTO es responsable de guiar a los equipos a través de la adopción de nuevos
sistemas, procesos y procedimientos. Además, normalmente el CTO también está a cargo
de todos los ingenieros y las divisiones relacionadas con la tecnología.
El papel del CTO 133
Con estos roles y responsabilidades, las habilidades de gestión son un requisito clave de
cualquier CTO. Como señala RubyGarage, la empresa de desarrollo de Ruby on Rails,
"... los CTO de algunos de los unicornios más exitosos del mundo tienen principalmente
misiones relacionadas con la gestión".
No hay límites para los desafíos que puede enfrentar un CTO. Además de garantizar que
las prioridades de nivel C y el equipo digital estén alineados operativamente, deben
centrarse en impulsar el crecimiento de primera línea y administrar una infraestructura obsoleta.
Dependiendo del tamaño de su empresa, el CTO puede tener un equipo de seguridad
dedicado que le reporta. De lo contrario, el CTO debe trabajar en estrecha colaboración
con su CISO y otros jefes de departamento para garantizar que todos sigan las mejores
prácticas de seguridad.
No es raro pensar que el CTO es responsable de la ciberseguridad.
Muchas personas en posiciones de autoridad piensan que la ciberseguridad se trata solo
de tecnología, por lo tanto, el dominio del CTO o el departamento de TI. Pero como hemos
señalado a lo largo del libro, la ciberseguridad es un proceso complejo que involucra
personas, procesos y tecnología. No se trata solo de instalar un firewall o un paquete de
software de seguridad.
Sin embargo, no todos los CTO tienen la experiencia necesaria en ciberseguridad e,
incluso si la tuvieran, es difícil concentrarse en la tecnología y la seguridad al mismo
tiempo. Es por eso que muchas empresas ahora contratan CISO para enfocarse en el
componente de seguridad. Los CISO son específicamente responsables de los problemas
relacionados con la seguridad y pueden trabajar con el CTO para asegurarse de que la
empresa avance en la dirección correcta y construya resiliencia cibernética.
La diferencia entre un CDO y un CTO
Las organizaciones reconocen cada vez más la necesidad de un director digital
(CDO), alguien que pueda liderar y coordinar sus esfuerzos de transformación
digital. El rol de CDO aún es relativamente nuevo, por lo que no existe una
definición única de lo que implica. Sin embargo, las responsabilidades comunes
incluyen desarrollar y ejecutar una estrategia digital, supervisar iniciativas y
proyectos digitales e impulsar la innovación en toda la organización.
El puesto de CDO generalmente informa al CEO o al CIO, y es posible que tengan una
línea directa de informes con la junta directiva. Por lo general, trabajan en estrecha
colaboración con otros altos ejecutivos, como el CIO, el director de marketing (CMO) y el
director de operaciones (COO).
CDO y CTO son títulos de trabajo que a menudo se usan indistintamente, pero
existen grandes diferencias entre los dos. Un CDO suele ser responsable de
liderar la transformación digital de una organización, lo que implica desarrollar
una estrategia sobre cómo la empresa utilizará la tecnología para mejorar sus
operaciones y hacer crecer su negocio. Un CTO, por otro lado, generalmente
se enfoca más en los aspectos técnicos de las operaciones de la empresa,
como supervisar el desarrollo de nuevos productos y tecnologías.
La ciberseguridad debe ser una preocupación principal para el CDO que lidera la
transformación digital de una organización, ya que una transformación exitosa depende
de una infraestructura segura y confiable. Si los piratas informáticos comprometen las
redes y los sistemas de la organización, podría poner en peligro todo el proyecto de transformación.
Además, a medida que se realizan más y más negocios en línea, el CDO es
cada vez más responsable de proteger a la organización de los ataques cibernéticos.
Dado que la mayoría de las organizaciones no son muy buenas en ciberseguridad, el CDO
tiene mucho trabajo por hacer en esta área.
Entonces, mientras que el CDO está más preocupado por cómo se puede usar la tecnología
para lograr los objetivos comerciales, el CTO está más enfocado en las tecnologías reales
en sí. Ambos roles son importantes en el mundo empresarial actual, razón por la cual
muchas empresas tienen tanto un CDO como un CTO.
Por qué el CTO debería preocuparse por
la ciberseguridad
Hay una serie de razones por las que la ciberseguridad es importante para el CTO.
En primer lugar, como ejecutivo responsable de las soluciones tecnológicas y la recopilación
de datos, la ciberseguridad es vital para proteger a una empresa contra las filtraciones de
datos y los ataques cibernéticos. La pérdida de datos y el tiempo de inactividad tienen un
impacto significativo en los resultados y la reputación de la empresa. La ciberseguridad
también ayuda a garantizar el cumplimiento de las normas y estándares de la industria.
Además, los CTO deben preocuparse por la ciberseguridad al igual que cualquier otro
elemento de la infraestructura tecnológica de la empresa. El trabajo del CTO es avanzar en
la agenda técnica de la empresa, y la ciberseguridad es una parte cada vez más importante
de esa agenda.
A medida que las empresas se vuelven más dependientes de la tecnología, el rol del
CTO ha evolucionado de un ingeniero jefe detrás de escena a un rol más estratégico,
que supervisa todos los aspectos de la infraestructura tecnológica de la empresa. En
Por qué el CTO debería preocuparse por la ciberseguridad 135
En muchos casos, el CTO es ahora un miembro del equipo ejecutivo sénior y reporta
directamente al CEO.
Con esta función ampliada viene una mayor responsabilidad de garantizar que la empresa
mantenga sus controles de seguridad y adopte nuevas tecnologías innovadoras con la
seguridad adecuada de forma predeterminada.
Tiene sentido tener un CISO como colega del CTO en organizaciones que son menos
nativas digitalmente o extremadamente vastas o complejas. El CISO y el CTO deben
trabajar juntos, informar al directorio y trabajar para fomentar una cultura de ciberseguridad
en toda la empresa. Esto implica no solo determinar qué protocolos de seguridad
cibernética existen actualmente, sino también garantizar que las personas, los procesos y
la tecnología adecuados también estén implementados. También trabajan juntos para
desarrollar planes de respuesta a incidentes en caso de una violación de datos.
Esto significa que el CTO generalmente se enfoca en problemas generales, incluida la
planificación de futuras necesidades tecnológicas, la evaluación de nuevas tecnologías y
la supervisión de proyectos importantes, mientras que el CISO se enfoca en problemas
más operativos, como la administración diaria de políticas y procedimientos de seguridad.
y los empleados los están siguiendo. Por supuesto, existe una superposición considerable
entre estos dos roles, por lo que el CTO y el CISO deben trabajar en estrecha colaboración.
El CTO debe diseñar y facilitar una estrategia tecnológica, pero cada miembro de la suite
C debe comprender qué datos tiene la empresa, cómo se manejan y aseguran, y qué
papel tiene cada líder en la protección de esos datos. Como administradores de los datos
de una organización, posiblemente el activo más valioso de una organización, es
comprensible que los CTO estén preocupados por su exposición, falta de disponibilidad e
incluso su precisión. Dado que la tecnología es tan importante para muchas funciones
corporativas, el CTO debe verificar que las soluciones y los servicios tecnológicos
implementados permanezcan operativos. Cualquier caída en el rendimiento o fallas
imprevistas podría tener un gran efecto en toda la empresa.
Las empresas deben considerar el tipo de CTO y CISO que funcionarían mejor para su
organización, de acuerdo con su tamaño, madurez, complejidad y perfil de ciberseguridad actual.
Según un estudio de IEEE de 300 CIO y CTO realizado en diciembre de 2016 (http://
transmitter.ieee.org/ wpcontent/uploads/2017/03/IEEE2016CIOCTOSurvey Results.pdf), la
ciberseguridad era el peligro más grave al que se enfrentaban.
No hay nada sorprendente en esto. La función cibernética más esencial del CTO es
colaborar con el CISO para garantizar que la ciberseguridad nunca sea una ocurrencia
tardía para su empresa, sino una necesidad cultural.
Cómo el CTO se convierte en un aliado de la seguridad
El CTO puede convertirse en un aliado de la seguridad al trabajar con el equipo de seguridad para
garantizar que todos los sistemas estén parcheados y actualizados correctamente, que los firewalls
y otras medidas de seguridad estén en su lugar y funcionen correctamente, y que las cuentas de los
usuarios estén debidamente protegidas. El CTO también puede ayudar a identificar posibles
vulnerabilidades en un sistema y trabajar con el equipo de seguridad para desarrollar soluciones.
Las principales prioridades del CTO deben incluir una cultura y un entorno de trabajo que
cultive la ciberseguridad como uno de sus pilares fundamentales. Los CTO deben dar un
buen ejemplo a sus empleados y educarlos sobre la importancia de la ciberhigiene personal
y profesional, incluida la seguridad en el proceso de desarrollo de tecnología.
Tanto antes como durante el desarrollo, la seguridad debe ser una prioridad máxima.
El CTO puede fomentar la capacitación en alfabetización y concientización sobre seguridad
cibernética dentro de la organización. Trabajar en estrecha colaboración con el CISO puede
garantizar que cualquier implementación de plataformas y soluciones digitales esté
debidamente protegida contra ataques cibernéticos, así como preparar y promover las
mejores prácticas en respuesta a incidentes (incluidos ejercicios simulados y simulaciones a gran escala).
Finalmente, una estrecha colaboración con el Csuite y la junta directiva puede promover de
manera efectiva una cultura de seguridad y preparación para la seguridad cibernética de
arriba hacia abajo.
Además, el CTO puede ayudar a configurar procesos y protocolos que dificultarán que
los piratas informáticos penetren en una red o roben datos. También pueden trabajar
con el departamento de marketing para crear mensajes que animen a los usuarios a
tomar precauciones cuando utilicen dispositivos de la empresa o accedan a las redes
de la empresa. En última instancia, un sistema seguro es bueno para el negocio, y el
CTO debe estar a bordo para asegurarse de que todos los sistemas sean lo más seguros posible.
Los CISO y los CTO pueden trabajar juntos de manera efectiva mediante la construcción de
una relación basada en la confianza y el respeto mutuo. Deben comprender las funciones y
responsabilidades de los demás y estar dispuestos a colaborar estrechamente en proyectos
e iniciativas.
En última instancia, el objetivo es crear un entorno seguro para una organización y al mismo
tiempo permitir la innovación. El CISO debe poder evaluar el riesgo y tomar decisiones en
consecuencia, mientras que el CTO debe poder equilibrar las preocupaciones de seguridad
con las necesidades del negocio.
Codificación segura y desarrollo de software seguro 137
Codificación segura y desarrollo de
software seguro
El CTO de una empresa es responsable de garantizar que se apliquen todos los
principios de seguridad dentro de sus tareas y equipos. Esto significa crear y hacer
cumplir los principios, incluidas las políticas y los procedimientos que protegen los
datos, las redes y los sistemas de su empresa contra el acceso o la destrucción no autorizados.
Uno de los principios más importantes es la codificación segura. Esto significa escribir código
que sea más resistente a los ataques y la explotación. Los CTO deben asegurarse de que sus
equipos estén capacitados en prácticas de codificación seguras.
Otro principio importante son las pruebas de penetración. Esto implica simular
ataques a los sistemas de la empresa para identificar debilidades y vulnerabilidades.
Hay una serie de razones por las que los CTO se resisten a las pruebas de penetración. En
primer lugar, puede llevar mucho tiempo y ser difícil encontrar los recursos adecuados para
realizar un trabajo eficaz. En segundo lugar, puede ser costoso contratar consultores o comprar
herramientas comerciales. En tercer lugar, las pruebas de penetración pueden generar brechas
de seguridad que deben abordarse, lo que podría restar valor a otras prioridades. Finalmente,
siempre existe el riesgo de que algo salga mal durante la prueba y provoque cortes de
producción o pérdida de datos. Por lo tanto, si bien las pruebas de penetración son importantes
para la seguridad, los CTO presentan varias razones para no querer emprender esta actividad
ellos mismos. Sin embargo, los CTO deben trabajar con su equipo de seguridad para programar
pruebas de penetración periódicas. Es una forma clave de garantizar la seguridad de los datos,
las aplicaciones, las redes y los sistemas de la organización. El dolor de cabeza que tales
pruebas pueden causar a un CTO no se parece en nada a los problemas que surgirán si hay
un ciberataque exitoso.
Por último, los CTO deben promover una cultura DevSecOps dentro de su organización.
DevSecOps enfatiza la importancia de la colaboración entre desarrolladores, equipos de
seguridad y equipos de operación. Después de todo, todos tienen un interés en la seguridad
de la empresa.
Es responsabilidad del CTO garantizar que los desarrolladores tengan las herramientas y los
recursos que necesitan para hacer su trabajo. Esto incluye el acceso al repositorio de códigos,
que tengan las versiones correctas del software que necesitan y que tengan todas las
dependencias necesarias instaladas.
El CTO también debe asegurarse de que los desarrolladores sigan las mejores prácticas,
como el uso del desarrollo basado en pruebas, la redacción de buenas revisiones de código
y el uso de estándares de codificación adecuados. Finalmente, el CTO debe estar disponible
para responder preguntas y ayudar a resolver cualquier problema que pueda ocurrir.
Los desarrolladores de software generalmente se han sentido motivados a dar mayor
prioridad a la entrega rápida de nuevas características y capacidades. Eso no debe
hacerse a expensas de la seguridad.
Es difícil integrar tecnologías de prueba de desarrollo de aplicaciones web seguras con
herramientas y procedimientos de desarrollo tradicionales. El dolor de las pruebas de
seguridad, por otro lado, se puede reducir más fácilmente con el desarrollo de software y las
operaciones de TI (DevOps). DevOps es un enfoque de desarrollo de software que enfatiza
la comunicación, la colaboración y la integración entre los desarrolladores de software y los
profesionales de operaciones. El objetivo de DevOps es mejorar el flujo de información y la
colaboración entre los desarrolladores de software y los profesionales de TI para que creen
un mejor software de manera más rápida y eficiente.
DevOps es un enfoque, no una herramienta o tecnología. Algunas de las herramientas y
tecnologías comunes asociadas con DevOps incluyen Puppet, Chef, Jenkins, Nagios,
Ansible, Git y Docker; sin embargo, cualquier herramienta o tecnología se puede utilizar en
un entorno DevOps, siempre que ayude a mejorar la comunicación y la colaboración entre
los desarrolladores y el personal de operaciones.
En DevOps, la seguridad ya no es el ámbito de los profesionales de seguridad especializados ,
sino un aspecto estándar del proceso de entrega. Los desarrolladores pueden crear software
libre de defectos de manera simple y frecuente mediante la incorporación de seguridad en
DevOps, lo que ayuda a acelerar los plazos y mejorar la calidad de cada versión.
La integración de DevOps no es un enfoque nuevo para la mayoría de las empresas, pero a
medida que aumenta la presión para completar el desarrollo del código y pasarlo a la producción
en vivo lo más rápido posible, la seguridad de DevOps se vuelve cada vez más importante, ya
que el código se rompe y los malhechores utilizan herramientas automatizadas de búsqueda
de vulnerabilidades. , sin mencionar a los reguladores que vigilan de cerca las violaciones de
datos, la seguridad del software se vuelve cada vez más crítica.
Tradicionalmente, la seguridad ha sido más una ocurrencia tardía, y muchos profesionales
de la seguridad han abogado por DevSecOps para enfatizar la idea de que el equipo de
seguridad no debe quedar fuera del diálogo.
Cuando se trata de la seguridad de DevOps, la opinión es que las características y los
requisitos de seguridad se identifican al principio del proceso de desarrollo, cuando pueden
integrarse en el software en lugar de agregarse al final, lo que genera costos adicionales de
rediseño/remediación e incluso tiene un impacto directo. impacto en las experiencias de los usuarios.
Conflictos de interés y colaboración entre el CTO y el CISO 139
DevSecOps es la práctica combinada de DevOps y seguridad de la
información o, más ampliamente, la práctica de integrar la seguridad en el
proceso de desarrollo de software.
El objetivo de DevSecOps es facilitar la escritura de código seguro y detectar posibles
problemas de seguridad lo antes posible en el proceso de desarrollo de software. Esto
se hace incorporando ingenieros de seguridad al equipo desde el principio ,
automatizando los controles de seguridad en el proceso de construcción y utilizando
prácticas de codificación "seguras".
Conflictos de interés y
colaboración entre el CTO y el CISO
El trabajo del CISO es asegurar los sistemas y datos de una empresa, mientras que el
trabajo del CTO es construir y mejorar esos sistemas. Estos dos trabajos a veces
pueden entrar en conflicto, ya que el CTO puede querer crear nuevos sistemas o
mejoras que podrían debilitar la seguridad, y el CISO puede querer retrasar los cambios
hasta que puedan ser examinados por completo en busca de posibles riesgos de seguridad.
También puede haber un conflicto de intereses si el CTO también es responsable de
adquirir nueva tecnología para la empresa. El CISO debe asegurarse de que estas
tecnologías se evalúen adecuadamente en cuanto a riesgos de seguridad antes de
implementarlas, lo que podría ralentizar la adopción de nuevas tecnologías.
Hay algunos desafíos clave que pueden surgir entre el CTO y el CISO:
• Prioridades desalineadas: el CTO generalmente se enfoca en impulsar la
innovación y el crecimiento, mientras que el CISO se enfoca más en proteger a
la organización de posibles amenazas cibernéticas. Esto puede generar tensión
y desacuerdos sobre dónde se deben asignar los recursos. A partir de la
experiencia de Magda (coautora de este libro), descubrió que, por lo general,
hay dos áreas principales de desalineación entre un CTO y un CISO: el
presupuesto y las prioridades. El presupuesto es a menudo la mayor área de
desacuerdo. El CTO se centra en invertir en nuevas tecnologías e innovación,
mientras que el CISO se preocupa por recibir la financiación adecuada para
garantizar la seguridad de los sistemas existentes. Esto puede generar tensión
a la hora de asignar recursos. Las prioridades también pueden no coincidir,
donde el CTO puede priorizar nuevas iniciativas y proyectos, mientras que el
CISO puede priorizar mantener la postura de seguridad actual y responder
a los incidentes en lugar de introducir nuevas tecnologías. Nuevamente, esta tensión
puede surgir cuando se deben tomar decisiones.
• Diferentes conjuntos de habilidades: el CTO tiene experiencia técnica y, por lo general,
se siente más cómodo con la tecnología, mientras que el CISO tiene experiencia en
seguridad y es posible que no esté tan familiarizado con los problemas tecnológicos.
Esto también puede generar desacuerdos sobre la mejor manera de abordar ciertos
problemas de seguridad, ya que no sorprende que puedan tener diferentes
perspectivas sobre cómo hacerlo.
Sin embargo, es importante que trabajen juntos para garantizar que se consideren
todos los aspectos de la seguridad y que cualquier desacuerdo se resuelva de la
manera que mejor proteja tanto la tecnología como la información de una empresa.
Después de todo, si se produce una infracción debido a la falta de comunicación o
cooperación entre estos dos departamentos, ambos podrían ser responsables.
• Interrupciones de la comunicación: si el CTO y el CISO no pueden comunicarse de
manera efectiva, entonces no podrán lograr el resultado deseado de construir un
negocio resistente a la cibernética. Es posible que el CTO no comprenda los detalles
técnicos complejos de las medidas de seguridad que deben implementarse, mientras
que el CISO puede no comprender las implicaciones comerciales de ciertas
decisiones tecnológicas. Esto puede conducir a problemas de comunicación y
malentendidos.
• La seguridad como una idea de último momento: como se mencionó anteriormente, los
equipos de desarrollo pueden enfocarse en obtener un producto que funcione y dejar
la seguridad como una idea de último momento. El CTO y el CISO deben crear una
cultura que mantenga abiertas las líneas de colaboración y comunicación.
Los equipos de CTO y CISO pueden colaborar a un nivel profesional estratégico al
encontrar un equilibrio y un compromiso para alinear mejor sus respectivas prioridades.
Si eso no está ya integrado en la cultura organizacional, debe estarlo.
La seguridad ya no es el dominio de los equipos de TI que vienen después de un incidente
para explicar por qué y cómo falló su servicio, revisando exhaustivamente las revisiones que
han hecho para mantenerlo en funcionamiento debido a los errores de seguridad que se
introdujeron cuando se implementó por primera vez. . En cambio, ahora son parte del equipo,
parte integral de cada paso del proceso de desarrollo.
Un enfoque DevSecOps ayuda a la organización a lograr una postura de seguridad más
sólida al tiempo que aumenta su agilidad y competitividad. Si se hace bien, el equipo de
seguridad estará más motivado para dedicar tiempo al trabajo de mayor valor, como la
búsqueda de amenazas o el tratamiento de soluciones críticas, como
Preguntas para hacerle a su CTO 141
opuesto al trabajo repetitivo de ciberhigiene. El deber del CISO es identificar
y enfocarse en los gastos de seguridad que permitirán que una empresa logre
sus objetivos estratégicos con el mínimo de riesgo aceptable, a diferencia de
la función del CTO de crear conciencia y proporcionar recursos.
La confianza y la calidad del liderazgo son componentes esenciales para formar una
relación auténtica.
Preguntas para hacerle a su CTO
El papel del CTO es garantizar que la arquitectura tecnológica de una organización
se alinee con su estrategia comercial. Hay algunas cosas clave que debe tener en
cuenta al intentar determinar si su CTO comprende la ciberseguridad. Primero, ¿ su
CTO tiene experiencia en informática? Segundo, ¿su CTO tiene experiencia en el
campo de la ciberseguridad? Tercero, ¿su CTO está actualizado con las últimas
tendencias y amenazas de ciberseguridad? Y finalmente, ¿su CTO puede hablar el
idioma de la ciberseguridad?
Si puede responder "sí" a todas estas preguntas, es probable que su CTO
comprenda la ciberseguridad. Sin embargo, si solo puede responder "sí" a algunas
oa ninguna, entonces es posible que su CTO realmente no lo entienda.
Dada la creciente importancia de la ciberseguridad en los negocios hoy en día, aquí
hay algunas otras consideraciones que puede discutir con su CTO para tener una
idea de cómo abordan la ciberseguridad en su organización:
• ¿Qué pasos hemos tomado para mejorar nuestra postura de ciberseguridad en
alineación con la guía de nuestro CISO?
• ¿Cómo evalúa qué grado de riesgo es aceptable en nuestro
adopción de tecnología?
• ¿Existe tal cosa como demasiada seguridad?
• ¿Cómo decide qué inversiones en seguridad hacer?
• ¿Está asignando el gasto adecuado a las herramientas y controles de
ciberseguridad que salvaguardarán la tranquilidad de nuestros
clientes? • ¿Cómo respondería en caso de una emergencia de ciberseguridad
experimentada por un cliente?
Resumen
Hemos cubierto las diferentes responsabilidades del CTO en detalle, explorando las
razones por las que la ciberseguridad debería ser importante para el CTO. Con este
entendimiento, podemos movilizar al CTO como un poderoso aliado y utilizar el
enfoque DevSecOps para lograr el estado deseado, a través de una estrecha
colaboración con el equipo de tecnología y desarrollo.
Al llegar al final de este capítulo, es importante que se tome el tiempo para reflexionar
sobre lo que se ha presentado. También debe comenzar a pensar en cómo puede
poner en práctica estos conceptos y comenzar a contratar al personal adecuado
para satisfacer sus necesidades tecnológicas y de seguridad cibernética. Recuerda, un
CTO no es un CISO.
En el próximo capítulo, abordaremos los roles de la Oficina Principal de Marketing
(CMO) y el Oficial Principal de Privacidad (CPO) y examinaremos cómo también
pueden abogar por la resiliencia cibernética. El CMO y el CPO son las voces de su
empresa en lo que respecta a la privacidad en línea. El CMO es responsable de
comunicar las políticas de seguridad cibernética de la empresa mientras promueve un
entendimiento compartido entre todos los departamentos sobre cómo se pueden
implementar las mejores prácticas , asegurando que todos puedan trabajar juntos
para construir una cultura organizacional resistente a la cibernética. El CPO es
responsable de mantener las prácticas de privacidad y el cumplimiento.
9
La OCM y
CPO—Convergencia
Entre Privacidad y
Seguridad
Hasta ahora, ha tenido la oportunidad de descubrir las responsabilidades y funciones de la
mayoría de los CxO en relación con la ciberseguridad en una organización. El director de
marketing (CMO) tiene el trabajo de liderar los esfuerzos de una empresa para crear, comunicar
y brindar soluciones de valor agregado a los consumidores, clientes y socios comerciales. Esto
incluye la recopilación de datos utilizados para determinar las estrategias de marketing. Cuando
se trata de proteger los datos de los empleados y la información de los clientes, el director de
privacidad (CPO) es el ejecutivo responsable de implementar políticas y procedimientos y
garantizar el cumplimiento de las leyes y regulaciones de privacidad. Las políticas de privacidad
deben describir cómo las empresas manejan la información obtenida de los clientes y empleados.
En palabras simples, un CMO tiene como objetivo recopilar datos y garantizar la expansión del negocio
con clientes potenciales, mientras que el CPO puede ralentizar ese proceso al administrar el riesgo de
incumplimiento durante la recopilación, el procesamiento, el almacenamiento o la eliminación de datos.
Ambos roles son increíblemente críticos para una empresa y esenciales para la resiliencia
cibernética de la empresa.
144 El CMO y el CPO: convergencia entre privacidad y seguridad
Se habla mucho en el mundo de los negocios en estos días sobre el CMO y el
CPO, pero ¿qué implican realmente estos roles? ¿Qué tienen en común y
dónde divergen sus responsabilidades? En este capítulo, analizaremos más
de cerca tanto al CMO como al CPO y exploraremos qué los hace tan
importantes para la resiliencia cibernética de las empresas.
• Qué tienen en común los roles de CMO y CPO
• El papel del marketing y la privacidad en la ciberseguridad • La
intersección de la privacidad y la seguridad
• El papel del marketing y la comunicación después de un incidente cibernético
• Preguntas para hacerle a su CMO y CPO
Qué tienen en común los roles de CMO y CPO
Todo gira en torno a los datos, y los datos son lo que tienen en común los roles de CMO
y CPO: uno los recopila y el otro los protege.
Respecto a los clientes, marketing tiene acceso a la información más sensible.
Es responsabilidad del equipo de marketing indicar cómo se
recopiló la información con la tecnología y cómo la utilizará la empresa.
(Los usos de marketing de tecnología generalmente habrán sido aprobados por el CTO
o el CIO). Como resultado, el CMO debe asegurarse de que el equipo se adhiera a las
mejores prácticas de datos. Esas mejores prácticas generalmente están definidas por
las políticas de privacidad establecidas por el CPO, en consonancia con las leyes y
regulaciones de privacidad pertinentes. Por ejemplo, funciones como darse de baja de
listas de correo o notificaciones de políticas de privacidad son obligatorias por ley en ciertos países.
Tan pronto como se recopilan los datos, tanto el CMO como el CPO deben asegurarse de
manejarlos correctamente, ya que cada registro de datos se relaciona con un individuo y
una violación puede causar daños a largo plazo a la víctima, por ejemplo, fraude de identidad.
A primera vista, podría parecer que hay un conflicto de intereses entre ambos roles, ya
que el CMO busca adquirir y utilizar los datos de los clientes mientras que el CPO se
esfuerza por salvaguardarlos.
Qué tienen en común los roles de CMO y CPO 145
Los CMO y sus equipos de hoy en día están increíblemente impulsados por los datos. Ingieren y
explotan grandes volúmenes de datos con análisis para hacer más que solo crear nuevos clientes
potenciales. A los CMO basados en datos y a sus equipos se les confía la tarea de garantizar que
cada punto de contacto de una empresa se personalice según el viaje único del cliente de cada cliente.
Para recopilar los datos, una empresa debe adquirir y utilizar una variedad de herramientas y
sistemas. Además de estas herramientas, los departamentos de marketing también utilizan
proveedores externos para una amplia gama de tareas, y muchos de estos servicios están
vinculados directamente a los sistemas centrales de una empresa a través de su sitio web o aplicaciones.
Si bien estas tecnologías son esenciales para garantizar una experiencia memorable para el
cliente, también crean importantes riesgos de seguridad y privacidad para los datos de los
usuarios de la empresa. Las partes no autorizadas pueden acceder a los datos del consumidor
a través de una etiqueta de terceros en un sitio web, todo sin el conocimiento de la empresa.
Los CPO deben estar al tanto de cualquier proveedor de marketing que pueda tener acceso a los
datos de los clientes de una empresa debido a los riesgos que la tecnología de marketing
representa para la organización. Sin embargo, esto no implica que los objetivos de la CMO y la
CPO estén directamente en conflicto. Ambos roles se ocupan de asegurarse de que los
consumidores tengan una experiencia positiva con el negocio, y esto incluye proteger su
información personal.
La selección de proveedores, la comunicación interna y los procedimientos manuales no
pueden eliminar por completo los riesgos asociados con las asociaciones con proveedores externos.
Los CMO y CPO deben darse cuenta de esto. Si los CMO y los CPO quieren evitar un tira y afloja
sobre los datos de los clientes y la tecnología de terceros y trabajar juntos por los intereses de
una empresa, deben implementar medidas efectivas de seguridad de marketing y protección de
datos, incorporando al CISO al juego.
Al final, los CMO y los CPO tienen más similitudes de las que creen. Pueden ser las dos personas
con más conocimientos de la empresa sobre la importancia de los datos del cliente y una
experiencia positiva del cliente. Ambos roles deben trabajar en sincronía y fomentar una relación
sólida y colaborativa.
En la siguiente sección, describiremos cómo estos dos ejecutivos pueden centrar su tiempo en
las iniciativas que más importan para el futuro de su empresa, con la ayuda de la tecnología
adecuada, en lugar de centrarse únicamente en los procedimientos de privacidad de datos.
El papel del marketing y la privacidad en
la ciberseguridad
No hay duda de que la introducción del Reglamento general de protección de datos
(GDPR) en 2018 ha tenido un gran impacto regulatorio en todas las empresas, incluidas
las que se encuentran fuera de la UE y el Reino Unido. El RGPD reemplazó la Ley de
Protección de Datos de 1995 y establece nuevas reglas sobre cómo se deben recopilar,
procesar y almacenar los datos personales. Las empresas que no cumplan con el RGPD
pueden enfrentarse a fuertes multas, por lo que es esencial comprender lo que significan
estos cambios para su organización.
GDPR exige que todas las empresas introduzcan nuevas políticas, métodos y prácticas para manejar
los datos personales de sus clientes, usuarios, proveedores y empleados ubicados en la UE. Como
resultado, cualquier organización en cualquier parte del mundo que interactúe con los datos personales
de los residentes de la UE debe cumplir con los nuevos criterios de transparencia, seguridad y
responsabilidad establecidos por la UE.
En Singapur, la Ley de Protección de Datos Personales (PDPA) proporciona un nivel básico de
seguridad para los datos personales. Como complemento de las leyes y regulaciones específicas de la
industria, como las que rigen la banca y los seguros, consta de una serie de estándares que regulan
cómo se recopilan, utilizan, divulgan y manejan los datos personales en Singapur. Como parte de esta
legislación, habrá un registro nacional de No llamar (DNC) .
En Australia, el esquema Notificable Data Breaches (NDB) tiene como objetivo fortalecer
la protección de los datos de las personas y mejorar la confianza del consumidor en que
sus datos están seguros. Como parte del esquema NDB, las organizaciones australianas
deben notificar a las personas que pueden estar en riesgo de sufrir daños graves por una
violación de datos, cuando una persona razonable esperaría que la violación causara
daños graves en forma de daños físicos, emocionales, financieros, económicos o daño reputacional.
Las personas son cada vez más conscientes de la tendencia hacia la recopilación de información
personal y la monetización de datos. En consecuencia, las expectativas de los clientes en cuanto a la
privacidad de los datos están aumentando.
Según el Trusted Tech Report de Consumer Intelligence Series, el 84 % de los clientes dejarán de
hacer negocios con una empresa si no se sienten seguros de que procesa, almacena y transfiere su
información personal de forma segura. La capacidad de una empresa para preservar los datos de los
clientes es fundamental para mantener la confianza del consumidor.
El papel del marketing y la privacidad en la ciberseguridad 147
A medida que aumentan las expectativas de los clientes, la privacidad y la seguridad
se entrelazan aún más.
Comienza y termina con la gestión de datos, o más bien con el gobierno de datos. La
recopilación, generación, identificación, categorización, inventario, protección y destrucción
de datos se rigen por procesos y tecnología.
• Protección de datos: tanto las funciones de marketing como de privacidad deben
permitir programas de comunicación y capacitación efectivos, aumentando la
comprensión de los empleados sobre cómo ocurre el proceso de gobierno de
datos y dónde pueden surgir riesgos, centrándose especialmente en los riesgos
potenciales relacionados con las filtraciones de datos y el incumplimiento normativo.
• Diferenciador comercial: los clientes y otras partes interesadas externas, como los
reguladores, desean comprender y garantizar la protección de datos a lo largo del
ciclo de vida de los datos dentro del ámbito tecnológico. Esta ventaja competitiva
solo se puede lograr con una visión inquebrantable y unida del enfoque de la
empresa hacia sus clientes, accionistas y reguladores. • Privacidad por diseño:
Agregar capacidades y funciones
de software que generan o recopilan grandes cantidades de datos, la mayoría datos
personales, es una práctica común para la mayoría de las empresas. Es más
económico integrar controles y prácticas de privacidad y seguridad desde las
fases de diseño, en lugar de tener que agregarlos a un producto o servicio
después de su lanzamiento. Las empresas pueden generar un conjunto único de
especificaciones y una experiencia uniforme para los desarrolladores a fin de
garantizar que los productos y las aplicaciones se desarrollen de manera confiable,
mediante la convergencia de los equipos de ciberseguridad y desarrollo de
software.
Mitigación de riesgos
Los CMO y CPO tienen un papel clave en la mitigación de riesgos y la respuesta de ciberseguridad.
La pérdida de datos, la corrupción de la información, el acceso no autorizado a
documentos confidenciales y la incapacidad de acceder a sistemas críticos son posibles
resultados de los ataques cibernéticos y representan riesgos cibernéticos críticos para una empresa.
Sin embargo, para los CMO, la consideración más importante es el impacto en la reputación de
la marca, la confianza del consumidor y los ingresos. Nick Flude, director de marketing de
Sekuro y ex director de marketing de Secure Code Warrior y director de marketing A/NZ de F5
Networks, comparte su perspectiva de que “los directores de marketing son los principales
animadores de los clientes y la marca de la empresa . Como tal, somos muy conscientes de
esa responsabilidad de proteger a ambos. También tenemos acceso al CRM de la empresa, así
que tenga acceso a toda esa valiosa información de identificación personal (PII).
“Los CMO globales también se enfrentan a diferentes entornos regulatorios con
respecto a la PII. Como vendedor, realmente quiero saber todo sobre usted, pero
como vendedor ético, sé que solo puedo pedir lo que se considere necesario para
lograr el objetivo con el que me comprometo, y tengo que poder demostrar mi manejo
de eso. PII cuando se le pregunte. Trabajé con el equipo de gobierno, riesgo y
cumplimiento en políticas de privacidad, términos de uso, declaraciones de cobro,
etc. Personalmente, tomé el régimen más estricto (GDPR) y construí todos mis
sistemas y procesos para cumplir con eso. independientemente de la ubicación geográfica de mi negocio
Las consecuencias legales para las actividades de marketing pueden ser bastante graves,
especialmente si se trata de robo de datos. Dependiendo de la gravedad del incumplimiento,
una empresa podría ser multada con varios millones o incluso verse obligada a disolverse
por completo. Además, las personas responsables de proteger los datos comprometidos en
caso de robo también pueden enfrentarse a la cárcel en algunos países.
Con más y más empresas recopilando y almacenando datos de clientes, el riesgo de que
estos datos sean robados o filtrados también ha aumentado. Esto ha dado lugar a una serie
de casos legales de alto perfil, como el caso de violación de datos de LinkedIn de 2016 en
el que se filtró la información personal de más de 100 millones de usuarios.
Los costos financieros para las empresas también siguen aumentando, como hemos
señalado varias veces a lo largo del libro.
Para los CPO, la consideración más importante es el cumplimiento de los requisitos
reglamentarios durante el ciclo de vida de los datos. La reputación y la marca de una
organización pueden verse empañadas si se filtran, dañan o destruyen datos confidenciales o personales.
La capacidad de una empresa para continuar operando podría incluso verse amenazada si
se ve involucrada en una violación importante de datos. Los costos financieros aumentaron
un 10 por ciento con respecto al año anterior, con pérdidas estimadas en $ 4,24 millones
por incidente en promedio, y el 38 por ciento de esa cantidad proviene de la pérdida de
ingresos, según Ponemon Institute e IBM. Cuando la reputación de una empresa se ve
afectada como resultado de una infracción, es menos probable que los clientes hagan
negocios con esa empresa en el futuro, lo que afecta aún más el resultado final. Como
mínimo, la gente quiere hacer negocios con aquellos que pueden mantener segura su información personal.
El daño a la marca por el riesgo cibernético, en forma de multas y el impacto
continuo de perder la confianza del cliente, puede ser muy tangible. Esto se
ilustra con la pérdida de Marriott de alrededor de $ 600 millones después de
su violación de datos de 2018 (https://www. reasurancene.ws/marriott
breachcyberindustry losscouldbeupto600mair/); sufrió daños de marca
a largo plazo y vio a algunos clientes cambiar a sus competidores. cada empresa,
El papel del marketing y la privacidad en la ciberseguridad 149
y todos dentro de la empresa deben ser conscientes de las ramificaciones de
violaciones de datos externas como esta.
La figura 9.1 desmitifica las responsabilidades superpuestas entre el CMO, el CPO y el
CISO.
Figura 9.1 – Roles y responsabilidades de alto nivel
La estructura de gobierno de datos de una organización define quién tiene poder y
control sobre los activos de datos y cómo se pueden utilizar esos activos de datos. Las
personas, los procedimientos y la tecnología forman parte del marco de gestión de
activos de datos. Todos los datos personales deben mantenerse con el máximo cuidado,
incluida la protección real durante el uso de la tecnología.
Para garantizar la protección, el CMO debe proporcionar claridad y visibilidad sobre los
procesos de recopilación de datos de la empresa, entre otras cosas, y luego colaborar
tanto con el CPO como con el CISO para mantener la protección de los datos a través
de los estándares establecidos de seguridad y privacidad. Esto incluye, entre otros,
todos los requisitos legislativos actuales y los que puedan entrar en vigor, mientras los
datos se almacenan en línea o por medios digitales.
Una política que integre tanto la seguridad como la privacidad debe garantizar que el
CMO defienda el despliegue de los procedimientos de seguridad más actualizados. El
CMO juega un papel importante a lo largo del ciclo de vida de los datos para garantizar
que todas las inversiones y los clientes estén protegidos. En la siguiente sección,
analizaremos la adopción de este modelo operativo convergente, la integración de
programas de seguridad y privacidad y el objetivo de salvaguardar la información
personal, y cómo las mejores prácticas utilizadas para hacer esto tienen mucho en
común y pueden aprovecharse ampliamente.
La intersección de la privacidad y la
seguridad
Los propietarios de datos de las organizaciones a menudo se enfrentan a mandatos y solicitudes de
datos contradictorios cuando los equipos de privacidad y seguridad trabajan de forma independiente.
Un solo equipo de gobierno de riesgos de la información puede ahorrar dinero y crear un proceso más
eficiente. Como resultado, es más fácil para los propietarios de datos de la empresa cumplir con sus
responsabilidades de interpretar y hacer cumplir la ley.
Los programas separados para la privacidad y la seguridad ponen a las partes interesadas
en peligro de ser engañados, y los recursos corren el riesgo de desperdiciarse debido a
los planes y esfuerzos de implementación separados, a veces duplicados. La integración
de ambos programas permite un trabajo mucho más efectivo.
En el contexto de la privacidad y la seguridad, esto generalmente significa desarrollar
procedimientos de evaluación de riesgos que las partes interesadas deben completar antes
de implementar sus proyectos (a veces conocidas como "revisiones de seguridad" o "
evaluaciones de impacto en la privacidad"). Con un solo equipo de evaluación de riesgos, se
pueden cumplir los criterios de ambos programas , eliminando procedimientos duplicados
que exigen la atención de las partes interesadas y brindando conocimientos esenciales sobre
nuevos emprendimientos comerciales y tecnologías. Por lo tanto, es posible ofrecer un
conjunto único de requisitos y sugerencias para una actividad comercial con gestión de
riesgos, lo que da como resultado una ejecución más oportuna y rentable.
Según el Foro Económico Mundial, las leyes de privacidad requieren cada vez más y con
frecuencia protección de datos. Habilitar y lograr esto requiere el apoyo del CISO.
El diagrama de Venn del marco de privacidad de la figura 9.2 describe muy bien la
convergencia entre privacidad y seguridad. Las tareas tradicionales de privacidad y
ciberseguridad tienen áreas de interés superpuestas.
La intersección de privacidad y seguridad 151
Figura 9.2 – Diagrama de Venn del marco de privacidad
Si bien la eliminación estratégica de datos es una de las formas más rentables y eficientes de reducir
el riesgo de seguridad de los datos, los equipos de seguridad con frecuencia ignoran los controles de
privacidad, aunque la eliminación estratégica de datos es un componente crítico de la mayoría de las
iniciativas de privacidad. Los datos que se han eliminado pueden ser el objetivo de los ciberdelincuentes.
En la Figura 9.2, los derechos de las personas para acceder a sus datos y borrarlos están
protegidos por una serie de prácticas que se encuentran en el lado de privacidad del
diagrama, como tener una base legal para la recopilación de datos, ser claro acerca de los
procedimientos para compartir datos y ser justo. en cómo se utilizan los datos personales.
El CMO y el CPO comparten una serie de objetivos en ciberseguridad, como proteger los
datos valiosos de una organización y garantizar la disponibilidad de los sistemas críticos para
las operaciones de la organización. Esto incluye proteger los diseños de productos, los
documentos de estrategia y las finanzas de la empresa. Sin embargo, hay muchos dominios
donde las funciones de seguridad y privacidad realizan tareas comparables o relacionadas
con objetivos similares e interactúan con las mismas partes interesadas en el medio.
Por esta razón, las empresas deberían tratar de aprovechar las sinergias
entre los equipos de privacidad y seguridad y considerar fusionar sus operaciones.
En la siguiente sección, veremos más de cerca cómo se pueden explotar estas ventajas con
más detalle con un caso específico de una respuesta de violación de datos.
El papel del marketing y la
comunicación tras un ciberincidente
Cuando se viola una empresa, las noticias se difunden. Llega a los titulares de las noticias. La
marca y la reputación de la empresa están amenazadas. La gente especula y la confianza del
cliente se ve afectada. También es frecuente ver una caída repentina a la baja en el precio de
las acciones de la empresa en el mercado de valores.
Cada vez más empresas maduras reconocen cada vez más la importancia de tener una
organización resistente a la cibernética, que contribuye al crecimiento sostenible del negocio,
y el CMO juega un papel valioso en esto.
Es principalmente el CMO el responsable de la confianza, la marca y la reputación del cliente.
Con los recursos de marketing y comunicación que tienen a su disposición, se puede
hacer mucho para apoyar y promover la concienciación sobre ciberseguridad internamente.
En la construcción de una cultura de seguridad saludable, el CMO juega un papel clave al
centrarse en los datos del cliente/cliente, garantizar cosas simples como no compartir o enviar
hojas de cálculo de PII, y trabajar en estrecha colaboración con sus proveedores para
establecer qué nivel de PII debe ser. compartida para que los servicios puedan ser entregados.
Para las empresas que tienen sólidas prácticas de seguridad existentes, la promoción de su
práctica interna externa también puede aprovecharse como una herramienta de marketing
para infundir confianza en sus clientes.
En un incidente cibernético o una emergencia de ataque cibernético, la comunicación
es clave y los mensajes de respuesta a la brecha son críticos. El papel del CMO,
junto con su acceso a los sistemas y datos de CRM, será fundamental para las
relaciones públicas (PR) y las comunicaciones. Deben operar de manera rápida y
objetiva, trabajando en estrecha colaboración con el CISO para comunicarse
internamente y administrar las relaciones públicas y las comunicaciones externas
para todos los que se han visto afectados. Se deben dar tantos detalles como sea
posible sin señalar con el dedo ni culpar. Una organización requiere una respuesta
a incidentes que involucre a las partes interesadas clave, incluidos el CMO, el CPO y el CISO. Semejant
El papel del marketing y la comunicación tras un ciberincidente 153
los planes de comunicación deben incluirse en el plan de continuidad del negocio y el plan
de recuperación ante desastres.
En caso de violación de la privacidad o de los datos, se debe analizar de
inmediato y notificar al CPO lo antes posible cuando se trate de datos personales.
El CPO debe participar para determinar si la empresa está obligada a informar el
incidente, según los requisitos reglamentarios. Los requisitos obligatorios de
notificación de incidentes en Australia exigen que todas las empresas públicas y
privadas informen de una infracción cibernética a la Oficina del Comisionado de
Información de Australia (OAIC). Además, si la facturación anual de la empresa
es de $3 millones o más, están obligados a notificar a los clientes afectados tan
pronto como se den cuenta de la infracción.
En Singapur, como otro ejemplo, la PDPA requiere que se informen las violaciones
de datos que involucran más de 500 registros. Después de un incidente de este tipo,
los CMO y el equipo de marketing podrían trabajar para reparar el daño durante
meses, si no años. Deben asegurarse de que todos los miembros del equipo y las
cuentas de redes sociales de la empresa transmitan el mismo mensaje y tono consistentes.
Durante la histeria y la confusión de un evento cibernético, es fácil pasar por alto la
responsabilidad y la participación de las partes interesadas clave. Además de las
actualizaciones de los oficiales de riesgo y seguridad cibernética, el CMO, el CEO y
los miembros de la junta deben obtener informes sobre el riesgo reputacional del
departamento CRO/Environmental, Social, and Governance (ESG) . La confianza de
los clientes en el CMO y el CEO debe salvaguardarse en caso de un incidente de seguridad.
Un ejemplo de una buena respuesta ocurrió en 2017, cuando un proveedor
externo, a través de un error humano, expuso un archivo del Servicio de
Sangre de la Cruz Roja Australiana que contenía información sobre
aproximadamente 550 000 posibles donantes de sangre. La organización
alertó rápidamente a los afectados y al Comisionado de Información de
Australia . Según el Comisionado (https:// www.oaic.gov.au/updates/news
andmedia/australian redcrossbloodservicedatabreach#australianred
crossbloodservicedatabreach), “Los australianos pueden estar seguros de
cómo el Servicio de Sangre de la Cruz Roja reaccionó ante esta situación.
En cada etapa de este proceso, han sido completamente sinceros con el
público, abiertos con mi oficina y aceptan toda la responsabilidad”.
En tiempos de crisis, es clave comunicarse adecuadamente con los consumidores,
proveedores, empleados, reguladores y otras partes interesadas para garantizar que los
ataques cibernéticos no empeoren debido a una planificación y comunicación inadecuadas.
Los CMO son profesionales en esta área. Deben estar preparados para estar a la vanguardia de
la respuesta de una organización durante un evento cibernético. Si el personal de
marketing de una empresa minimiza la gravedad de una violación de datos, corren el
riesgo de dañar aún más la reputación de su empresa. En Cyber Mayday and the Day
After, de Shamane y su coautor Dan Lohmann, sus diferentes estudios de investigación
revelaron que la gravedad de los resultados posteriores a la crisis se ve afectada por
la comunicación que se produce durante la crisis. Incluso si la información no está
disponible de inmediato, una empresa que se hace cargo de la crisis al reconocerla
rápidamente y proporcionar un canal oficial para actualizaciones y comentarios puede
cambiar las reglas del juego para reconstruir la confianza y mitigar la pérdida de clientes.
Con el panorama de comunicación actual, donde abundan la información errónea y la
desinformación, un vacío de información solo será perjudicial para la reputación de una
organización. El proceso de comunicación de crisis debe ser parte de los ejercicios
regulares de simulación que prueban un incidente o una violación de datos. Esto
asegurará que se adopte un enfoque holístico y pragmático y que se simplifiquen los
esfuerzos, sin tareas redundantes.
Por lo tanto, es crucial que su CMO y CPO estén alineados y formen parte del equipo
de gestión de riesgos cibernéticos. La siguiente sección destaca las preguntas más
importantes para hacerles a sus ejecutivos CMO y CPO.
Preguntas para hacerle a su CMO y CPO
Cuando una empresa comienza a crecer rápidamente con una estrategia de marketing
basada en datos, es fundamental garantizar que la privacidad y la seguridad estén
integradas en cada paso, en lugar de considerarlas al final del proceso. Las siguientes
preguntas para su CMO y CPO son en las que recomendamos centrarse inicialmente:
• ¿Quién es el propietario del proceso de gobierno de datos? ¿Este proceso implica
nuestro CPO (o CMO) y nuestro CISO?
• ¿Hay alguna redundancia en nuestras evaluaciones de privacidad y seguridad?
¿Cómo se pueden simplificar aún más?
• ¿Cómo aseguramos el cumplimiento eficiente de los requisitos de protección de
datos, especialmente con la adopción tecnológica masiva actual?
• ¿Nuestro proceso de respuesta a incidentes incluye al CMO, CPO,
y CISO?
• ¿Existe un plan de comunicación/PR para responder a un incidente cibernético?
y violación de datos?
Resumen 155
Cerramos este capítulo con un mensaje importante en relación a la correlación y
convergencia entre varios roles y responsabilidades. En nuestro entorno actual,
las organizaciones altamente dependientes de la tecnología deben considerar la
racionalización de la mayoría de sus programas para reducir costos y mitigar riesgos.
Resumen
En este capítulo, hemos visto la importancia del CPO y el CMO en el desarrollo de la
resiliencia cibernética de una empresa, así como sus roles durante un incidente de
violación de datos. Una violación de datos podría empañar la reputación de cualquier
empresa de forma permanente, y el daño a la reputación podría ser más difícil de
recuperar que las pérdidas monetarias. Puede resultar en pérdida de ingresos y pérdida
de clientes. Los nuevos clientes potenciales se desanimarán por las búsquedas
contaminadas de Google y la constante cobertura desfavorable en los medios.
Una violación de datos es un problema a largo plazo en lugar de un solo incidente.
Requiere una protección de datos adecuada y una respuesta de violación de datos
adecuada en caso de un incidente. Para lograr esos resultados, la colaboración entre
varios CxO es fundamental y sigue siendo el núcleo de una preparación y recuperación exitosas.
Desde el CEO hasta su equipo ejecutivo, todos en una organización deben comprender
su función y colaborar entre sí.
El siguiente capítulo aborda los factores clave de éxito para desarrollar una estrategia
de resiliencia cibernética efectiva que incluya a todos estos actores clave trabajando
juntos de arriba hacia abajo, específicamente la junta directiva.
10
El mundo del
tablero
El papel esencial de una junta directiva, ya sea que sirva a una empresa que cotiza
en bolsa, una empresa privada o una organización sin fines de lucro, es ofrecer
liderazgo y gobierno para permitir que una organización cumpla con sus objetivos y propósitos.
Los miembros de la junta funcionan como fiduciarios o asesores legales de las
organizaciones, instituyendo sólidos procedimientos de gestión financiera y de
gobierno ético y legal . Además, a menudo son responsables de la recaudación
de fondos y la defensa de la organización.
Comúnmente, los directorios están compuestos por directores no ejecutivos y
ejecutivos, encabezados por el presidente del directorio. El directorio es
conjuntamente responsable por el desempeño y la gobernabilidad de la compañía.
Asigna responsabilidades operativas diarias al director general. En sus esfuerzos
cuentan con la ayuda de un comité ejecutivo y otros comités, incluidos, entre otros,
el comité de auditoría, el comité de riesgos, el comité de nominaciones y el comité
de remuneraciones. La junta debe llevar a cabo una supervisión y un control activos
sobre el desarrollo y la ejecución de las políticas y procedimientos de gestión de riesgos de la empresa.
En este capítulo, discutiremos los requisitos críticos que una junta debe comprender
con respecto a los riesgos cibernéticos y cómo empoderarlo para tomar decisiones
sobre esos riesgos.
Es importante que una organización tenga una junta directiva que ayude a brindar
estabilidad y orientación a medida que la empresa crece. Pero, ¿qué hace
exactamente este grupo de individuos? Este capítulo explorará el papel de la junta e
identificará algunas de las consideraciones clave que entran en juego cuando se
toman decisiones sobre seguridad cibernética y riesgos cibernéticos.
158 El mundo del tablero
• Entender el mundo del tablero
• La estructura de la junta
• Los intereses de la junta en ciberseguridad • El
asiento del CISO en la mesa
• Hablar el idioma de la junta
• Qué no hacer en la sala de juntas
• Informes a la junta (un complemento para los CISO y una referencia para
CEOs)
• Juntas y fusiones y adquisiciones • Hacer las
preguntas correctas a la junta y establecer su CISO
para el éxito
Entendiendo el mundo del
tablero
En esta era de la información en la que la mayoría de las organizaciones están conectadas a
Internet y dependen de la tecnología de la información y los sistemas de información, un
ataque cibernético fácilmente podría resultar en que una organización sufra daños irreparables
en su reputación, confianza y marca. Los ciberataques interrumpen las operaciones comerciales
y tienen un costo financiero real. En pocas palabras, es muy probable que un ataque cibernético
exitoso cause una interrupción completa en el negocio y tiene el potencial de dejarlo fuera del
negocio.
No obstante, muchas empresas no priorizan los riesgos cibernéticos en la sala de juntas, lo
que genera brechas preocupantes en su evaluación y mitigación de riesgos cibernéticos.
A medida que crece la conciencia pública y de los inversores sobre las preocupaciones de
seguridad cibernética, las juntas se ven cada vez más obligadas a dedicar más tiempo y
recursos para administrar su riesgo cibernético. Al adoptar una postura más proactiva a nivel
de directorio, las empresas pueden aprovechar la oportunidad de mejorar su gestión del riesgo
cibernético, ampliar su acceso al capital y cumplir mejor con las expectativas de los inversionistas.
Alternativamente, las empresas corren el riesgo de verse expuestas a consecuencias
financieras y reputacionales a largo plazo . Esto se aplica especialmente cuando se toman
decisiones importantes, como fusiones y adquisiciones. La consideración de la seguridad
desde el principio puede allanar el camino hacia un mejor valor en forma de mayores ingresos,
mayor felicidad del cliente y ahorro de costos.
Entendiendo el mundo del tablero 159
Las empresas con visión de futuro están intentando simplificar las ideas y el conocimiento
obtenidos de su análisis de riesgo cibernético hasta el punto en que los ejecutivos y la
junta puedan tomar medidas. Vinculan estrechamente el riesgo con la estrategia
organizacional y lo abordan como parte de su proceso de toma de decisiones de gestión de riesgos.
En primer lugar, vale la pena señalar que la misión principal del directorio es maximizar el
valor de la inversión de los accionistas, aunque en casos particulares, esto podría ser
perjudicial para los intereses de otras partes interesadas (como empleados y consumidores).
Por lo tanto, es importante encontrar un resultado equilibrado tanto para los accionistas
como para otras partes en un mundo marcado por una necesidad creciente de preservar
una licencia social.
Para lograr esa misión, los directores de una junta deben tener experiencias
diferentes pero complementarias que puedan combinarse para producir una
visión holística del proceso de toma de decisiones, sin dejar de considerar los
riesgos. En otras palabras, la junta directiva debe poder ver el bosque que
rodea al árbol, no solo el árbol en sí. No obstante, tanto la ley como la práctica
diaria continúan respaldando el concepto de que la junta no puede y no debe
participar en la gestión de riesgos de manera práctica y cotidiana.
Más bien, los directores deben asegurarse de que las políticas y los procedimientos de
gestión de riesgos sean desarrollados e implementados por los altos ejecutivos y
administradores de riesgos de la empresa y estén alineados con la estrategia y el apetito
de riesgo de la empresa. Los directores también deben asegurarse de que estas políticas
y procedimientos funcionen según lo previsto y que se tomen las medidas necesarias para
fomentar una cultura en toda la empresa que promueva la conciencia, los comportamientos
y los juicios de riesgo apropiados .
El directorio debe ser consciente de la naturaleza y la escala de los principales riesgos
de la empresa y debe esperar la plena participación en la gestión de riesgos del
director ejecutivo y los altos ejecutivos. A través de su función de supervisión, la junta
puede comunicar a la gerencia y al personal que la gestión integral de riesgos no es
una barrera para el comportamiento empresarial ni un mero complemento del
programa de cumplimiento total de una empresa . Más bien, es una parte intrínseca
de la estrategia, la cultura y las operaciones de la organización. Además, deben
examinarse los roles y deberes de varios comités de la junta en la supervisión de
ciertas categorías de riesgo para garantizar que la función de supervisión de la junta sea coordinada e inte
Las obligaciones de supervisión de riesgos de una junta generalmente se derivan de los
deberes fiduciarios de la ley estatal, las reglas y regulaciones federales y estatales, los
requisitos de cotización en bolsa y algunas mejores prácticas reconocidas (y cambiantes)
a nivel nacional e internacional.
La gestión integral de riesgos no debe considerarse una actividad corporativa distinta
sino, lo que es más importante, un componente esencial de toda la empresa que influye
en la forma en que una empresa evalúa y recompensa el desempeño. La evaluación de
riesgos , el análisis preciso de riesgorecompensa y la reducción inteligente de riesgos
deben incluirse en el proceso de toma de decisiones de cada empresa.
La transparencia, la consistencia y la comunicación son fundamentales para definir
el tono adecuado en la parte superior: la visión de la junta para el negocio, incluido
su compromiso con la supervisión de riesgos, la ética y la intolerancia de las fallas
de cumplimiento, debe transmitirse con éxito en toda la organización.
Las principales empresas a menudo incluyen en sus declaraciones garantías de que
la dirección ejecutiva proporciona actualizaciones periódicas a la junta directiva sobre
cuestiones de gestión de riesgos. Algunas corporaciones incluso incluyen tales
reglas en sus informes anuales y presentaciones financieras. Si bien muchas
organizaciones tienen procesos explícitos y disparadores predefinidos para informar,
o "escalar", las inquietudes sobre riesgos a la junta directiva, muchas otras no los
tienen. Esto incluye considerar la función de supervisión de la junta como una
apreciación del riesgo cibernético como un riesgo emergente para la empresa y ser
informado de los criterios utilizados por la gerencia para decidir qué información se
remite y se informa a la junta. Al tomar esta determinación, la junta directiva primero
debe comprender la exposición al riesgo cibernético de la empresa y estar informado
del programa de seguridad cibernética de la empresa y los métodos para mitigar el
riesgo. La junta también debe alentar una estrategia de respuesta a la crisis que
requiera la participación de varias partes interesadas en colaboración con la administración.
La estructura del tablero
La estructura de la junta a menudo se determina en la constitución de una
organización o en un acuerdo de accionistas, un documento legal firmado por todas
las partes que tienen una participación en la empresa. También hay estatutos de la
junta que describen el gobierno de la empresa. Las reglas de buen gobierno
recomendarían que también se nombrara un número mínimo de directores
independientes en la junta para brindar diferentes perspectivas, incluidos directores
que tengan una variedad de experiencias en un tema en particular.
Por lo general, la junta crea diferentes comités para evaluar decisiones específicas.
Para operar de manera más eficiente y aprovechar sus recursos, la junta
podría reunir a algunos de sus miembros con experiencia particular en un
comité que aborde asuntos técnicos y brinde puntos de vista a toda la junta.
La estructura del consejo 161
para facilitar una decisión. Dependiendo de la industria, se pueden conformar
los siguientes comités: un comité de auditoría y riesgos, un comité regulatorio,
un comité de remuneración y un comité de seguridad y salud, entre otros.
Un director de la junta de un organismo de infraestructura crítica del gobierno de Nueva
Gales del Sur compartió la opinión de que “hagas lo que hagas en una empresa, siempre
debes asumir riesgos para generar beneficios. Pero el riesgo asumido debe ser apropiado
y controlado minuciosamente. A nivel de directorio, el comité de auditoría y riesgos
considerará si el registro de riesgos ha sido debidamente documentado (identificación y
calificación de los principales riesgos relativos a los procesos internos, activos tangibles
e intangibles y empleados).”
Continuó: “Este registro califica los distintos riesgos en términos de su probabilidad de
ocurrencia y la importancia del impacto para la empresa. El comité de auditoría y riesgos
debe asegurarse de que la administración de la sociedad haya elaborado e implementado
un plan de mitigación para limitar la ocurrencia de riesgos así como su trascendencia
antes de que se materialicen.”
Esto se hace para preservar la sostenibilidad/resiliencia de las operaciones, así como las
ganancias financieras.
La junta también debe reconocer que los riesgos no pueden eliminarse pero pueden
mitigarse la mayor parte del tiempo. Esto es increíblemente importante para la junta, ya
que en última instancia será responsable si un evento importante daña el negocio de la
empresa como resultado de una falta de diligencia debida (riesgos no identificados y/o
gestionados adecuadamente).
Los accionistas pueden tener intereses divergentes debido a la naturaleza de su
negocio o ciertas restricciones internas no necesariamente relacionadas con una empresa.
Puede suceder que los accionistas que están representados por los miembros de la junta
se comprometan entre sí para aprender más sobre sus expectativas en términos de la
dirección estratégica más amplia de la empresa. Las recomendaciones de la gerencia
son aprobadas, rechazadas o sujetas a enmiendas por parte de los miembros del
directorio en la propia reunión del directorio.
Idealmente, la junta generalmente quiere llegar a un acuerdo y empoderar a la alta
gerencia con la agilidad para ejecutar decisiones clave para los mejores intereses de la
empresa y los accionistas.
Un desacuerdo persistente sobre una decisión de la junta podría eventualmente
llevar a un punto muerto, impidiendo que la gerencia tome medidas hasta que se
resuelva el asunto. Un partido podría tener una posición de inversión minoritaria pero con una
“control negativo” en las decisiones de la junta. Este marco de gobierno está diseñado
para otorgar derechos de veto a los inversores más pequeños para proteger sus intereses
frente a las decisiones de los principales accionistas. El umbral de control negativo es una
decisión comercial decidida por los accionistas como parte del acuerdo de accionistas.
Los intereses de la junta en ciberseguridad
El riesgo cibernético no debe considerarse de forma aislada, y los datos de riesgo
cibernético no deben presentarse como números aleatorios o listas cuando se analizan
con la junta. La gerencia debe comunicar claramente a la junta cómo un riesgo afecta a
otro riesgo, incluido el cibernético, para que todas las partes puedan formular una solución
de manera efectiva, en lugar de crear confusión y desinterés.
La capacidad de demostrar cómo el riesgo cibernético está interconectado con otros
riesgos es tan crítica como la capacidad de demostrar cómo las medidas de mitigación del
riesgo cibernético están teniendo éxito. A su vez, esto puede ayudar a la junta a priorizar
los gastos en los esfuerzos de mitigación, comprender el rendimiento real de tales
inversiones y reconocer el valor que el CISO aporta a la organización al desarrollar
programas y proporcionar información tangible sobre qué iniciativas son exitosas y cuáles
no. Esto le permite a usted y a la junta directiva evaluar si las iniciativas están surtiendo
efecto y si se les debe prestar más atención, y cómo se comparan la preparación y la
madurez cibernética de su organización con las de otras organizaciones en la misma
industria.
Esto es más difícil de hacer cuando las discusiones sobre el riesgo cibernético se llevan a
cabo usando términos y números técnicos. Para integrar los datos de riesgo cibernético,
es esencial descubrir información vital de los datos internos y externos, y luego estandarizar
los datos para que sean comprensibles y se presenten en el contexto del riesgo
empresarial. Cuando los datos tengan tendencia a lo largo del tiempo, este informe
demostrará qué es efectivo, qué no lo es y cómo el CISO protege los intereses de la
empresa y se alinea con sus objetivos.
En lugar de hablar en la junta, el CISO debe involucrar a la junta en una discusión. Las
conversaciones hacen que las presentaciones sean más efectivas. Si desea que el CISO
genere una impresión duradera en la sala de juntas, debe involucrar a los miembros de la
junta en lugar de simplemente recitar información sobre amenazas cibernéticas importantes
o su estrategia general de gestión de riesgos cibernéticos. Y si los miembros de la junta
tienen preguntas, su CISO debería poder proporcionar respuestas... y rápidamente.
Cuando se trata de transmitir el riesgo cibernético a las partes interesadas a nivel de
directorio, estas cualidades son fundamentales.
Intereses del consejo en ciberseguridad 163
En los estudios de investigación de Shamane con la junta directiva y los ejecutivos, su
presentación sobre "Pájaros y botones" se centra en cómo las cuatro características de las
aves (la prueba de personalidad de la paloma, el búho, el pavo real y el águila [DOPE] creada
por Richard M. Stevenson) se manifiestan en el sala de juntas y los botones de activación que
hacen que los miembros de la junta se sienten y presten atención.
Después de innumerables conversaciones y compromisos con juntas y ejecutivos de todo el mundo,
Shamane lo ha reducido a los siguientes seis criterios principales para el éxito:
1. Propiedad del negocio 2.
Inversión adecuada 3. Bien equipado
4. Opciones de transferencia
de riesgo 5. Mantener la previsión
6. Resiliencia de la industria
Propiedad de la empresa En primer lugar, la
junta debe ser consciente de que es dueña del riesgo cibernético de la organización, y sus ejecutivos
Csuite son conjuntamente responsables de la gestión del riesgo cibernético , no solo el CISO.
Aunque la cibernética es cada vez más reconocida por más juntas directivas como un tema
prioritario, todavía faltan marcos formales de gobierno para apoyar la supervisión de la junta. El
presidente de la junta puede contribuir asegurándose de que haya suficiente tiempo asignado en la
agenda de la junta para las discusiones sobre riesgos cibernéticos . Algunas preguntas para impulsar
la discusión incluyen:
• ¿Sabemos quién posee el riesgo cibernético, especialmente porque es un riesgo estratégico?
habilitador de negocios?
• ¿Cómo estamos alineando la gestión del riesgo cibernético con las necesidades comerciales?
Los riesgos cibernéticos son similares a los riesgos financieros, de salud y seguridad y
operativos; existe un riesgo inherente, y el papel del ejecutivo es abordarlos desde una
perspectiva de toda la empresa, minimizando el riesgo y maximizando el rendimiento
comercial.
• ¿Tenemos un marco o una estrategia de seguridad cibernética formal?
¿La junta está haciendo las preguntas correctas para garantizar que el riesgo cibernético
se integre en los procesos comerciales desde el principio? ha sido horneado
en los principales procesos de decisión comercial de manera oportuna, incluidas
fusiones y adquisiciones, asociaciones o lanzamientos de nuevos productos?
• ¿Supervisa la junta nuestra detección y respuesta?
capacidades?
• ¿Nuestro equipo de gestión es capaz de detectar cualquier ataque cibernético o evento
crítico que requiera la participación de un alto nivel?
• Si ocurre un evento, ¿tenemos un plan? ¿Qué es y cómo?
¿Qué tan rápido podemos recuperarnos?
Inversión adecuada Esta es una pregunta
importante que la junta debe hacerse: ¿Estamos invirtiendo adecuadamente en seguridad
cibernética? ¿Nuestra inversión actual (presupuesto de seguridad) en ciberdefensa es
demasiada o demasiado poca?
La junta debe invertir continuamente de manera adecuada en el presupuesto de seguridad,
sopesando los costos y beneficios de las diferentes actividades de reducción y mitigación de
riesgos , teniendo en cuenta que no existe una solución milagrosa.
Muchas de estas cosas pueden resolverse y se resolverán con más inversión, controles,
automatización y procesos. Pero eso todavía nos deja con los seres humanos ingenuos y
compasivos (nuestros empleados) y necesitamos crear conciencia continuamente y construir
una cultura de seguridad saludable, que se destaca con más detalle en el próximo capítulo.
Bien equipado ¿Estamos bien
equipados para proteger nuestros activos más valiosos? Esto incluye asegurar nuestras
cadenas de suministro haciendo que nuestros proveedores cumplan con altos estándares.
¿Cómo le va a nuestro diseño y estructura organizativa a la hora de respaldar
nuestra estrategia de ciberseguridad? La junta debe aceptar los riesgos residuales
que no se pueden mitigar dentro del presupuesto de seguridad y, de no ser así, se
deben buscar recursos adicionales para reducir esos riesgos.
En términos de protección, ¿contamos con las herramientas, los procesos y las personas
adecuadas (incluido el propio nivel de la junta directiva) para proteger nuestros límites?
¿Tenemos acceso a PYMES expertas (expertos en la materia) para tomar decisiones
bien informadas? ¿ Cómo estamos incorporando la experiencia en seguridad
cibernética en el gobierno de la junta? ¿Hemos designado directores de la junta con ciber
Intereses del consejo en ciberseguridad 165
¿habilidades? ¿Con qué frecuencia reciben capacitación en ciberseguridad
nuestros directores de directorio? En la encuesta AICD realizada a 856
directores de juntas en mayo de 2022 (https:// www.aisa.org.au/common/
Uploaded%20files/Research/FINAL%200829935CyberSecurityReport30pp
v3B . pdf), solo el 23 por ciento de ellos ha designado directores con habilidades
cibernéticas, y el 43 por ciento de las juntas no recibe capacitación sobre ciberseguridad.
Se requiere un enfoque más proactivo para brindar educación continua a la junta , dada
la naturaleza creciente y evolutiva del riesgo cibernético.
Opciones de transferencia de riesgos
Esta es una pregunta simple: si no hay un seguro cibernético adecuado, ¿sabemos
cuál es la exposición a la junta? Y si hay seguro, ¿ sabe la junta qué es exactamente
lo que cubre? ¿Cuáles son los beneficios? ¿Esto alinea efectivamente nuestros riesgos
cibernéticos con nuestra tolerancia al riesgo comercial? Y si no, ¿existen opciones de
transferencia de riesgo que se puedan considerar?
Mantener la previsión Es importante que
las organizaciones se mantengan al día con los asuntos actuales y estén preparadas
para los cambios regulatorios. ¿Ha determinado la junta quién proporcionará el patrocinio
de alto nivel para la próxima legislación y regulación relacionada con la seguridad cibernética?
¿Hemos vinculado los futuros impulsores económicos y la transformación digital con
sus impactos en nuestro riesgo cibernético? Y si es así, ¿cómo rastreamos,
respondemos y presupuestamos nuevas amenazas? ¿ Entendemos las ramificaciones
legales para la empresa?
Estamos en un panorama en constante evolución donde las personas ahora son más
conscientes que nunca sobre cómo proteger su información personal y privada. ¿Cómo
podemos defender una cultura segura dentro de la organización?
Resiliencia de la industria Finalmente,
debemos saber que para mantener la resiliencia, no podemos hacerlo solos.
Se necesita colaboración para que nuestra industria sea ciberresiliente. La junta debe
explorar formas de participar con otras organizaciones de intercambio de información
dentro del ecosistema más amplio.
¿Cómo nos va en las revisiones por pares? ¿Sabemos cómo nos comparamos
con otras empresas de la misma industria y de un tamaño similar?
Siempre que la junta tenga conocimiento de los seis criterios anteriores para el éxito, tendrá
una base sólida y podrá usar estos criterios para guiarlos a ellos y a su equipo ejecutivo en
consecuencia.
El asiento del CISO en la mesa
A medida que el puesto de CISO evoluciona y se desarrolla, su organización debe evaluar el
éxito de su CISO asegurándose de contratar al candidato adecuado y haciéndose las
siguientes preguntas para hacerlo:
• ¿Está nuestro CISO equipado con las habilidades necesarias?
La buena noticia es que no existe un enfoque único para el éxito. Un buen CISO no
necesita una formación técnica o un título de una universidad reconocida. De hecho,
una investigación publicada por Digital Guardian encontró que solo el 27 por ciento
de los CISO tienen títulos en TI, mientras que aquellos con títulos en informática
representaron el 23 por ciento.
Los CISO de hoy en día deben tener buenas habilidades de gestión y liderazgo y
reconocer la ciberseguridad como un riesgo comercial. El CISO debe colaborar con
el liderazgo para establecer una comprensión compartida de la arquitectura de
seguridad, definir las responsabilidades de TI y las operaciones de seguridad, y
brindar resultados a través del desarrollo del equipo relevante y las conexiones
internas. En resumen, debe establecer la idoneidad del CISO para el Csuite al hacer
juicios sensatos y relacionarse con otros ejecutivos de la empresa como pares.
• ¿Es nuestro CISO capaz de comunicar de manera sucinta los riesgos, incluidas las
amenazas actuales, la probabilidad y los impactos, en un lenguaje que los líderes
corporativos y la junta directiva puedan comprender, respaldar y actuar?
Los CISO deben tener una comprensión intuitiva de qué hechos e inquietudes deben
llamar la atención de la junta y la capacidad de comunicarlos de manera efectiva.
Cuando los riesgos cibernéticos se explican en términos financieros, es más probable
que la junta comprenda sus implicaciones y apruebe las solicitudes de inversión,
dejando de verlo solo como un costo.
Hablando el idioma de la junta 167
• ¿Nuestro CISO es capaz de mejorar el riesgo de ciberseguridad de la empresa?
gestión a un nivel más preciso?
El CISO es responsable de desarrollar y ejecutar un plan de riesgo cibernético
que salvaguarde los activos de información crítica mediante el uso de medidas
rentables basadas en el riesgo. El primer paso crítico en la gestión del riesgo
cibernético, o cualquier riesgo operativo, es definir el riesgo.
Al comprender los objetivos clave de su CISO, ¿cómo puede brindarles el apoyo que
tanto necesitan para que tengan éxito en su función? Simple: siéntese, tome una taza de
café y disfrute de una conversación franca. Sus conversaciones con su CISO deben
centrarse en las preguntas candentes sobre el negocio, los desafíos de seguridad y las
ideas sobre la política de seguridad cibernética.
Los ejecutivos de Csuite y los miembros de la junta deben apoyar y empoderar al CISO;
esto es particularmente crítico. Los CISO tienen la capacidad de crear cambios, lo cual
es crucial para el éxito y la supervivencia de las empresas en la actualidad. Las juntas
directivas y los ejecutivos de Csuite deben asegurarse de elegir y luego apoyar al CISO
en su posición cada vez más crucial dentro de la organización.
Además, los directorios y los ejecutivos de Csuite deben reforzar el mensaje de que
todos los líderes de la organización son responsables de la ciberseguridad y deben
colaborar con el CISO y ser receptivos y asumir sus propias responsabilidades específicas
de ciberseguridad. Es la única manera de asegurar el éxito continuo del negocio.
Hablando el idioma de la junta
Cuando la junta directiva no interactúa con los riesgos críticos, incluido el riesgo
cibernético, en la misma medida en que se involucra con las recompensas y las
oportunidades, esto se conoce como ceguera al riesgo de la junta. Esto ciertamente se
puede evitar si el CISO emplea una estrategia de comunicación adecuada.
Un CEO y una junta directiva conscientes e involucrados buscan actualizaciones sobre
el riesgo cibernético, no lo tratan como un problema de TI simple y pequeño, y confían a
su CISO una estrategia y hoja de ruta de gestión del riesgo cibernético. El director
ejecutivo y el directorio deben sentirse seguros de que, en caso de incumplimiento, las
medidas apropiadas son parte del plan de continuidad del negocio y el plan de respuesta
ante desastres para minimizar el daño a los consumidores en particular y a la empresa en general.
Si bien la seguridad cibernética se ha declarado cada vez más como un tema de alta
prioridad para muchos directores (el 72 % de los encuestados por AICD así lo indica),
es interesante notar que la mayoría de los directorios indican que todavía tienen que
Reciba informes regulares sobre cuestiones cibernéticas clave, sin mencionar la capacitación
y las pruebas cibernéticas internas. Solo el 36 % de los directorios reciben informes
regulares, lo que significa que el personal de una organización podría no estar recibiendo el
mensaje adecuado sobre la importancia de la vigilancia cibernética.
Además, en la misma encuesta (ver Figura 10.1), solo uno de cada cinco directores recibe
actualizaciones periódicas sobre el riesgo cibernético que proviene de sus relaciones con
la cadena de suministro, lo que debería ser otra consideración de riesgo importante para
el negocio.
Figura 10.1 – Hallazgos de la encuesta AICD sobre las áreas de riesgo cibernético informadas a la junta
Para garantizar que se transmita el mensaje correcto a la junta, las personas que se
presentan ante la junta deben comprender cómo piensa la junta antes de hablar con ellos.
La mayoría de las personas no están familiarizadas con el entorno de la sala de juntas y
lo que sucede detrás de escena. Para entender cómo piensa la junta, es importante
entender quiénes son los miembros de la junta.
Aquí hay algunas cosas que debe saber al interactuar con la junta:
• Se espera que la junta haya leído el paquete de la junta que se les envió antes de la
presentación.
• Generalmente, se toman de 10 a 20 minutos para cada elemento de la presentación,
seguido de un período de preguntas.
Hablando el idioma de la junta 169
• El presidente siempre proporciona el tiempo adecuado para que los miembros de la
junta hagan preguntas. Es responsabilidad de los miembros de la junta hacer
preguntas y haber realizado su propia diligencia debida.
Michelle Beveridge, presidenta y directora de la junta de varios comités de finanzas,
educación y gobierno, comparte su preferencia: “Personalmente, me gusta recibir
las recomendaciones justo al comienzo de un documento de la junta. De esa
manera, sé sobre qué estoy tomando una decisión, dónde enfocarme y qué otra
investigación podría necesitar hacer. ¡Este formato hace una gran diferencia!
“La mayoría de los paquetes de tableros tienen más de 200 páginas, y me gustaría
saber qué debo tener en cuenta para tomar una decisión en el mejor interés de las
partes interesadas relevantes. Un buen papel me lo dirá por adelantado”.
• El material presentado a la junta debe ser relativamente fácil de entender para todos,
ya que los miembros de la junta suelen tener diferentes antecedentes. La falta total
de preguntas después de una presentación a menudo se debe a tres razones: baja
materialidad estratégica del tema discutido, falta de interés o falta de comprensión.
Si una junta no entiende lo que se presentó, entonces el presentador debe volver
a evaluar su contenido y enfoque.
• Los miembros de la junta entienden los riesgos comerciales, el lenguaje de los
ingresos y los márgenes, la mitigación de riesgos, los requisitos de cumplimiento y
las ramificaciones legales. Las presentaciones deben darse en esos contextos.
Mantenga la jerga técnica fuera de esto.
• Cada presentación debe incluir una recomendación a la junta, de la cual los miembros
de la junta deben entender claramente qué se les pide que hagan como tomadores
de decisiones (ya sea aprobación o simplemente tomar nota), qué necesita de
ellos en términos de recursos, qué el cronograma es para la implementación y qué
riesgos/problemas enfrentará la empresa (si corresponde).
Magda recuerda algunas experiencias positivas; uno en particular con el directorio
de una institución financiera. La retroalimentación fue que la presentación fue
sucinta, clara y dentro del tiempo asignado. Otra experiencia fue muy diferente,
pero igualmente positiva. Magda hizo una presentación ante el directorio de una
empresa multinacional de petróleo y gas que cotiza en bolsa. Estaba
extremadamente sorprendida por el interés de los miembros de la junta. Algunos
mencionaron ideas excepcionales. Estudió las prioridades e iniciativas del negocio
y mostró cómo funcionan las iniciativas de seguridad cibernética actuales y futuras
para mitigar el riesgo asociado, y cuantificó el riesgo residual potencial. También describió las lagunas
inversión requerida. La conversación se prolongó durante una hora y media, ya que algunos
miembros de la junta cancelaron otras reuniones para hacer más preguntas. Fue una experiencia
única, y muy agradable para todas las partes. La presentación se convirtió en una discusión con
la junta.
Qué no hacer en la sala de juntas
Como resultado del aumento de las normas y la legislación globales, la gestión del riesgo
cibernético forma cada vez más parte de la agenda de la junta.
La ciberseguridad es compleja. Existe una plétora de experiencia, pautas, estándares, requisitos
y vulnerabilidades, entre otros asuntos. Sin embargo, existe un énfasis creciente en evitar la
complejidad adicional y garantizar que la gestión del riesgo cibernético contribuya a la mejora de
las estructuras empresariales actuales al actuar como una parte integrada de los procesos
establecidos, en lugar de oponerse a ellos. Esto requiere una comprensión común del impacto del
riesgo cibernético en los objetivos de la empresa y una buena comunicación entre los ejecutivos
comerciales, el CISO y la junta.
El papel del CISO es asegurarse de que la junta comprenda las amenazas cibernéticas que
representa para el negocio y debe tener un lugar en casi todas las agendas de la junta. Una
pregunta clave que deben hacerse los CISO antes de cada presentación a la junta es: ¿Estamos
complicando demasiado las cosas?
En varias de las charlas informales de Shamane con los presidentes y directores de la junta,
destacaron su frustración común con los expertos técnicos que se vuelven demasiado técnicos en
sus presentaciones: "Si presentas algo y la junta no entiende lo que estás diciendo, se van de la
reunión pensando en ti". eres demasiado incompetente para explicar las cosas. Mantén las cosas
simples.
Magda recuerda que un miembro de la junta dijo que todos los expertos en seguridad cibernética
hablan su propio idioma y que ellos, los directores de la junta, no lo entienden.
¿Estamos vendiendo nuestro mensaje usando el miedo?
Sí, la ciberseguridad es un riesgo. Sin embargo, no es el único riesgo que le importa al
directorio. Entregar su mensaje usando el miedo puede ser útil solo con cierta frecuencia, y
también puede resultar contraproducente si la junta se vuelve insensible. Muestre cómo el
riesgo cibernético afecta a los inversores y al riesgo organizacional en el esquema más amplio de las cosas.
¿Estamos siendo el obstáculo?
Reporting to the board (un complemento para los CISO y una referencia para los CEO) 171
El papel de la ciberseguridad es resolver el problema de las ciberamenazas y los
ciberriesgos . Las decisiones sobre la prevención de riesgos deben ser tomadas por el
propietario de la empresa, no por el CISO. El CISO está allí para ayudar a la junta a
comprender los riesgos y brindarle opciones que mitiguen, reduzcan o transfieran ese riesgo.
Reporting to the board (un complemento
para los CISO y una referencia para los CEO)
Los informes a la junta directiva sobre el riesgo cibernético deben hacerse en un
lenguaje sencillo para que la junta pueda tener una idea rápida de lo que está sucediendo
dentro de la organización. Una estructura de informes cibernéticos alineada con las
iniciativas estratégicas comerciales o el cuadro de mando generado por el CISO puede
ayudar a la junta directiva a evaluar los riesgos cibernéticos existentes y rastrear el
progreso en seguridad cibernética.
Un plan estratégico plurianual, una estrategia comercial del año en curso, recursos, un
programa de capacitación cibernética y otra información relevante sobre las operaciones
cibernéticas de la empresa deben estar disponibles para la junta para obtener una
imagen completa de las actividades cibernéticas de la empresa, nuevamente. alineados
con las iniciativas comerciales estratégicas.
Según una encuesta reciente realizada por Ponemon Institute, solo el 9 por ciento de los
equipos de seguridad creen que tienen mucho éxito en transmitir amenazas de seguridad
a la junta directiva y otros ejecutivos de alto nivel.
Un CISO puede sentir que comunicar la relevancia del programa de riesgo cibernético
de una organización a una audiencia que ve la seguridad cibernética como otro problema
técnico difícil de comprender es imposible. En consecuencia, muchas decisiones
relacionadas con la seguridad son tomadas por la junta y el Csuite basándose en el
instinto y la información inadecuada. O peor aún, no se toman decisiones y esas
organizaciones siguen siendo particularmente vulnerables a las ciberamenazas.
Los CISO de hoy deben definir métricas y cuantificar los riesgos cibernéticos para tomar
decisiones más informadas. Estos esfuerzos ayudan en la priorización de las amenazas
cibernéticas más importantes y la alineación de los requisitos de asignación de capital
con esos riesgos. Ayudan a garantizar que los fondos cibernéticos se dirijan a las áreas
que más afectarán a la empresa. Es este lenguaje el que entienden la mayoría de los
directorios y ejecutivos de nivel C.
Al final del día, la cantidad de riesgo cibernético debe ser compatible con el apetito
de riesgo de la organización. Específicamente, las juntas directivas quieren saber
si la gerencia se está enfocando en los riesgos cibernéticos apropiados, cómo la
gerencia maneja esos riesgos y si los esfuerzos son suficientes. Esto comienza con
obtener una visión general del programa de gestión de riesgos cibernéticos de la
empresa, así como su tolerancia al riesgo cibernético.
Magda usa la plantilla de informe de la figura 10.2 después de estudiar detenidamente los
informes financieros de una empresa.
Figura 10.2 – Ejemplo de reporte
Los diferentes escenarios deben explicarse y luego vincularse a las iniciativas comerciales
estratégicas.
Directorios y fusiones y adquisiciones
Las consideraciones de riesgo cibernético para fusiones y adquisiciones son cada vez más
importantes. De hecho, invertir en una empresa con poca madurez cibernética podría
generar pérdidas financieras masivas y valoraciones incorrectas, y eventualmente provocar
daños a la reputación en caso de un ataque cibernético o una violación de datos.
En varias etapas de una fusión y adquisición (M&A), existen varios riesgos : desde la
fuga de información antes de la divulgación pública, desde el riesgo de amenazas
internas, desde empleados descontentos que roban propiedad intelectual valiosa por
temor a cambios y despidos, desde el riesgo no ajustado como dos organizaciones
fusionarse, lo que podría dar lugar a un contagio entre las dos entidades o a la
explotación de enfoques conflictivos. El momento de las transacciones de fusiones y
adquisiciones es siempre un delicado equilibrio entre la velocidad y el riesgo: la necesidad de consumar el
Hacer las preguntas correctas a la junta y preparar a su CISO para el éxito 173
transacción rápidamente antes de que suban los valores y explotar nuevas oportunidades
comerciales (para desbloquear el valor), y el peligro de no hacer suficiente diligencia debida.
Durante el curso de una fusión y adquisición, el riesgo cibernético cambiará en diferentes etapas,
y cada etapa requerirá una cuidadosa consideración. Además, cambios imprevistos en el perfil
de riesgo, niveles de confianza desiguales y enfoques contradictorios de política y cumplimiento,
por ejemplo, SOX, PCI DSS, FCA DSS, ISO 27001 y GPDR de la UE (que reemplazó la Ley de
Protección de Datos), entre otras cosas, todo podría tener una influencia.
La junta y el CEO deben considerar si los elementos del programa de seguridad pueden tenerse
en cuenta durante la fase de negociación y traer al CISO a bordo según corresponda.
La siguiente sección se centra en las preguntas que debe hacerse a sí mismo, al director
general, y al directorio para desarrollar la resiliencia cibernética de su organización.
Hacer las preguntas correctas a la
junta y preparar a su CISO para el éxito
Es responsabilidad del CEO y de la junta discutir las siguientes preguntas para lograr la
resiliencia cibernética:
• ¿Tenemos un enfoque colaborativo para los problemas emergentes de riesgo cibernético?
Considere si los altos ejecutivos a cargo de desarrollar estrategias de gestión de riesgos
y resiliencia están trabajando o no junto con el CISO hacia un objetivo único de lograr
el éxito.
• ¿Cuán receptivos y adaptables somos frente a las amenazas cibernéticas y nuestra
gestión de las mismas? El riesgo cibernético aún puede considerarse un problema de
TI, carecer de integración con los procesos de gestión de riesgos empresariales o
simplemente verse como un ejercicio de cumplimiento (por ejemplo, lograr una
certificación ISO 27001:2013). Sin embargo, esto no es suficiente para habilitar y
construir una resiliencia cibernética efectiva. La alta gerencia debe observar de cerca
el riesgo cibernético y colaborar para identificar, cuantificar, tratar y transferir ese riesgo
cibernético. También deben ser conscientes de la proporción de riesgo cibernético que
maneja la organización en comparación con terceros, socios potenciales o durante una
fusión y adquisición.
• ¿Estamos pronosticando y anticipando los riesgos cibernéticos a medida que surgen?
El director ejecutivo y el director de seguridad de la información deben ayudar a la junta
a analizar los cambios futuros y sus implicaciones, por ejemplo, tecnologías emergentes
como la computación cuántica, que tiene el potencial real de interrumpir los controles de
seguridad tradicionales. Esto es muy importante, ya que podría requerir años de
planificación y recursos presupuestarios significativos.
• ¿Tenemos las métricas correctas en su lugar? A medida que las empresas enfrentan una
variedad cada vez mayor de riesgos cibernéticos que son complejos y están
interrelacionados con otros riesgos, es posible que muchos de los métodos clásicos para
presentar y medir el riesgo cibernético ya no sean apropiados o efectivos.
Las juntas directivas y los ejecutivos Csuite deben evaluar los indicadores relevantes
para informar y avanzar en la toma de decisiones de su negocio.
Al final, las empresas que prosperen en esta era de creciente complejidad serán aquellas que se
distingan en su gestión de riesgos y en la forma en que emplean el capital de riesgo para eliminar
el riesgo de la innovación y el crecimiento tanto como sea posible.
La forma en que la junta directiva y el director ejecutivo aborden estas preguntas permitirán que
el CISO desarrolle estrategias de seguridad cibernética apropiadas, construya planes de
continuidad comercial y efectúe procedimientos de recuperación ante desastres. Todo es una
parte esencial del éxito de un CISO y la resiliencia cibernética de una empresa.
Resumen
La gestión del riesgo cibernético es difícil para casi todas las empresas y sus juntas directivas. La
ciberseguridad es un campo tecnológico sofisticado en el que surgen nuevas amenazas casi
semanalmente. A pesar de que la mayoría de los miembros de la junta no son profesionales
cibernéticos, las juntas directivas tienen el deber de reconocer y monitorear este riesgo. Esto
requiere una participación activa con liderazgo y acceso a expertos, así como información e
informes completos de la alta dirección de una organización.
Específicamente, las juntas directivas quieren saber si la gerencia se está enfocando en los
riesgos cibernéticos apropiados, cómo la gerencia maneja esos riesgos y si los esfuerzos son
suficientes. Esto comienza con obtener una descripción general del programa de gestión de
riesgos cibernéticos de una empresa, así como su tolerancia al riesgo cibernético.
Resumen 175
Además, algunas juntas han determinado que la seguridad cibernética es un
riesgo que requiere la supervisión de toda la junta, en lugar de un comité específico.
Cualquiera que sea el caso, si la supervisión se delega a un comité de la junta, es
fundamental que toda la junta reciba informes frecuentes y completos.
Sigue siendo beneficioso revisar los medios de supervisión de la junta de manera regular
para garantizar que continúen funcionando correctamente. Entre los factores a evaluar
están si la estructura existente involucra a los miembros apropiados de la junta y si tienen
tiempo suficiente para manejar el tema en cuestión. También es fundamental asegurarse
de que su junta tenga acceso a los expertos en la materia adecuados que necesita. Muchas
juntas directivas buscan candidatos con experiencia en ciberseguridad. Esto puede ser
beneficioso pero también tiene algunas desventajas , particularmente cuando la experiencia
es limitada. La presencia de un ciberespecialista en el directorio puede hacer que sea
menos probable que otros directores expresen sus pensamientos sobre el tema.
El hecho de que este tema sea tan amplio puede dificultar el diseño de un
plan para abordar las presentaciones de la junta, lo que puede ser un desafío.
Sin embargo, sigue siendo una parte fundamental de la construcción de un negocio
resistente hoy en día con una creciente dependencia tecnológica y ecosistemas complejos.
Al comprender la importancia de la resiliencia cibernética e implementar las medidas
necesarias, su empresa puede protegerse de estas amenazas. El capítulo final discutirá la
cultura cibernética y la importancia de que las empresas reúnan todas las recomendaciones
anteriores para construir la cultura empresarial adecuada.
11
La Receta para
Construyendo un fuerte
Cultura de seguridad—
traerlo todo
Juntos
La resiliencia cibernética prepara a una organización para mantener e incluso acelerar el
crecimiento del negocio al anticipar, reaccionar y recuperarse de los ataques cibernéticos.
Una organización con resiliencia cibernética puede adaptarse a crisis, peligros,
adversidades y obstáculos conocidos y desconocidos. El objetivo final de la
resiliencia cibernética es ayudar a una organización a prosperar frente a la
adversidad (ya sea una crisis, una pandemia, la volatilidad financiera, etc.).
Los capítulos anteriores han proporcionado muchos conocimientos profundos sobre
las funciones y responsabilidades del Csuite con respecto a la ciberseguridad. La
colaboración producirá un resultado cibernético más poderoso al incorporar los
diferentes lentes y perspectivas de los CxO. La transformación acelerada de los
canales convencionales a los digitales, tanto durante como después de la pandemia
del COVID 19, ha sido uno de los cambios más significativos impuestos a las
empresas. De los riesgos que ahora ocupan un lugar central, los impactos geopolíticos,
de continuidad comercial, de reputación, de confianza, competitivos, regulatorios, de
seguros y legales son solo algunas de las preocupaciones relacionadas con esos riesgos emergentes.
178 La receta para construir una cultura de seguridad sólida: unirlo todo
Este capítulo final aborda un núcleo clave e importante de cualquier organización
próspera: la cultura necesaria para construir un negocio resistente a la cibernética. Para
que una empresa tenga la mejor oportunidad de ser resistente cibernéticamente,
debemos abordar la cultura de seguridad en todos los niveles de empleados y capacitar
al CISO en sus responsabilidades asegurándonos de que tenga un asiento en la mesa.
En el capítulo, cubriremos los siguientes temas:
• Construir una cultura de seguridad sólida
• Reuniéndolo todo • Complemento
CISO: construyendo una cultura de seguridad cibernética
• Los diferentes bloques de construcción
• Variando tu entrenamiento
• Responsabilidad de compartir la nube
• Un programa práctico de concientización cibernética
• ¿Qué tipo de comunidad está construyendo? • Preguntas
que debe hacerse sobre la construcción de una cultura
Construyendo una sólida cultura de seguridad
Una sólida cultura de seguridad es esencial para un programa integral de ciberseguridad, así como
para una organización resistente a la cibernética.
Los empleados conscientes de la seguridad se convierten en su primera línea de defensa, ya que
comparten los mismos valores, filosofía y enfoque de comportamiento hacia la seguridad
establecidos por la empresa. Una cultura de seguridad sólida implica que sus empleados sean
más escrupulosos en el cumplimiento de los estándares de seguridad, sean más conscientes de
las preocupaciones de seguridad y asuman la responsabilidad de las preocupaciones de seguridad.
La seguridad y la protección, ya sea digital o física, es un deber compartido, y se obtienen ventajas
significativas al reducir los riesgos cibernéticos cuando las mejores prácticas de seguridad se
integran en las rutinas diarias de los empleados. Todas las manos deben estar en cubierta,
comenzando en la parte superior.
Juntando todo 179
La cultura de una organización se informa desde arriba. El CEO y la junta directiva establecen las
expectativas. Para que haya una cultura de seguridad efectiva, el liderazgo de su organización está
involucrado y dedicado a la seguridad, y desarrollan conscientemente una cultura de seguridad
apropiada para la organización.
Si la seguridad no ha sido una prioridad en la organización, es común que el CEO necesite un período
de ajuste antes de comprometerse por completo.
A medida que ascienda a este puesto, su personal de seguridad puede comenzar por celebrar reuniones
frecuentes con el director ejecutivo, una alta gerencia, en las que pueden explicar por qué la seguridad
es importante para la empresa. Se necesitará educación para todos en el CSuite sobre la eficiencia de
las políticas y tecnologías de seguridad actuales de la empresa para mitigar posibles amenazas.
Solo entonces se puede construir una cultura de seguridad resiliente.
Reuniéndolo todo
Desde el primer capítulo de este manual, hemos notado que la seguridad cibernética
ha ganado prominencia como un tema ambiental, social y de gobierno (ESG) clave.
Si las empresas no defienden adecuadamente sus activos de información, corren
el riesgo de perder su reputación o su estado financiero cuando (no si) ocurre un
incidente cibernético. La ciberseguridad ya no es un problema técnico aislado en el
departamento de TI; tampoco es una moda pasajera, sino un tema que seguirá
creciendo con el tiempo. La gestión del riesgo cibernético requiere una estrategia
de riesgo integral que tenga en cuenta a las personas, los procesos y la tecnología
al tiempo que adopta medidas de mitigación. Debe abarcar a todos en la
organización, y todos deben trabajar en asociación para garantizar la resiliencia.
Con eso en mente, recapitulemos cada uno de los roles de sus CxO y proporcionemos una imagen
holística.
El riesgo cibernético es un riesgo comercial y los CISO de hoy deben comprender las operaciones de
su organización desde un punto de vista comercial y deben poder evaluar todas las iniciativas
comerciales (en algunos casos, incluso la participación del cliente). El CEO debe actuar como líder en
ciberseguridad y modelo a seguir para la empresa.
Juntos deben fomentar una cultura cibersegura, proactiva y responsable en la que cada miembro del
equipo conozca su papel en la mitigación del riesgo cibernético para la empresa.
Figura 11.1 – Organigrama
La Figura 11.1 muestra una estructura óptima de gobierno organizacional corporativo.
Sin embargo, esto no significa que las empresas deban seguir esto exactamente. El
CISO o el CSO es el ejecutivo a cargo de la seguridad de la información y, dado que
las empresas dependen cada vez más de la información, debe tener un papel
destacado en las discusiones de toma de decisiones. El CISO aborda una variedad
de problemas funcionales a diario, particularmente en el panorama de seguridad
actual , superpuesto a los cambios fundamentales que tienen lugar en los negocios.
Como parte de sus tareas principales, el CISO equilibra las obligaciones técnicas y de gestión.
El CISO debe intentar vincular su estrategia de seguridad con el propósito de la organización
para analizar los objetivos de la organización y la tolerancia al riesgo de manera efectiva.
El panorama regulatorio también ha evolucionado rápidamente a nivel mundial a medida que
los gobiernos reaccionan a las nuevas amenazas e incidentes cibernéticos. Tras la
implementación del RGPD de la UE, otros gobiernos han comenzado a seguir su ejemplo, lo
que implica que los requisitos corporativos para el cumplimiento de la seguridad de la
información seguirán siendo cada vez más complejos.
A medida que más software migra del centro de datos a la nube, el CISO es responsable de
mejorar la gestión de la seguridad, la identidad y el acceso en entornos públicos y privados.
Al mismo tiempo, es necesario proteger la seguridad de los sistemas locales más antiguos.
Con una permanencia promedio de dos a tres años para el personal de seguridad, un CISO
debe ser un líder atractivo y atento que reaccione a las necesidades de la empresa y
promueva el crecimiento y desarrollo profesional para reducir la rotación. El CISO también
debe analizar de forma rutinaria los activos de datos para garantizar que sean manejables y
minimizar la cantidad de datos necesarios para protegerlos a fin de evitar que la empresa se
ralentice significativamente en caso de un incidente cibernético.
Complemento de CISO: creación de una cultura de ciberseguridad 181
Quizás lo más importante es que el CISO debe enfrentar la nueva realidad: las
filtraciones de datos pueden ocurrir y ocurrirán. Al expandir el enfoque del CISO en los
controles preventivos para abarcar una planificación más estratégica, el CISO puede
abordar los riesgos potenciales que plantea la transformación digital en curso, así
como las crecientes dependencias de sus proveedores externos.
El CISO está bajo una enorme presión para gestionar los riesgos asociados con la transición
digital de una organización frente a un entorno de amenazas cada vez más hostil. Un
elemento que contribuye a los desafíos del CISO es que a menudo es el novato en medio
de un grupo de ejecutivos experimentados, con descripciones de puestos que se han
desarrollado, perfeccionado y tradicionalizado durante muchas décadas. El papel del CISO,
en cambio, no solo es nuevo, sino que evoluciona continuamente.
Desde que se adoptó el puesto de CISO hace solo unos años, la generación actual de
CISO se encuentra entre los primeros en llevar el título en sus organizaciones.
Corresponde a esta generación de pioneros de la seguridad definir las funciones y el alcance del CISO.
Uno de los componentes más críticos de la responsabilidad del CISO, en nuestra opinión,
es convertir a otros ejecutivos en colaboradores entusiastas para establecer una empresa
resistente a la cibernética.
Complemento de CISO: creación de una cultura de
ciberseguridad
Un líder fuerte no necesita aceptar el "statu quo cultural" y puede reclutar un grupo de
campeones o defensores dentro de la empresa para impulsar los resultados relacionados
con la cibernética. Un líder fuerte crea una cultura de ciberseguridad donde los empleados
están empoderados y dirigidos con un propósito. Alexandra Mercz, jefa de personal de
GoToFinancials, un proveedor de soluciones de servicios financieros, compartió que en una
de sus funciones anteriores antes de la pandemia, con frecuencia hacía sus " rondas de
oficina", lo que significaba visitar personalmente a las partes interesadas y los equipos
clave para ponerse al día rápidamente. En la oficina.
Durante una de estas rondas en la oficina, se detuvo en el escritorio de un gerente de
programas cibertécnicos experimentado y de alto nivel encargado de implementar una
solución crítica para el negocio. Mientras discutían los entregables, ella cambió de tema y
le preguntó: "¿Sabes por qué haces lo que haces?"
Él la miró sin comprender, como si no entendiera la pregunta. Ella repitió: “¿Cuál es el
propósito de sus entregables? ¿POR QUÉ estás haciendo lo que estás haciendo?”
182 La receta para construir una cultura de seguridad sólida: unir todo
La persona miró al otro lado de la habitación mientras se hundía en sus pensamientos.
Finalmente, dijo: “Porque el negocio dijo que necesito entregar esta solución”. Si bien
Alexandra no se sorprendió con esta respuesta, él parecía infeliz al decir estas palabras.
Ella le explicó que su entregable era tan importante para el negocio que no podría continuar con
las operaciones si no estaba listo en el tiempo acordado. La expresión de su rostro cambió por
completo después de escuchar esto. Fue casi tangible ver cómo el contexto completo y el
impacto le dieron a esta persona el propósito de continuar con su trabajo y, muy probablemente,
incluso reducir la exposición al riesgo cibernético de la organización.
Desde una perspectiva organizacional, centrarse en la alineación estratégica de un negocio y
sus riesgos clave puede ser un marco práctico que ayude a dar forma a una cultura. No basta
con desarrollar productos y procesos; las personas que realizan el trabajo deben comprender
cómo y por qué es fundamental para el negocio.
Los modelos a seguir de liderazgo con sus propias historias de seguridad transmiten
un mensaje fuerte. Imagínese si el CEO u otros Cejecutivos se hicieran eco de los
valores de seguridad en su visión y misión. Imagínese si comparten historias
personales de cómo practican buenos comportamientos de seguridad y por qué es
esencial para ellos. Imagínese si se presta mucha atención y enfoque a la seguridad
desde los niveles más altos de liderazgo. Eso tendrá un impacto en toda la organización.
Con el tiempo, habrá un cambio de mentalidad cuando la seguridad se haya integrado en la
cultura de la organización. El personal comenzará a comprender que la seguridad es parte de
su historia y del trabajo que realizan. A medida que buscamos traer a todos con nosotros en
este viaje, hay formas en que podemos ser estratégicos en la construcción de la cultura.
A veces, no tiene que empezar en la parte superior. Los mandos intermedios, e incluso los
empleados sobre el terreno, pueden desempeñar un papel inestimable a la hora de influir en una cultura.
No subestime la importancia que tienen los mandos intermedios para impulsar una cultura de
seguridad saludable, ya que son los que tienen una interacción directa y constante con el
personal. Es importante que la gerencia dé el ejemplo y tenga comportamientos conscientes de
la seguridad. Si los gerentes hacen algo tan simple como asegurarse de que su computadora
esté siempre bloqueada antes de retirarse , es más fácil y solo es cuestión de tiempo antes de
que el resto comience a seguirlos.
Del mismo modo, se necesita tiempo e iniciativa para educar a los equipos sobre los flujos de
trabajo adecuados y los posibles riesgos de seguridad para una empresa. La gestión puede ser
un recurso invaluable para fortalecer su capa de defensa humana.
Los diferentes bloques de construcción 183
En la siguiente sección, Muhamed Noordin Yusuff, CISO global de Circles. life, una empresa
de telecomunicaciones digitales, comparte su enfoque para construir una cultura de seguridad
saludable en toda la empresa .
Los diferentes bloques de construcción
"¡Hiciste clic en el enlace de phishing!" ¿Cuántas veces nos hemos encontrado con alguien
que hizo clic en enlaces de phishing de destinatarios desconocidos? A pesar de que se llevó
a cabo capacitación tras capacitación, sin mencionar los ejercicios de phishing ocasionales
realizados en toda la empresa o con grupos específicos, alguien en la empresa seguramente
dirá: “¡Ups! Accidentalmente hice clic en ese enlace desconocido. Lo siento."
¿Es la capacitación en concientización sobre seguridad una vía para mejorar la cultura de
seguridad? Definitivamente lo es. Como CISO en el espacio de las telecomunicaciones
digitales, Noordin comparte que la capacitación en concientización sobre seguridad y la
realización de ejercicios de phishing se han convertido en parte de su proceso BAU . Aunque
se trata de facto, la necesidad de hacer que la capacitación sea cada vez más atractiva es
importante para mantener la participación del usuario.
Construir una cultura de seguridad saludable en toda la empresa es una batalla cuesta
arriba. También depende en gran medida de la naturaleza del negocio en el que esté involucrado.
Construir y mantener una cultura de seguridad primero en una industria regulada
como una institución financiera es diferente de construirla en un entorno de inicio.
En un espacio de seguridad de la información, a menudo escuchamos sobre el concepto
de personas, procesos y tecnología. Si bien podemos implementar procesos y justificar el
presupuesto para nuevas soluciones de seguridad, administrar el aspecto de las personas
suele ser el más difícil, independientemente de la industria. Esto es especialmente cierto
cuando está en la naturaleza humana encontrar el camino de menor resistencia si se les
presenta un inconveniente (es decir, mayores procesos para abordar la seguridad). Aunque
a menudo se menciona que las personas son el eslabón más débil, también pueden ser
nuestro mayor aliado si se abordan correctamente.
Al construir una cultura de seguridad, es correcto que comencemos con las personas en una
empresa. A menudo, se da por sentada una cultura organizacional, algo que ya existe y que
las personas adoptan pasivamente, y no algo que impulsamos activamente. Sin embargo, la
cultura da forma a todo lo que hacemos.
Al implementar cualquier cambio nuevo, no se trata solo de obtener la aceptación de la
parte superior, sino también el apoyo de la gerencia media y de abajo. Si el CISO acaba
de incorporarse a la empresa, la gestión de las partes interesadas es clave. Debe socializar
con las partes interesadas en todos los niveles de la empresa y comprender las
preocupaciones que tienen en torno a la seguridad, si han experimentado incidentes de
seguridad en el pasado y cómo puede ayudarlos a permitir que su negocio/función se
mantenga ciberseguro. Equilibrar la seguridad con la agilidad suele ser el objetivo de todas
las partes interesadas; su objetivo es continuar con sus actividades comerciales diarias y
no preocuparse por la piratería de sus sistemas o el robo de datos. Les preocupa
especialmente que la seguridad se convierta en un obstáculo para el negocio que podría
provocar retrasos en el lanzamiento de nuevos productos al mercado.
El CISO también debe tener un compromiso regular con los ejecutivos de Csuite y
comprender cómo pueden ayudar a los equipos ejecutivos. “Cuando me incorporé como
CISO”, recordó Noordin, “hablé con el director financiero y me sorprendió la cantidad de
ideas que compartió sobre ciberseguridad. Descubrí que formaba parte del comité de
gestión de riesgos en su función anterior, y su experiencia definitivamente me ha dado
algunas ideas sobre mi programa de ciberseguridad.
Aunque se supone que la ciberseguridad es efectiva cuando se la empuja de arriba hacia
abajo, a veces se diluye en el medio. Aquí es donde el apoyo de la gerencia intermedia es
importante para que un CISO impulse el programa de ciberseguridad”.
Noordin explicó además: “Creo firmemente en el intercambio de conocimientos
sin importar en qué industria se encuentre, ya sea en el gobierno, instituciones
financieras, corporaciones multinacionales o nuevas empresas. Al hacerlo con
tacto y dentro de la comodidad de cuatro paredes, el intercambio de
conocimientos entre los CISO en diferentes industrias ayuda a generar un flujo
de ideas y opiniones que se pueden experimentar en sus respectivas empresas.
Podría haber gemas ocultas esperando ser compartidas entre los CISO de la
comunidad. Habiendo asistido a numerosos eventos de CISO a puertas
cerradas, aprendí mucho de mis contrapartes e implementé las ideas que
compartieron en las diversas organizaciones en las que trabajé. Como CISO,
no dejas de aprender. Siempre habrá nuevas ideas que puede probar, procesos
que puede desarrollar o nuevas soluciones tecnológicas para evaluar e implementar.
“Los CISO están juntos en esta batalla: la única forma de superar las amenazas comunes
es apoyarse mutuamente y no juzgar, especialmente cuando escuchamos sobre filtraciones
de datos que afectan a las organizaciones. Los CISO no deben juzgar ni derribar a otros
CISO que se enfrentaron a ataques cibernéticos o filtraciones de datos, ya que no lo somos.
Variando tu entrenamiento 185
en ese puesto de CISO y no conocen el contexto de la dinámica de la organización.
En cambio, debemos brindar apoyo o brindar asesoramiento cuando sea posible”.
Esas son palabras para cualquier CISO para vivir.
En la siguiente sección, reunimos algunos consejos y diferentes enfoques que hemos visto
que funcionan bien en la construcción de una cultura de seguridad saludable en diferentes
organizaciones.
Variando tu entrenamiento
Como se ve en el enfoque de Noordin, construir una cultura no es algo que simplemente
sucede. No solo crece orgánicamente. Requiere inversión, compromiso y cuidado. El objetivo
final es una cultura de seguridad sostenible que sea transformadora.
Una forma de hacer esto es variar sus métodos de capacitación para involucrar y ayudar al
personal a mantener una mentalidad de seguridad. Antes de implementar cualquier cambio,
siempre es importante hacer las preguntas correctas y comprender dónde está su equipo y
cómo se comporta. Aproveche su CHRO y su equipo de recursos humanos para dar forma a
la entrega de su capacitación. Es esencial adaptar la capacitación, desde su contenido hasta
su enfoque, en consonancia con la naturaleza de las funciones de su personal, desde el
departamento en el que se encuentran hasta el nivel de acceso que tienen, su comprensión
del conocimiento de seguridad y las herramientas. ellos usan. La capacitación efectiva no
siempre es igual para todos.
Las historias de cómo el error humano ha resultado en la caída de una empresa pueden
facilitar que el personal recuerde las lecciones. Hacer que sea real y personal con el mensaje
de que nadie es inmune a las amenazas cibernéticas puede ayudar a alentar al personal a ser
más diligente en el cumplimiento de las políticas de seguridad. El tono no debe ser de nombrar
y avergonzar, sino más bien objetivo y educativo.
Para que un mensaje sea constructivo, debe ser relevante. Un programa general de
capacitación no funcionará. Por ejemplo, el personal que no tenga acceso a sus bases de
datos no necesitará capacitación en seguridad de bases de datos.
Algunas empresas buscan reinventar la rueda mediante la búsqueda de grandes y nuevas
herramientas de capacitación o ser las primeras en adoptar solo enfoques nuevos e
innovadores; sin embargo, también hay investigaciones sobre la efectividad de la capacitación
de los empleados (como parte del proceso de incorporación) donde simplemente se sientan a
ver un video de capacitación simple sobre seguridad y encuentran menos problemas con la
seguridad mientras realizan su trabajo.
Para que un mensaje sea efectivo, debe ser simple. Comience con un lenguaje sencillo para
que todos entiendan el papel que deben desempeñar. Haga que su política de seguridad sea
fácil de leer, un simple resumen de una página, y complétela con videos cortos o podcasts. El
mensaje se puede absorber en todos los niveles si el mensaje es fácil de entender y
relacionable, ya sea el personal de lobby, las ventas de clientes, la realización de una auditoría
o el equipo de soporte técnico.
Magda habló sobre el tema en su charla TEDx, "Por qué puede estar alienado por los temas
de ciberseguridad". Ella señala que la suposición de que todos, desde los legos hasta los
expertos, podrían entender la ciberseguridad de la misma manera no se sostiene. Ella explica
que usar palabras simples y comenzar desde los conceptos más básicos sin siglas de
seguridad es un factor clave de éxito.
El siguiente paso es mantener el impulso para que el mensaje de seguridad esté al frente de
la mente de las personas.
La gamificación ha sido una opción popular para los departamentos, ya que aprovecha la
naturaleza competitiva de los diferentes equipos. Los equipos exitosos son reconocidos y
recompensados por el liderazgo por tener los mejores campeones conscientes de la seguridad.
Con la creciente modernización de las tecnologías de simulación e inteligencia artificial
utilizadas en las pruebas basadas en escenarios, se ha demostrado que los juegos de mesa
son extremadamente útiles. El juego de guerra es un concepto antiguo, pero los profesionales
de la defensa de EE. UU. han descubierto que ayuda a agudizar los procesos de toma de
decisiones y su perspicacia táctica y estratégica. El valor de los juegos de guerra demuestra a
los profesionales de la seguridad que diferentes estrategias pueden afectar la respuesta de la
empresa a un ciberincidente e influir en los factores de planificación al ver cómo reaccionan
las personas ante una crisis y una presión inmensa.
Deje tiempo para realizar juegos de rol, ya que ponen a su personal en condiciones de imaginar
los diferentes escenarios en torno a los riesgos cibernéticos clave relevantes para el negocio
y les dan la capacidad de elaborar su enfoque. Este marco interactivo permite el aprendizaje
en el trabajo y una mejor comprensión de las formas prácticas de cumplir con la política de
seguridad de una organización o llevar a cabo una respuesta a incidentes. Todo esto es parte
de la construcción del plan de continuidad del negocio.
La capacitación no debe ser un evento de una sola vez, sino con la frecuencia que se requiera,
un esfuerzo continuo para el negocio de su personal y la madurez de la curva de aprendizaje.
Por ejemplo, se observaron comentarios positivos y mejores resultados en algunas empresas
emergentes al realizar un taller de escritura de phishing, donde desafiaron a su personal a
escribir el correo electrónico de phishing más creíble e innovador. La capacitación continua de
concientización y los simulacros frecuentes (por ejemplo, cada trimestre o cada seis meses)
pueden ayudar al personal a actualizar sus conocimientos y retenerlos.
Responsabilidad de compartir la nube 187
A medida que las empresas se vuelven más dependientes de las tecnologías basadas en la
nube, esto abre las puertas a amenazas cibernéticas adicionales. En la siguiente sección,
abordaremos esto y cómo la nube puede moldear una cultura de seguridad.
Responsabilidad de compartir la nube
La tecnología de la nube es una forma de almacenar y acceder a datos y
aplicaciones a través de Internet en lugar del disco duro de su computadora.
Hay tres tipos de computación en la nube: infraestructura como servicio (IaaS),
plataforma como servicio (PaaS) y software como servicio (SaaS). IaaS es
donde alquila almacenamiento, servidores y redes de un proveedor de nube.
PaaS es donde usa un proveedor de nube para ejecutar sus aplicaciones, por
lo que no tiene que preocuparse por administrar la infraestructura subyacente.
SaaS es donde accede a toda la aplicación sin mucha personalización disponible.
Hay una serie de razones por las que la tecnología de la nube se está adoptando a un ritmo
cada vez mayor. Una de las principales razones es el ahorro de costos que se logra mediante
el uso de servicios en la nube. Un modelo basado en el consumo puede resultar en ahorros de
costos considerables para una organización.
Otro motivo de la creciente adopción de la tecnología en la nube es la flexibilidad y la
escalabilidad que ofrece. Con los servicios en la nube, las empresas pueden ampliar o reducir
rápidamente su uso según sea necesario, sin tener que realizar inversiones costosas en nuevo
hardware o software. Esta flexibilidad es particularmente valiosa para las empresas que
experimentan picos de demanda estacionales o picos repentinos en el tráfico.
Finalmente, la tecnología de la nube se está volviendo cada vez más popular debido a sus
muchas ventajas de seguridad.
Sin embargo, existen desafíos potenciales con la adopción de la nube, aunque estos pueden
variar según la organización específica. Un desafío está relacionado con el concepto de
responsabilidad compartida. En un entorno local tradicional , una organización es responsable
de proteger y administrar la infraestructura. Sin embargo, en un entorno de nube, esa
responsabilidad se comparte entre la organización y el proveedor de la nube. La organización
sigue siendo responsable de proteger sus datos y aplicaciones, pero es posible que deba
trabajar con el proveedor de la nube para garantizar que se haga de manera efectiva.
El almacenamiento en la nube puede ser seguro, pero depende de cómo se
implemente el servicio y qué tan dispuestos estén tanto el proveedor como el
cliente a tomar medidas de seguridad. El CISO, en colaboración con otros CxO
apropiados, debe evaluar el servicio y realizar el análisis de riesgos en nombre del negocio.
La capacitación en concientización sobre la nube es una parte importante de la seguridad,
pero no es la única parte. Es esencial que todos los que tienen acceso a la nube sean
conscientes de los peligros y asuman la responsabilidad de su propia seguridad. Eso
significa tener cuidado con los archivos que almacena en la nube, usar contraseñas
seguras con autenticación de múltiples factores y estar alerta ante cualquier actividad sospechosa.
Todos los que usan la nube deben ser responsables de su propia seguridad, guiados por
un sólido equipo de seguridad. La formación es un buen comienzo, pero no es suficiente.
La conciencia de seguridad requiere un cambio cultural. Culpar a los empleados por los incidentes
cibernéticos puede fomentar una cultura del secreto y evitar que los empleados informen sobre posibles
problemas de seguridad. Una cultura excesivamente basada en la culpa también puede crear un
entorno en el que es menos probable que las personas asuman riesgos o experimenten con nuevas
tecnologías, lo que obstaculiza la innovación y el crecimiento organizacional.
Finalmente, una cultura basada en la culpa puede conducir a una disminución de la moral y la
satisfacción laboral de los empleados. Encontrar el equilibrio adecuado es fundamental para lograr una
gran cultura en todas las escalas corporativas.
Un programa práctico de concientización cibernética Tanto
Shamane como
Magda han ejecutado programas de seguridad para varias organizaciones.
En el enfoque de Magda, ella brinda capacitación práctica holística (Figura 11.2). La capacitación
abarca varias actividades y se basa no solo en la coherencia, sino también en el por qué y el cómo.
Un programa práctico de concientización cibernética 189
Figura 11.2 – Componentes del programa de concientización
La suposición de que todos aplicarán la conciencia cibernética no tiene sentido si la
capacitación en conciencia de seguridad que deben completar es irrelevante para su
función. Las actividades de capacitación de concientización que se alinean con cada
función ayudan a los empleados a comprender su rol de seguridad cibernética y aplicar las
mejores prácticas en sus tareas diarias.
Como parte de su enfoque, Magda lleva a cabo sesiones dedicadas de codificación segura
mientras realiza capacitaciones de concientización cibernética. También utiliza cuestionarios en
línea con premios como vales para el almuerzo o tarjetas de regalo de Amazon para fomentar la asistencia.
Sus sesiones han tenido hasta 300 asistentes para una actualización de conciencia
cibernética no obligatoria para una importante empresa internacional. Magda hace todo lo
posible por personalizar los entrenamientos. La gente escuchará historias en lugar de
siglas de seguridad.
Un programa de ciberseguridad no tiene por qué ser aburrido e inútil. El storytelling
es una herramienta de formación muy eficaz. Solo necesita ser relevante y atractivo.
Como orador principal en conferencias globales y orador invitado para sesiones especiales
de concientización ejecutiva, Shamane ha recibido algunos de los mejores elogios de los
directores de juntas, presidentes e incluso socios de bufetes de abogados: “¡Si tan solo
los líderes de seguridad pudieran contarnos historias como esta! Estamos cansados de
solo escuchar malas noticias; queremos escuchar historias fascinantes que nos capturen.
Y es refrescante cuando los problemas complejos se transmiten de una manera tan simple”.
190 La receta para construir una cultura de seguridad sólida: unir todo
¿Qué tipo de comunidad estás
construyendo?
Piense en su empresa como una comunidad que está construyendo. Una
comunidad proporciona conexiones. Cambia la lente individualista a una lente de grupo.
La colaboración ocurre cuando un grupo es socialmente responsable y contribuye activamente a la
comunidad. Tener el equipo adecuado es clave. Con una combinación de defensores de la seguridad
(personas que han aceptado los valores de la seguridad), personas conscientes de la seguridad (quienes
pueden no ser tan apasionados pero aún se dan cuenta de su esencialidad) y patrocinadores (administración
que tiene la tarea de dar forma a la dirección de la seguridad) , tienes un grupo integral en la comunidad
con el que puedes trabajar.
Desde tutorías hasta reuniones y eventos semanales/mensuales que se centran en los últimos problemas
de seguridad, permitir conversaciones abiertas e intercambiar conocimientos sustenta a su comunidad de
seguridad. La participación activa es lo que ayuda a que una comunidad crezca y un negocio florezca.
En un grupo de enfoque que Shamane hizo con los directores ejecutivos, descubrió que son conscientes
del papel fundamental que desempeñan los directores ejecutivos en la configuración de la cultura de una
empresa, y todos tenían mucho que decir sobre la innegable importancia de una cultura empresarial saludable.
Una cosa clave que enfatizaron fue que el éxito de construir una cultura de seguridad saludable depende
de la cultura existente de una organización. Para lograrlo, un equipo que se desempeñe bien requiere el
compromiso de los empleados, respaldado por la confianza que tienen en sus líderes. Esto crea un espacio
seguro para la innovación pero también para la honestidad al compartir ideas y puntos de vista.
Si la cultura existente es una en la que la gente tiene miedo de cometer errores, entonces reconocerlos
sería imposible. Habrá una falta de transparencia y rendición de cuentas y esto significa que hay un
ambiente tóxico donde la gerencia se apresura a señalar con el dedo. Este tipo de cultura no conduce a
una cultura de seguridad responsable. Aquí es donde el liderazgo debe comprometerse a impulsar un
cambio real.
Se ha hablado mucho de que los humanos son el eslabón más débil, pero los castigos más duros no
ayudan a resolver el problema. Las historias recientes de empresas que demandaron a empleados que
cayeron en estafas de phishing o que despidieron a sus empleados cuando fallaron las pruebas de
simulación de phishing solo crean un ambiente de miedo. Es menos probable que el personal se presente
si algo sale mal, lo que pone a la empresa en un riesgo aún mayor. Las organizaciones más exitosas son
aquellas en las que las personas son tratadas como un activo y no como un pasivo.
Preguntas que debe hacerse sobre la construcción de una cultura 191
Cuando hay confianza, se siente más cómodo asumiendo la propiedad, ya que el personal
sabe que recibirá apoyo, en lugar de que la gerencia los ataque como una tonelada de
ladrillos. El CISO también debe ser más intencional al considerar los viajes y las prioridades
de los diferentes departamentos para obtener una solución, en lugar de decir no a todo. En
lugar de ser ese obstáculo, es útil para los equipos de seguridad ser más receptivos y permitir
que las personas tengan las herramientas adecuadas para hacer su trabajo de manera más
efectiva.
Sea deliberado en la construcción de una fuerte cultura de seguridad. Complementar la
educación con el nivel adecuado de controles para cambiar la percepción de la seguridad
como responsabilidad de todos. Tener un ciclo de vida de desarrollo seguro también es una
buena base, ya que la empresa se basa en la seguridad y realiza actividades y procesos de
prueba de seguridad para cada producto de software o versión del sistema.
La gerencia debe alentar el comportamiento positivo y reconocer públicamente al personal
que ayudó a detectar incidentes. Cuando alguien completa un programa de concientización
sobre seguridad o avanza a un nivel avanzado, una recompensa (por ejemplo, tarjetas de
regalo o dispositivos electrónicos) ayudará como motivación para que el resto lo siga. Esta
promoción pública y celebración del éxito establece una cultura positiva en toda la empresa.
Sin mencionar que los problemas de seguridad se descubren antes y el equipo de seguridad
puede responder a las amenazas más rápido.
Otra forma de recompensar es proporcionar un avance profesional y una trayectoria
profesional en seguridad, alentando al personal a convertirse en un rol de seguridad dedicado.
Esta es una forma poderosa de enviar un mensaje fuerte a toda la empresa.
Finalmente, todo el mundo es siempre más receptivo a un proceso que es agradable, atractivo
y divertido. Estos son los ingredientes finales de una receta de cultura de seguridad que sea
sostenible. Al final del día, cuando las personas están involucradas, recuerdan las cosas que
las conectan: con su trabajo, con su comunidad, con el negocio. Ya sea un concurso de
seguridad o un evento de juegos, o una noche de cine y pizza sobre ciberdelincuentes, las
lecciones son más memorables entre risas y diversión.
Entonces, ¿cómo es su cultura de seguridad? La siguiente sección plantea algunas preguntas
útiles que explorarán sus opciones para construir una cultura de seguridad resiliente.
Preguntas que debe hacerse sobre la
construcción de una cultura
• Como líder, ¿cuáles son algunas formas creativas que puedo usar para dar ejemplo?
en la construcción de una cultura de seguridad saludable?
• ¿Quiénes son los otros aliados con los que puedo colaborar para construir una cultura?
¿juntos? ¿Qué papel pueden jugar?
• ¿Qué ideas tienen nuestros Cejecutivos sobre la creación de una seguridad
cultura consciente que podemos aprovechar?
• ¿Cómo podemos obtener el apoyo de los mandos intermedios para impulsar nuestra
programa de ciberseguridad?
• ¿Cómo podemos aprovechar la cultura organizacional actual para construir y
apoyar una cultura saludable de ciberseguridad?
¡Pruebe algunas de estas preguntas y vea si conducen a un enfoque y resultado diferente!
Resumen La clave para
la resiliencia corporativa es desarrollar “amortiguadores” de crisis que permitan a las empresas
continuar sus operaciones, ampliar el alcance de los clientes y acelerar el cambio de la empresa
en tiempos de crisis.
La resiliencia cibernética se trata de reconocer los riesgos de seguridad, implementar controles
de seguridad adecuados y garantizar que las respuestas a los incidentes cibernéticos sean
rápidas y eficientes para mitigar las consecuencias a largo plazo. El ciberriesgo debe tratarse
con la misma seriedad que otros riesgos, como las catástrofes naturales o las enfermedades graves.
La junta directiva y el director ejecutivo deben reconocer y priorizar los riesgos cibernéticos a la
par de otros riesgos comerciales.
Construir una cultura cibernética fuerte requiere un fuerte compromiso organizacional.
En lugar de simplemente adherirse a las normas y estándares, un enfoque basado en principios
ayudará en gran medida a la comprensión y el cumplimiento del personal. El CISO es un recurso
esencial y líder en el establecimiento e implementación del mejor plan de seguridad cibernética
de la empresa, pero no pueden hacerlo solos. Requiere el compromiso del CEO y la junta
directiva, todos los CxO y todos en la organización.
Con un mayor énfasis en el desarrollo comercial, la comunicación y la tutoría, los líderes de
seguridad de hoy pueden ayudar a definir el futuro de la profesión de CISO. Al diferenciar sus
responsabilidades, el CISO puede establecerse como el líder de ciberseguridad de facto en el
que las organizaciones confiarán para alinear sus controles y prácticas de seguridad con sus
objetivos de crecimiento empresarial, innovación y éxito.
Índice
opciones de transferencia de riesgo 165
A negocio
preparación, para ciberataques 20, 21
ABN AMRO Clearing Bank 61 inteligencia
consideraciones de
artificial (IA) 3, 64
continuidad del negocio,
para evaluación 125127
B
continuidad del negocio y
recuperación ante desastres 123
cadena de bloques 3
Business Continuity Plan (BCP) acerca de
Junta Directiva
20, 21, 120, 124 mejores
alrededor de 158160
prácticas 128 planificación
programa 170, 171
de recuperación ante desastres 127
CISO, estableciendo
metodología 124
con éxito 173, 174 directores,
hablando 167170 fusión y adquisición Plan de Continuidad de Negocio (BCP),
gestión sobre 122
(M&A) 172, 173
no hacer 122
preguntas, preguntar 173, 174
dos 122
informes 171, 172
estructura 160, 161 email de negocios
junta riesgo ceguera 167 Compromiso (BEC) 29
Impacto de negocios
intereses del directorio, en ciberseguridad
Evaluación (BIA) 125
sobre 162
riesgo empresarial 8
inversión adecuada 164 propiedad
custodio de riesgo empresarial 45
empresarial 163 previsión,
mantenimiento 165 resiliencia de la
C
industria 165 equipado
correctamente 164, 165 Modelo de Capacidad de Madurez
Integración (CMMI) 87
194 índice
Seguridad de la información certificada Director financiero (CFO) sobre 12, 25
Gerente (CISM) 105 riesgo cibernético,
Sistemas de Información Certificados abordando desde una perspectiva
Profesional de seguridad financiera compleja 33 aspectos de
(CISSP) 105
ciberseguridad, consideraciones
3032
CFO, sobre riesgos cibernéticos
comunicarse con 37 costos de ciberseguridad, consideración 26 perspectiva
violación de datos 39 32 rol, en
costos económicos 39 ciberseguridad 27, 28
enfoque innovador 40 Jefe de Recursos Humanos
Oficial (CHRO)
Roles de CFO, en la construcción
alrededor de 90,
de resiliencia cibernética
alrededor de 34 102 desafíos, con
seguridad cibernética 111, 112
seguros cibernéticos, compras 36
importancia 102105 función
cuantificación del riesgo cibernético,
apoyo 35, 36 presupuestos de transición 105, 106 alrededor de
9, 59, 131
de seguridad cibernética,
evaluación comparativa acciones 67
34 gasto en seguridad cibernética, actividades, apoyando la resiliencia
definición 35 cibernética 6870
riesgos de terceros, evaluación 37 consideraciones de ciberseguridad 70
Apoyo a la seguridad decisión, impactando en la
ciberseguridad 61, 62 rol 62
cibernética del CFO,
resiliencia cibernética 2830
rol, en ciberseguridad 61
director digital (CDO) alrededor de 133
Jefe de Seguridad de la Información
Oficial (CISO)
versus Jefe de Tecnología
Oficial (CTO) 133, 134 alrededor de 10, 28, 102, 117, 131
junta directiva, informes
Consejero Delegado (CE) 3, 12
98, 99 negocios 77
Director ejecutivo (CEO) acerca de 3, 117,
131 ciberseguridad,
Expectativas de CxOs, decodificación 89
consideraciones para 21, 22
seguros cibernéticos,
ciberseguridad,
compras 9597 prioridades
significado 3, 4
78 rol 7476
Índice 195
Director de seguridad de la información tareas laborales
(CISO), CxOs expectativas cuantificación 132 rol 132, 133
del riesgo cibernético 9295 comunicación seguridad 136
clave no negociables 9092 principios de seguridad, aplicación entre
tareas 137
Director de Marketing ciclo de vida de desarrollo de software,
(OGC) 133 asegurando 137, 138
Director de operaciones (COO) alrededor de versus Chief Digital Officer
(DOC) 133, 134
20, 117, 118, 133 colaboración,
con CISO 121 responsabilidades 119, 120 CHRO, apoyo a la ciberresiliencia
funciones de recursos humanos 107
responsabilidad, para la continuidad
herramientas de recursos humanos 109
del negocio 120 función 118, 119
ejemplos posteriores a la contratación
108 ejemplos previos a la
Director de Riesgos (CRO) contratación 107 miembros
calificados del equipo
acerca de 27, 43
de ciberseguridad, reclutando 109, 110
enfoque, desarrollo como 52, 53 desafíos,
Decisiones del CIO, impacto en el
identificación 4750 áreas de enfoque 45,
panorama
46 prioridades, análisis
regulatorio complejo de ciberseguridad 65
46, 47 función 45, 46
transformación digital, equilibrio
63, 64 adopción rápida
Director de riesgos (CRO), desafíos
de tecnología 62, 63 riesgos de terceros 65
de conexión,
puntos 52 riesgo cibernético
Enlace de referencia de la
50, 51 marcos 50, 51
estructura de informes del CIO 132
rol del director de información
estrategias 50, 51
versus roles de CISO 65, 66
sistemas 50, 51
Habilitación de CIO, para
Jefe de seguridad
visibilidad de
(OSC) 12, 110
ciberseguridad, proporcionando 67, 68
Director de tecnología (CTO) sobre 9, 131
Habilidades de
código, asegurando
posición de CISO, necesarias 166, 167
138 colaboración, con CISO
139 ciberseguridad 134, 135 Ejecutivo de nivel C (CxO) 12, 117
196 Índice
Seguridad de acceso a la nube preparación para la respuesta a
Corredor (CASB) 64 incidentes cibernéticos 21
tecnología de nube compra de seguros
utilizada, para dar forma a la cultura cibernéticos 36
de seguridad 187, 188
resiliencia cibernética 107
Funciones de CMO y CPO
riesgo cibernético
semejanzas, identificar 144, 145 alrededor de 49
construcción de abordar, desde una visión financiera
comunidad, consideraciones 190, 191 compleja 33
fomento de una cultura de manipulación, enfoques 8284
seguridad saludable identificación y
en toda la empresa 183185 cuantificación 8082
implicaciones, para empresas 79 es riesgo
visión financiera compleja riesgo
empresarial 1113
cibernético, abordando desde 33 equipo
estrategia de gestión 8486
de gestión de crisis (CMT)
53 Eventos de reunión de riesgo cibernético
URL 114
Potencial de
colaboración CRO y CISO, entre apoyo a la cuantificación del
54, 55 riesgo cibernético 35, 36
Colaboración entre CTO y CISO ciberseguridad
retos 139, 140 sobre 11, 12, 121, 122
Roles de los CxO aspectos consideraciones, para
CFO 3032
recapitulación 179181
CFO, rol 27, 28
ciberataque
desafíos 9, 10
examen 13, 14
desafíos, abordando 7880 desafíos,
ciberataques
abordando 12
negocio, preparación para 20, 21
CIO, rol 61
programa de ciberconciencia 188, 189 costos consideración, para CFO 26
cibernéticos, versus retorno de la consideraciones, para CEO 21, 22 cultura,
inversión
construcción 18, 19 pilar de
cuantificación 1417
gobierno 6, 7 es un pilar
papel del ambiental crítico 6, 7
ciberincidente, del marketing y
la comunicación 152154
Índice 197
marketing y privacidad, rol en DevOps 138
146, 147
DevSecOps 139 plan
organización 9, 10
de recuperación ante desastres (DRP) 21
elaboración de
Denegación de servicio distribuida
informes 9, 10 mitigación de
(DDoS) ataque 80
riesgos 147149 importancia, para
Registro Do Not Call (DNC) 146 paloma,
el director general 3,
búho, pavo real y águila
4 pilar social 6, 7 presupuestos
(DOPE) 163
de seguridad cibernética
evaluación comparativa 34 mi
seguridad cibernética, desafíos
enfoques para el Gestión de riesgos empresariales
manejo del riesgo cibernético 8284 (ERM) 25
identificación del riesgo Ambiental, Social y
cibernético 8082 gestión del riesgo cibernético estrategia
8486
Gobernanza
indicadores para (ESG) 6, 7, 46, 153, 179
tableros/informes 88 métricas 87
Red Europea y
Seguridad de información
cuantificación 8082 Agencia (ENISA) 95
edificio cultura ciberseguridad
F
181, 182
ciberseguridad, necesidad de CEO
Análisis factorial de la información
dependencia, en tecnología 5 gasto Riesgo (FAIR) 38, 93
en ciberseguridad definición Fortaleza 67
35 desarrollo
de equipos de GRAMO
ciberseguridad
113 consideraciones 114, 115 Protección de datos generales
Reglamento (RGPD) 33, 146
contratación 113
Crisis financiera mundial (CFG) 48
D gobierno, riesgo y
cumplimiento (GRC) 46
Filtración de datos
Ley GrammLeachBliley 65
examinando 13, 14
198 índice
Autenticación de múltiples factores
H
(AMF) 68
cultura de seguridad saludable, a
través de diferentes norte
organizaciones consejos y enfoques 185187
Instituto Nacional de Normas y
I Tecnología (NIST) 86
cortafuegos de próxima generación 64
sistema de control industrial (ICS) 16
Violaciones de datos notificables
Información y comunicación
(NDB) 146
Tecnología (TIC) 124
tecnología de la información 11, 12 O
Infraestructura como un servicio
(IaaS) 187 Certificación de seguridad ofensiva
Profesional (OSCP) 105
oferta pública inicial (IPO) 15, 39
oficina del australiano
Denuncia de delitos en Internet
Comisionado de Información
Centro (ICCC) 29
(OAIC) 153
Internet de las cosas (IoT) 3, 63
Gastos operativos
(gastos operativos) 63
k Tecnología Operativa
(AT) 121, 122
Indicadores clave de rendimiento
(KPI) 87 PAG
L Datos de la industria de tarjetas de pago
Estándar de seguridad
curva de pérdida 38 (PCI DSS) 33, 65
Protección de datos personales
Ley (PDPA) 146
METRO
fusiones y adquisiciones Identificable personalmente
(fusiones y adquisiciones) 82, 172
Información (PII) 103
producto mínimo viable estrategia empresarial basada en planes
(MVP) 63 45 plataforma como servicio (PaaS) 187
Autoridad Monetaria de Revisión posterior al incidente (PIR) 127
Singapur (MAS) 96
relaciones públicas (RP) 152
Índice 199
R T
investigación y desarrollo evaluación de riesgos
(I+D) 131 de terceros 37
opciones de construcción de
tu
una cultura de seguridad resistente,
explorando 191 retorno de valor (ROV) 40 datos de suscripción 83
Retorno de la inversión
(ROI) 8, 62, 82 V
retorno sobre el objetivo (ROO) 40 Valor en Riesgo (VaR) 93
retorno de la inversión en seguridad
(ROSI) 95 W
consideraciones de riesgo
Cortafuegos de aplicaciones web
ejemplo 18
(WAF) 64
construcción sólida de una
cultura de seguridad 178
Ley SarbanesOxley de 2002 (SOX,
PL 107204) 65
programas de seguridad y privacidad
intersección 150152
seguridad cultura
nubecompartir
responsabilidad 187, 188
estrategia de seguridad 22
El gigante naviero Maersk
ejemplo 123 pilar
social 6
Software como servicio (SaaS) 20, 187
Packt.com
Suscríbase a nuestra biblioteca digital en línea para obtener acceso completo a más de
7000 libros y videos, así como herramientas líderes en la industria para ayudarlo a
planificar su desarrollo personal y avanzar en su carrera. Para obtener más información,
visite nuestro sitio web.
¿Por qué suscribirse?
• Pase menos tiempo aprendiendo y más tiempo codificando con libros electrónicos
y videos prácticos de más de 4000 profesionales de la industria
• Mejore su aprendizaje con Planes de habilidades creados especialmente para usted •
Obtenga un libro electrónico o un video gratis todos los meses
• Capacidad de búsqueda completa para acceder fácilmente a información vital
• Copiar y pegar, imprimir y marcar contenido
¿Sabía que Packt ofrece versiones de libros electrónicos de cada libro publicado, con
archivos PDF y ePub disponibles? Puede actualizar a la versión de libro electrónico en
packt.com y, como cliente del libro impreso, tiene derecho a un descuento en la copia del
libro electrónico. Póngase en contacto con nosotros en customercare@packtpub. com
para más detalles.
En www.packt.com, también puede leer una colección de artículos técnicos gratuitos,
suscribirse a una variedad de boletines gratuitos y recibir descuentos y ofertas exclusivos
en libros y libros electrónicos de Packt.
Otros libros que puede disfrutar
Si disfrutó de este libro, es posible que le interesen estos otros libros de Packt:
Liderazgo en ciberseguridad desmitificado
Dr. Erdal Ozkaya
ISBN: 9781801819282
• Comprender los requisitos clave para convertirse en un CISO exitoso
• Explore el panorama de la ciberseguridad y familiarícese con las operaciones de seguridad de un
extremo a otro
• Asimilar estándares de cumplimiento, gobernanza y marcos de seguridad. • Averiguar cómo
contratar el talento adecuado y administrar los procedimientos de contratación.
y presupuesto
• Documentar los enfoques y procesos de recursos humanos, cumplimiento y
dominios relacionados
• Familiarícese con la respuesta a incidentes, la recuperación ante desastres y la continuidad del
negocio
• Familiarizarse con tareas y habilidades que no sean operaciones de seguridad extremas
Otros libros que puede disfrutar 203
Ciberseguridad – Estrategias de Ataque y Defensa Tercera Edición
Yuri Diógenes, Dr. Erdal Ozkaya
ISBN: 9781803248776
• Aprenda a mitigar, recuperarse y prevenir la ciberseguridad futura
eventos
• Comprender la higiene de la seguridad y el valor de priorizar la protección de sus cargas
de trabajo
• Explorar la segmentación de redes físicas y virtuales, redes en la nube
consideraciones de visibilidad y Zero Trust
• Adoptar nuevos métodos para recopilar inteligencia cibernética, identificar riesgos y
demostrar el impacto con las estrategias del Equipo Rojo/Azul
• Explora herramientas legendarias como Nmap y Metasploit para mejorar tu Red Team
• Descubra la seguridad de la identidad y cómo realizar la aplicación de políticas •
Integre los sistemas de detección de amenazas en sus soluciones SIEM •
Descubra el marco MITRE ATT y las herramientas de código abierto para recopilar
inteligencia
204 Otros libros que puede disfrutar
Packt está buscando autores como usted. Si está interesado en convertirse en
autor de Packt, visite la página de autores. packtpub.com y presente su solicitud
hoy. Hemos trabajado con miles de desarrolladores y profesionales de la
tecnología, como usted, para ayudarlos a compartir sus conocimientos con la
comunidad tecnológica mundial. Puede hacer una solicitud general, postularse
para un tema candente específico para el que estamos reclutando un autor o
enviar su propia idea.
Comparta sus pensamientos Ahora que
ha terminado de Construir un negocio cibernético resistente, ¡nos encantaría
escuchar sus pensamientos! Si compró el libro en Amazon, compre este libro
y comparta sus comentarios o deje una reseña en el sitio donde lo compró.
Su revisión es importante para nosotros y la comunidad tecnológica y nos ayudará a
asegurarnos de que ofrecemos contenido de excelente calidad.

Manual de Ciberseguridad en Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Ciberseguridad en Español

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Machine Translated by Google

tienen en la ciberseguridad 61 Funciones de CIO y CISO sesenta y cinco

Donde está la línea entre el ante desastres no deben fallar! 123

El papel del CTO 132 Codificación segura y desarrollo

136 Resumen 142

La estructura del tablero 160 propiedad de la empresa 163

correctamente equipado 164 Reporting to the board (un

mantenimiento de la previsión 165 una referencia para los CEO) 171

Reuniéndolo todo 179 ¿Qué tipo de comunidad estás

También podría gustarte