Traducido del inglés al español - www.onlinedoctranslator.

com

A medida que la invasión rusa de Ucrania se vuelve más arraigada, con

importantes componentes cibernéticos y de desinformación, las empresas y
otras organizaciones, como las ONG y las universidades, deben contar con
cuatro sistemas cibernéticos críticos internos superpuestos para construir una
estrategia sólida de resiliencia cibernética. Estos se relacionan con la
gobernanza, la cultura, el riesgo y la gestión de crisis.

La siguiente figura resume la tesis de este artículo, que es que las empresas que
tienen un enfoque sistemático para la gobernanza del riesgo cibernético, una
cultura de higiene cibernética, gestión del riesgo cibernético y estrategias de
gestión de la crisis cibernética podrán lograr una preparación cibernética
sistemática. y resiliencia. Vital para sobrevivir y prosperar en estos tiempos
tumultuosos.
Las cuatro casillas de verificación para la resiliencia cibernética sistemática
Imagen:ⒸA Bonime-Blanc, Aviso de riesgo GEC 2022

Ya no es suficiente esperar lo mejor o 'adquirir' algunas soluciones técnicas y

pensar en la seguridad cibernética como un trabajo 'una vez hecho' o algo que es
opcional o aislado. La seguridad cibernética es un sistema múltiple de
preocupación continua y ahora se ve exacerbado por un entorno global de riesgo
y crisis continuos. Estamos bajo asalto en numerosos frentes globales: clima,
geopolítica, guerra, enfermedades infecciosas, crisis humanitarias y, sí,
cibernética y desinformación.

Para el conocimiento de la situación, es clave que las empresas y organizaciones

comprendan el momento en que vivimos y las cinco megatendencias que las
afectan de manera predecible e impredecible, lo que las abre a la exposición
cibernética. Estas tendencias, más profundamente exploradas enEl Manual de
Megatendencias ESGT 2022-2023 , son:
1. Cambios tectónicos geopolíticos que catalizan

2. El clima y la guerra impulsan un riesgo complejo

3. La disrupción tecnológica se vuelve multidimensional

4. El capitalismo de las partes interesadas y el entrelazamiento ESG

5. Liderazgo y recalibración de la confianza institucional

A medida que el impacto de estas megatendencias exprime a todo tipo de

entidades (corporativas, sociales y gubernamentales), una conciencia situacional
mucho mayor que incluya sistemáticamente una estrategia de resiliencia
cibernética debe ser la máxima prioridad para las organizaciones. Comencemos
con una revisión de dónde estamos:

El contexto geopolítico cibernético

Desde la invasión de Ucrania por parte de Putin en febrero de 2022, se han

catalizado varios cambios geopolíticos tectónicos importantes, uno de los
cuales es cómo las democracias globales han mejorado su juego en la
colaboración de seguridad cibernética tanto a nivel intergubernamental como en
la colaboración operativa privada/pública y en el sentido general de unidad que
la OTAN y la UE, por ejemplo, han experimentado.

Sin embargo, el hecho de que no haya ocurrido ningún ataque cibernético

importante, como Not Petya o Colonial Pipeline, tiene el peligro de adormecer a
los líderes empresariales con una sensación de complacencia de que (a) los
ataques cibernéticos relacionados con la guerra no ocurrirán porque Las
naciones occidentales lo tienen 'bajo control' o (b) los rusos están demasiado
distraídos o son incapaces de ejecutar ataques de alto impacto.

Tampoco es cierto. De hecho, varios rastreadores de ciberataques demuestran lo

contrario, como estedel Consejo de Relaciones Exteriores y este de laInstituto de
Paz Cibernética mostrar.

Además, se han producido varios desarrollos importantes que demuestran que

las empresas deben adoptar varios sistemas cibernéticos críticos como parte de
una estrategia continua de resiliencia organizacional y cibernética. Esto significa
que:

La guerra cibernética debe considerarse de manera más amplia como que

incluye la guerra de información y desinformación.
Las empresas que operan en o con Rusia seguirán siendo los principales
objetivos del aumento de hacktivistas y ciberactores anónimos que se ponen del
lado de Ucrania contra Rusia.

Las empresas deben tener cuidado con los aliados oficiales y no oficiales de
Rusia (China, Corea del Norte, grupos de piratas informáticos, etc.) que podrían
aprovechar para ayudar al lado ruso de esta ecuación contra la coalición flexible
de naciones democráticas y alianzas multilaterales que ayudan a Ucrania.

Es posible que las empresas fuera de Ucrania, Bielorrusia y Rusia aún no hayan
experimentado interrupciones cibernéticas importantes relacionadas con la
guerra de Ucrania, pero las empresas de cualquier lugar deben prepararse para
las interrupciones en los servicios gubernamentales y comerciales esenciales en
los sectores de energía, transporte y finanzas.

El papel de las sanciones económicas contra Rusia puede influir en la guerra

cibernética subyacente de formas que son predecibles e impredecibles, lo que
hace que las empresas que se encuentran en la primera línea de la
implementación de algunas de estas sanciones sean particularmente
vulnerables.

Cuatro imperativos del cibersistema empresarial

Frente a este entorno continuo de riesgo y crisis, es imperativo que las empresas
desarrollen una resiliencia organizacional general con los ocho elementos del
Modelo de ciclo de vida de resiliencia virtuoso que se muestra en la figura a
continuación.
El ciclo de vida virtuoso de la resiliencia Imagen:ⒸA Bonime-Blanc, Gloom to
Boom, Routledge 2020

Edificiosobre nuestro trabajo en resiliencia cibernética organizacional y el de

laForo Económico Mundial, NACD e Internet Security Alliance , a continuación se
muestra una representación seguida de una descripción de los cuatro sistemas
cibernéticos necesarios para desarrollar la resiliencia organizacional general.
Las empresas que lo obtienen obtienen la mejor oportunidad de resiliencia
cibernética organizacional y de sobrevivir e incluso prosperar a través de la
tormenta global.
Dónde encajan los cuatro sistemas cibernéticos dentro del ciclo de vida virtuoso
de la resiliencia Imagen:ⒸA Bonime-Blanc, Gloom to Boom, Routledge 2020

1. Gobernanza sistemática del riesgo cibernético

La gobernanza sistemática del riesgo cibernético debe ser una parte central del
trabajo de la junta. Mantener la seguridad cibernética en la agenda de la junta
directiva y la alta gerencia con actualizaciones al menos trimestrales es
imprescindible en este entorno. La figura a continuación resume cómo la junta
debe ser el impulsor de la gobernanza del riesgo cibernético, siempre
coordinando con el c-suite para la estrategia y con los gerentes cibernéticos de
primera línea para la implementación.
La junta debe impulsar la gobernanza del riesgo cibernético Imagen:ⒸAviso de
riesgo de GEC procedente de A Bonime-Blanc, Gloom to Boom, Routledge 2020

2. Cultura de ciberhigiene sistemática

Este es el segundo elemento de todo el sistema que debe ser omnipresente en

una organización que comience con un enfoque sistemático e inteligente para la
educación de ciberhigiene del personal. Una parte crítica de esta cultura de todo
el sistema es tener un conjunto de sistemas de TI coordinados, deliberadamente
construidos y sincrónicos diseñados para medidas de seguridad de la
información coordinadas en todos los niveles (red y nube), así como para
prevención, detección y auditoría.

Como han señalado muchos expertos, el riesgo cibernético es un riesgo

empresarial y debe formar parte de un sistema de gestión de riesgos
empresariales (ERM). Vea la figura a continuación. Esta es la única manera de
producir métricas cibernéticas útiles y coherentes que forman parte de ERM y
tableros e informes específicos de cibernética que van al C-Suite y al Directorio.
Estas métricas son cada vez más necesarias para las partes interesadas
externas, como los reguladores también.
Una visualización general de la gestión de riesgos empresariales Imagen:ⒸA
Bonime-Blanc, Gloom to Boom, Routledge 2020

4. Gestión sistemática de cibercrisis

Esto significa asegurarse de que los matices y campanas y silbidos de una

posible exposición cibernética se consideren en la creación, desarrollo, revisión e
implementación de equipos y planes de gestión de crisis organizacionales,
estrategias y tácticas de continuidad comercial y protección de datos y
consideraciones de respaldo. La siguiente figura sugiere que para los riesgos y
crisis cibernéticos (así como para otros de impacto e importancia significativos),
los equipos multifuncionales de expertos internos y externos deben trabajar en
estrecha coordinación antes, durante y después del evento de crisis.