El costo de

la inacción
Guía de CISO para lograr que las juntas
directivas inviertan en ciberseguridad
El costo de la inacción 2

Como CISO, nadie entiende mejor que usted

los riesgos de seguridad que enfrenta su
organización. Tiene la experiencia técnica
para apreciar en profundidad las amenazas
actuales y cómo estas se comparan con las
vulnerabilidades de su organización. Y está
muy consciente de que el costo promedio
de una vulneración sigue aumentando
y alcanzó su valor más alto históricamente,
USD 4,35 millones, en 2022.
Menos del 2 % de los
Pero también sabe cómo estos riesgos se miembros de las juntas
adaptan a los torbellinos empresariales
más amplios. Ha aprendido a trabajar ante
tienen experiencia
la incertidumbre económica, la presión relevante y reciente
de hacer más con menos y una escasez de en ciberseguridad.
talento que lo ha empujado a mejorar las
habilidades y enseñar nuevas habilidades.
La buena noticia es que existe un enorme
En medio de todos estos desafíos, la potencial para que la mayoría de las juntas
ciberseguridad ha adquirido una nueva acepten las inversiones en seguridad.
urgencia, incluso entre las juntas corporativas. Las principales prioridades de una junta
Como resultado, los CISO han encontrado típica (en torno al riesgo, la reputación
un mayor acceso e influencia en las y la estabilidad financiera) se alinean
organizaciones (algunos de ellos incluso han con solidez y de forma orgánica con los
asumido roles de CIO) y muchos se encuentran resultados de seguridad exitosos.
bajo presión para convencer directamente a
las juntas de hacer las inversiones necesarias Si puede conectar los puntos entre
en materia de seguridad. Entonces, ¿cómo se esas prioridades y resultados, va por
presenta un caso sólido? buen camino hacia la realización de
una presentación sólida y centrada en
La junta tiene el poder de establecer el ROI. Esta guía lo ayudará a desarrollar
prioridades que pueden poner a su el contexto y enfoque correctos, al
organización en una posición de seguridad mostrarle cómo:
sólida. Sin embargo, en promedio solo
menos del 2 % de los miembros de las juntas • Pensar como un miembro de la junta
tienen experiencia relevante y reciente en
ciberseguridad. Además, muchos miembros • Hablar como un miembro de la junta
de la junta no confían en la supervisión de
TI y seguridad, o tienen puntos de vista • Usar ejemplos reales para que los
ambivalentes con respecto al rol de la junta riesgos sean relevantes y para que
relacionado con la seguridad. se puedan identificar con ellos
El costo de la inacción 3

Piense como un
miembro de la junta
Es posible que la junta esté más atenta a la seguridad de lo que sabe.
El costo de la inacción 4

La seguridad es un tema que ahora aparece en las conversaciones de las juntas

con más frecuencia que nunca. Más de dos tercios de las juntas señalan que
ahora conversan sobre ciberseguridad de forma periódica o constante, y el 77 %
de los miembros de la junta creen que la ciberseguridad es una prioridad para
su junta. Y si bien la experiencia en ciberseguridad puede ser poco común entre
los miembros de la junta, la experiencia tecnológica en general se ha vuelto
más frecuente. En las empresas líderes, el 79 % de las juntas tienen al menos un
miembro con antecedentes en tecnología y en el 72 % de esas empresas, los
líderes tecnológicos interactúan frecuentemente con los directores de las juntas
fuera de las reuniones.

Todo eso es prometedor para los CISO. Sin embargo, sigue siendo una opción
segura hablar menos sobre tecnología y más sobre el panorama general
del riesgo empresarial y la administración de la reputación. Sin importar la
experiencia técnica, todos los miembros de una junta pueden conversar y pensar
cómodamente en el riesgo, ya sea para encontrar el nivel correcto de tolerancia
al riesgo o para evaluar los planes de administración de riesgos.

La ciberseguridad se trata de asumir

los riesgos correctos, no de elegir
la tecnología adecuada.”

Cuando entre en la mente de la junta, comience por crear consenso en torno

al estado actual de su organización:

• ¿Cuáles son los activos que los miembros de la junta consideran como los
más importantes? ¿Son los datos de los clientes, la IP de la empresa, su
marca o algo más?

• ¿Cuáles cree que son los riesgos más amenazantes?

• ¿Cuáles son las prioridades más apremiantes de la organización?

• ¿Qué objetivos debe lograr el negocio y cómo puede su programa de

seguridad ayudar a habilitarlos?

Aterrizar la conversación en torno a estos aspectos fundamentales crea la

perspectiva correcta. Puede ayudar a la junta a entender que la ciberseguridad
se trata de asumir los riesgos correctos, no de elegir la tecnología adecuada.
El costo de la inacción 5

Hable como un
miembro de la junta
Tenga presentes las siguientes ideas cuando
converse con la junta, ya sea en presentaciones
o en comunicaciones menos formales.
El costo de la inacción 6

Hable de negocios,
no de tecnología.
Use ejemplos e ilustraciones apropiados para expertos en negocios que
manifiestan interés, no para expertos técnicos. Busque inspiración relacionada
con el nivel de detalle adecuado para presentar conceptos de seguridad
en Bloomberg Businessweek o The Wall Street Journal (una noticia reciente
sobre una vulneración también puede ser un excelente punto de partida para
la conversación, mientras describe cómo habría resultado eso en su propia
empresa). Encuentre a alguien de confianza fuera de su organización de
seguridad para que le dé su opinión sobre la complejidad de sus comunicaciones.

Actúe como guía

y facilitador imparcial.
Un buen programa de seguridad requiere equilibrio, es decir, establecer un nivel
de riesgo aceptable para perseguir los objetivos empresariales, y usted puede
ayudar a fomentar esa mentalidad. Desmitifique las ventajas y desventajas
para los miembros de la junta y guíelos a través de las decisiones, en lugar
de recomendar soluciones como autoridad.
El costo de la inacción 7

Céntrese en el ROI, en especial en los

términos de relevancia estratégica.
Siempre muestre cómo sus iniciativas de seguridad se alinean con las
necesidades empresariales y las prioridades a largo plazo. Lleve los principales
objetivos estratégicos de su organización (ya sea la expansión global, una
nueva plataforma para clientes o una transformación digital) y proporcione
el contexto que demuestra cómo las inversiones correctas en ciberseguridad
permiten el logro de estos objetivos y los protegen.

Desmitifique las ventajas y desventajas para

los miembros de la junta y guíelos a través
de las decisiones, en lugar de recomendar
soluciones como autoridad.”

Céntrese en las oportunidades,

no en los costos.
La seguridad (y TI de manera más general) puede verse afectada por considerarse
simplemente un centro de costos necesario. Seguir presionando a su equipo
para que encuentre formas de ser más proactivo puede ayudar a abordar eso,
pero usted también puede defender el rol de la seguridad como facilitador de
negocios. Es probable que los CISO que muestran cómo la seguridad puede
impulsar los ingresos (por ejemplo, al cuantificar el contrato y el valor del cliente
frente al gasto en controles) encuentren un público más receptivo.
El costo de la inacción 8

Prepárese con métricas

y comparativas.
El cliché empresarial de que “no se puede mejorar lo que no se puede medir”
puede tener sus deficiencias, pero las métricas cuidadosamente seleccionadas
aún pueden ser una prueba eficaz para las juntas. Elija métricas que muestren
la madurez del programa y el progreso con el tiempo (como las métricas en
torno a la capacitación de concientización sobre seguridad o la eficacia de los
procedimientos de seguridad), así como la forma en que su organización se
mide en comparación con los pares. Estas métricas de madurez generalmente
serán más significativas (y prácticas) para los miembros de la junta que las
métricas en torno al rendimiento o la actividad, que pueden ser más ruidosas
y requerir un contexto más técnico. Las métricas también pueden ayudarlo
a demostrar el ROI y la elaboración de presupuestos prudentes. Por ejemplo,
una buena idea es vigilar de cerca cómo es el gasto proporcional en diferentes
áreas de la seguridad con organizaciones comparables.1

Describa los riesgos de formas

que los hagan reales.
Centrarse demasiado en el miedo es normalmente un callejón sin salida para
motivar el apoyo y la acción positiva. Pero el ejemplo o incidente real correcto
puede ser muy eficaz para comunicar la complejidad y el riesgo, sin exageración
o negatividad. Busque ejemplos con detalles específicos que sean relevantes para
su industria u organización o que ilustren escenarios probables como el riesgo
interno o ransomware (consulte la siguiente sección para obtener ideas).

1
Planning Guide 2023: Security & Risk, Forrester, 2023
El costo de la inacción 9

Use ejemplos reales

para que los riesgos
sean relevantes y
para que se puedan
identificar con ellos

El riesgo interno y los ataques

de ransomware siguen siendo
amenazas importantes para muchas
organizaciones, lo que los hace
útiles para ilustrar el riesgo tangible
y abordable. Al recorrer incidentes
reales como estos con los miembros
de la junta, puede ayudarlos a
entender mejor estos tipos de
ataques, los impactos potenciales
involucrados y los tipos de inversiones
en ciberseguridad que podrían
marcar una diferencia en ataques
similares en el futuro.
El costo de la inacción 10

Ejemplo de incidente de riesgo interno:

Robo de datos de empleados

Enero a marzo de 2017

¿Qué ocurrió?

Un empleado de una gran organización de salud del Reino Unido robó datos de casi
500.000 clientes para venderlos en la web oscura, los que incluían el nombre, la fecha de
nacimiento, la nacionalidad, el número de membresía, la dirección de correo electrónico
y el número de teléfono. El empleado obtuvo acceso a la información a través del
sistema CRM de la organización, copiando los registros en grandes cantidades y luego
eliminándolos de las bases de datos. Los clientes no fueron notificados sino hasta dos
meses después del incidente.

¿Qué impacto tuvo en la empresa?

Los reguladores del Reino Unido multaron a la organización con £ 175.000 y afirmaron
que la empresa no tomó “las medidas técnicas y organizativas pertinentes contra el
procesamiento no autorizado e ilegal”. Esto incluye la supervisión de rutina que podría
haber detectado actividad inusual, como la extracción de grandes cantidades de datos.
En una declaración, la organización señaló que, desde entonces, “se introdujeron medidas
de seguridad adicionales para ayudar a evitar que un incidente de este tipo vuelva a
ocurrir, se reforzaron nuestros controles internos y se aumentaron los controles de
nuestros clientes”.

¿Qué podría hacerse de manera diferente para evitar que se produzcan ataques
similares en el futuro?

La administración de los riesgos internos, tanto accidentales como malintencionados,

puede ser un desafío. Tiene que analizar millones de señales diarias para detectar acciones
de usuarios potencialmente riesgosas, pero sin comprometer la productividad ni la
privacidad. Todo eso se ha vuelto más difícil con la proliferación de los datos digitales
y el aumento del trabajo remoto e híbrido.

La automatización y el machine learning pueden ayudar a correlacionar una amplia gama

de señales con el fin de identificar posibles riesgos de información privilegiada, de modo
que pueda identificarlos con rapidez y actuar en consecuencia. Aún más importante es
tener una estrategia de datos de protección de datos integral en personas, procesos,
capacitación y herramientas.
El costo de la inacción 11

Ejemplo de un incidente de ransomware:

Ataque de LockerGoga
Marzo de 2019

¿Qué ocurrió?

Una de las empresas de aluminio más grandes del mundo fue atacada con
LockerGoga, una forma de ransomware. El ataque bloqueó los archivos en
miles de servidores y PC, además de publicar una nota de rescate en las
pantallas de los equipos dañados. El daño se había iniciado tres meses antes
cuando un empleado, sin saberlo, abrió un correo electrónico infectado de
un cliente de confianza. Eso permitió a los hackers invadir la infraestructura
de TI y plantar su virus de forma encubierta.

¿Qué impacto tuvo en la empresa?

Los 35.000 empleados de los 40 países en los que se encuentra presente la

organización se vieron afectados. Las líneas de producción se detuvieron en
algunas de sus 170 plantas. Otras instalaciones cambiaron de operaciones
computarizadas a manuales. El impacto financiero finalmente sería de cerca
de USD 71 millones.

¿Qué podría hacerse de manera diferente para evitar que se produzcan

ataques similares en el futuro?

La respuesta rápida y transparente de la empresa fue ampliamente elogiada.

Eligieron no pagar rescate, ser completamente abiertos sobre la vulneración
y llamar al Equipo de Detección y Respuesta (DART) de Microsoft, que apoya a
las empresas que se encuentran bajo ataque. Sin embargo, para evitar ataques
similares en el futuro, los miembros de DART describieron cómo la combinación
correcta de personas, procesos y tecnología puede ser útil. Ese enfoque incluye
implementar la autenticación multifactor, tener un proceso de actualización
maduro, realizar copias de seguridad de los datos y aumentar la concientización
y capacitación sobre seguridad entre los empleados.
El costo de la inacción 12

Creación
del caso
Las ideas y los ejemplos analizados en este eBook
pueden ayudarlo a dar forma a su presentación ante
la junta. Pero en última instancia, por supuesto, tendrá
que elegir la estructura y los detalles correctos en
función de las inversiones que necesite. Las siguientes
ideas pueden ayudarlo a explorar lo que podría
funcionar mejor con su junta en particular.
El costo de la inacción 13

• No tenga miedo de intentar enfoques diferentes.

Por ejemplo, los ejercicios de mesa y otras simulaciones de escenarios pueden
ser una experiencia eficaz para la educación y la interacción, o puede que
desee llevar a un experto en seguridad externa para que hable.

• Hable con sus pares de la alta dirección para obtener comentarios y soporte.
Su CEO y otros compañeros ejecutivos pueden ser muy valiosos para obtener
información sobre miembros específicos de la junta o problemas recurrentes.
También puede agregar peso a sus argumentos el hecho de que los miembros
de la junta vean que los líderes de su organización apoyan las inversiones
que propone.

• Mantenga abiertas las líneas de comunicación.

Trate de forjar una relación con uno o más miembros de la junta fuera de las
actualizaciones trimestrales o anuales, en especial con aquellos que tienen
experiencia en tecnología o seguridad. Estos pueden ayudarlo a defender sus
puntos de vista cuando no está presente, e incluso ayudarlo a adaptar mejor
sus presentaciones.

Al final, los CISO tienen muchos motivos para sentir confianza en este momento.
Nunca antes tantos miembros de juntas buscaron activamente orientación
sobre ciberseguridad. Y muchos desarrollos tecnológicos hablan directamente
de las preocupaciones de la junta en torno al costo y el ROI, desde los avances
en la automatización y la IA hasta el potencial de las soluciones de seguridad
integradas para reducir la complejidad y el costo.

¿Busca un lugar para comenzar?

Use la siguiente guía de conversación para pensar en cómo la madurez de SecOps
podría ayudarlo a construir una conversación con los miembros de la junta.
El costo de la inacción 14

Cómo usar la madurez de SecOps

para iniciar una conversación con
los miembros de la junta
¿Se pregunta por dónde empezar con los miembros de la
junta al hablar del riesgo de ciberseguridad? La madurez de OPTIMIZADO
las operaciones de seguridad puede darle un marco para más
conversaciones productivas.

Tómese un momento para hablar sobre cada una de las

siguientes cinco áreas de SecOps con su equipo de liderazgo
de seguridad. Si puede comprender mejor dónde se encuentra
su organización en el espectro de madurez para cada área,
puede identificar las brechas y fortalezas, y con esa información,
puede realizar solicitudes más específicas a su junta directiva.

AVANZADO
Por ejemplo, en la Clasificación, es posible que una organización
que se encuentra en el extremo Básico del espectro aún no
use la automatización para investigar y corregir incidentes
repetitivos o de gran volumen. Una organización que se
encuentra en el nivel Optimizado de la Clasificación podría
usar servicios y herramientas de orquestación, automatización
y respuesta de seguridad (SOAR) para automatizar la prevención
y respuesta de ciberataques. Al volver a la idea de riesgo
aceptable en torno a diferentes amenazas, puede ayudar
a la junta a evaluar mejor dónde debería estar su organización
en ese continuo. BÁSICO

Consulte la herramienta de autoevaluación completa para

obtener más detalles.
 El costo de la inacción
Clasificación
Preguntas para debatir para el equipo de liderazgo de seguridad:
¿Tenemos el enfoque
correcto para priorizar
los incidentes y las
alertas de amenazas?
Investigación
Preguntas para debatir para el equipo de liderazgo de seguridad:
¿Cuántas herramientas
de seguridad en total
usan nuestros analistas
para la investigación
de incidentes (incluidos
productos o portales
de proveedores y
herramientas o scripts
personalizados)?
15
¿Qué tan rápido podemos evaluar alertas, establecer
prioridades y dirigir incidentes a los miembros
de nuestro equipo del centro de operaciones de
seguridad para que los resuelvan?
¿Deberíamos utilizar ¿Estamos haciendo
más automatización lo suficiente para
para investigar y administrar la fatiga
corregir incidentes de alertas?
de gran volumen
o repetitivos?
¿Qué tan rápido podemos determinar si una alerta
indica un ataque real o es una falsa alarma?
¿Cómo consolidamos ¿Cómo utilizamos las
y correlacionamos todos herramientas de detección
nuestros orígenes de datos e investigación centradas
(por ejemplo, con SIEM en la identidad, los puntos
u otras herramientas)? de conexión, el correo
electrónico y los datos, las
aplicaciones de SaaS o la
infraestructura de nube?
 El costo de la inacción
Búsqueda
Preguntas para debatir para el equipo de liderazgo de seguridad:
¿La búsqueda proactiva
de amenazas debe ser
una parte más importante
de nuestra estrategia
de seguridad?
Administración
de incidentes
Preguntas para debatir para el equipo de liderazgo de seguridad:
¿Tenemos un proceso
eficaz de administración
de crisis para manejar
incidentes de seguridad
importantes?
16
¿Cómo buscamos adversarios que han evadido
nuestras defensas primarias y automatizadas?
¿Tenemos los procesos ¿Nuestro equipo
y las herramientas de búsqueda deja
adecuados para ayudar tiempo suficiente para
a detectar y administrar perfeccionar las alertas
las amenazas internas? a fin de aumentar los
índices de verdaderos
positivos para los equipos
de clasificación?
¿Cómo coordinamos la respuesta en las funciones
técnicas, de operaciones, de comunicaciones,
jurídicas y de gobierno?
¿El proceso involucra ¿Estamos realizando
a los equipos suficientes ejercicios
pertinentes, incluidos periódicos para
el liderazgo ejecutivo practicar y perfeccionar
y los equipos jurídicos, este proceso?
de comunicaciones y
de relaciones públicas?
 El costo de la inacción 17

¿Cómo usamos la automatización para ahorrar

Automatización tiempo a nuestros analistas, aumentar la velocidad
de respuesta y reducir las cargas de trabajo?

Preguntas para debatir para el equipo de liderazgo de seguridad:

¿Cómo usamos la ¿Qué tan bien podemos ¿Estamos aprovechando

automatización organizar acciones la automatización
proporcionada o automatizadas en proporcionada por
mantenida por el diferentes herramientas? la comunidad?
proveedor para reducir
la carga de trabajo de
investigación y corrección
en los analistas?

© 2023 Microsoft Corporation. Todos los derechos reservados. Este documento se proporciona “tal
cual”. La información y las opiniones expresadas en este documento, incluidas las direcciones URL y otras
referencias a sitios web de Internet, están sujetas a cambios sin previo aviso. Usted asume el riesgo de usarlo.
Este documento no le otorga derecho legal alguno sobre ninguna propiedad intelectual de ninguno de los
productos de Microsoft. Puede copiar y usar este documento para uso interno como material de consulta.