Tribuna

Abordar los ciberriesgos desde el nivel ejecutivo

Las empresas, sin importar su sector o su tamaño, son cada vez más conscientes de su vulnerabilidad ante ciberataques que pueden afectar, en ocasiones de forma irreversible, a su negocio. Por ello, dedican cada vez más recursos a aumentar la seguridad de sus redes, invirtiendo, en ocasiones, sumas millonarias en ello. Sin embargo, esta protección sigue estando por detrás de la constante evolución de los actores maliciosos y de las amenazas de ciberseguridad a las que se enfrentan. Pese a los esfuerzos de los consejos de administración de todo el mundo por reaccionar ante las ciberamenazas, no hay día que los medios no se hagan eco de un ataque a gran escala a una empresa, sea del sector que sea.

Lo primero que debemos tener en cuenta es que nunca es demasiado tarde para reaccionar. Sin embargo, para minimizar las repercusiones a nivel operativo, financiero y de reputación, lo más recomendable es mejorar las medidas preventivas y la capacidad de reacción antes de que se detecte un ataque. Las empresas ya no deben preguntarse si van a ser atacadas o cuándo, sino cuál es su grado de preparación ante un incidente de ciberseguridad. La rapidez y eficacia con la que una empresa se recupera de un ciberataque es directamente proporcional a su nivel de preparación para dichos sucesos y esta preparación comienza con una buena gestión. Las empresas deben asegurarse de que todos los empleados reciben formación continuada y están al tanto de los tipos de ciberamenazas más comunes.

Al mismo tiempo, el consejo debe estar involucrado, o al menos tener un profundo conocimiento de las políticas y los procedimientos empleados por la empresa para defender, detectar, responder ante y recuperarse tras un incidente. Asimismo, y de forma continuada, tienen que plantear el reto a los directivos de la empresa a seguir explorando estrategias y formas de mejorar su preparación y su plan de respuesta ante incidentes. A su vez, los directivos y el consejo tienen que tener un canal de comunicación constante y ágil con el equipo responsable de la ciberseguridad/seguridad de la información; es frecuente que la falta de comunicación entre los responsables técnicos y la cúpula directiva resulte en un aumento del impacto de un ciberincidente.

Los esfuerzos no pueden quedarse ahí. El consejo necesita comprender que un ciberataque puede repercutir directamente sobre los resultados y la reputación de su empresa. Asimismo, debe definir cuáles son sus activos críticos: dónde están situados, quiénes podrían beneficiarse de su obtención ilícita y cuál es su nivel de protección ante las actuaciones de los cibercriminales. Por último, los consejos deben estar dispuestos a invertir los recursos necesarios para proteger esas joyas de la corona.

Es importante tener en cuenta que una gran inversión para aumentar la protección de las redes no es efectiva si luego no se implementan medidas de forma permanente. Sin una revisión continuada, no existe garantía contra ataques futuros: basta que un solo empleado haga clic sobre un link de un e-mail malicioso para vulnerar el sistema de toda la empresa. De ahí la importancia de realizar simulaciones periódicas y de formar al personal continuamente. En el supuesto de que la empresa sufra un ataque crítico que resulte en una fuga de datos o en el bloqueo de sus sistemas, la cúpula directiva debe saber reaccionar con calma, para lo que será primordial establecer protocolos de actuación. Esta necesidad se acentúa en el caso de sectores regulados, ya que tendrán que rendir cuentas ante organismos regulatorios y en el de las infraestructuras críticas, por la repercusión que puede tener un incidente en el grueso de la población.

Un pilar básico de estos protocolos es la elaboración de un plan de respuesta ante incidentes (PRI). Para que un PRI sea efectivo, tendrá que incluir la designación del personal al mando, la definición de la estructura de comunicación interna y las acciones a tomar por cada nivel directivo durante el incidente. Asimismo, establecerá el cómo, el cuándo y quién notificará el incidente al consejo, accionistas y clientes. El PRI también detallará cuándo y cómo involucrar al equipo de relaciones públicas e identificará al portavoz para hablar con los medios.

Por último, una vez solventado el incidente, es necesario hacer una reflexión interna y plantearse una serie de preguntas que permitirán a la empresa estar mejor preparada para el futuro: ¿Aplicó el equipo todo su potencial para identificar y gestionar el problema?, ¿reaccionaron con celeridad para identificar y controlar la intrusión?, ¿fueron eficaces los métodos utilizados para alcanzar y contener el ataque?, ¿podrían mejorar la respuesta futura la participación de personal o equipos adicionales/alternativos?

Bruce Goslin es director ejecutivo de K2 Intelligence en Madrid.

Marina Nogales es directora de K2 Intelligence en Madrid.

Normas