A tenor de las estadísticas, es muy probable que tu compañía afronte, antes o después, un ciberataque que te obligue a probar tu resistencia ante este tipo de amenazas. Los datos hablan por sí solos: únicamente en el primer trimestre de 2023 se cometieron 107.879 ciberdelitos en el conjunto de España. O lo que es lo mismo, 1.198 ataques al día o 50 a la hora. Los ciberataques se dispararon un 13,8% en comparación con un año, por lo que no hay que bajar la guardia. Con estas cifras sobre la mesa, ¿cuáles son los retos de las empresas ante los riesgos de ciberseguridad? ¿Cómo debo afrontar esta amenaza desde mi posición en la compañía?
El informe “La alta dirección frente al reto de la Ciberseguridad“, que ha promovido Cyberlideria, la comunidad de CISOs de la red de directivos Lideria, y en el que ha participado PwC, ha puesto sobre la mesa cuatro desafíos que deben tener en cuenta las firmas, y sus directivos, a la hora de enfrentarse ante esta amenaza.
1. Primero, asume y entiende de quién es la propiedad del ciberriesgo
Este reto consiste básicamente en no considerar la posibilidad de un ciberataque como algo que debe afrontarse únicamente desde el punto de vista técnico, muy circunscrito al ámbito de la ciberseguridad. Por el contrario, es importante crear una cultura de seguridad en toda la organización que ayude a ver que un ciberriesgo afecta directamente al núcleo del negocio. Así que la ciberseguridad no es algo solo del CISO, sino también del CEO o del director financiero de la firma. Pero, ¿cómo lograr la implicación de todos? Una buena aproximación es establecer un lenguaje común para que los responsables del negocio en las compañías sean capaces de entender los riesgos asociados al uso de la tecnologías y los posibles impactos sobre sus objetivos de negocio, para que puedan tomar las decisiones con más y mejor información.
2. La gestión del ciberriesgo va más allá de lo técnico: implica a la estrategia, a las personas, la cultura interna, los procesos y hasta a los proveedores…
Es crucial que a la hora de gestionar un ciberriesgo se tengan en cuenta todas las dimensiones de la gestión. Por ejemplo, a nivel de implicación del personal, es imprescindible el compromiso de la alta dirección, el establecimiento de políticas y normativas que marquen una hoja de ruta, el diseño y ejecución de programas formativos y de capacitación para todos los empleados, el fomento de la participación en la detección y comunicación de actividades sospechosas, entrenando al personal en la gestión de incidentes. Por otro lado, es importante tener en cuenta que los procesos y la estrategia servirán para priorizar la protección de lo realmente importante para las compañías o que se tenga en cuenta el ciberriesgo a la hora de contratar a los proveedores.
3. Hay que definir e implantar un marco de gestión de ciberriesgos sistemático, operativo y dinámico: no basta actuar a última hora
Es importante responder a las siguientes tres preguntas: ¿Qué se va a hacer y cómo puede evolucionar el ciberriesgo? ¿Cómo se pondrán en marcha las distintas acciones o actividades? ¿Quién será el responsable de cada aspecto que haya que tener en cuenta? Con el fin de afrontar los ciberataques de manera operativa, el modelo de base actualmente asumido por la industria para la gestión de cualquier tipo de riesgo, y que puede aplicarse de igual manera a los de Ciberseguridad, es el de las ‘Tres Líneas de Defensa’ (3LoD por sus siglas en inglés). De manera muy resumida, la primera línea de defensa implica una gestión efectiva (responsable de identificar y mitigar los riesgos de forma operativa); la segunda, las funciones de seguimiento y supervisión (que es responsable de fijar normas, garantizar que se incorporan las amenazas relevantes para conseguir los objetivos de negocio y de supervisar el riesgo), y la tercera consiste en una Auditoría interna (que proporciona aseguramiento independiente en relación con la eficacia de la supervisión del riesgo y del sistema de control).
4. Ten en mente garantizar la confianza de los accionistas, clientes y todas las partes interesadas
Además de llevar a cabo una gestión efectiva de los riesgos tecnológicos, se requiere que dicha gestión sea comunicada y entendida, adaptándose a las demandas de los distintos interlocutores. Por ejemplo, los inversores requieren una divulgación transparente de la información, para lo que es importante incluir todo lo relativo a la ciberseguridad en los informes de gobierno como la memoria anual, ESG, etc. Asimismo, los clientes también demandan una mayor seguridad, cada vez más conscientes de la vulnerabilidad de sus datos, por lo que es interesante recurrir a terceros independientes para certificar el nivel de madurez y efectividad de las medidas implantadas en base a los estándares internacionales. Los reguladores y supervisores también suelen exigir comunicación fluida, más allá de los estándares. Pero también hay que implicar a los proveedores o colaboradores y a los propios empleados.
Lo más importante es que la alta dirección asuma su responsabilidad y que lidere la estrategia en Ciberseguridad
Tras estos cuatro desafíos que debe encarar la alta dirección de las empresas ante el riesgo de ciberataques, está detrás la conclusión principal del informe “La alta dirección frente al reto de la Ciberseguridad”, elaborado por Cyberlideria y PwC, en el que se pone de manifiesto cómo “el uso intensivo de la tecnología requiere tener en cuenta el ciberriesgo como un riesgo más de la organización” y que “su responsabilidad debe ser asumida por el Comité de Dirección”. Sin duda, la clave del éxito a la hora de gestionar la ciberseguridad en tu empresa es que la alta dirección asuma su responsabilidad ante las nuevas amenazas y lidere, sin intermediarios, la estrategia.