Ciberseguridad, el ‘ajedrez’ que se juega desde el Consejo de Administración

La ciberseguridad es como un juego parecido al ajedrez, en el que nos encontramos frente a rivales que pueden ser muy desafiantes, pero que, al mismo tiempo, nos motivan a llevar a cabo nuestros mejores movimientos y estrategias para ganarles cada partida. La gran diferencia entre ese maravilloso juego de mesa y la ciberseguridad es que esta última no se limita a una sola partida, sino que representa un desafío permanente: a toda hora y todos los días. 

Las amenazas cibernéticas son esos grandes rivales que nos retan en todo momento y de diferentes formas, siempre en constante evolución. Por eso es importante contar con todas nuestras piezas en la parte que nos corresponde del tablero, con la finalidad de responder de mejor manera a los movimientos de nuestro oponente.

El escenario que tenemos para mover nuestras piezas disponibles se dibuja, generalmente, a partir de la autoevaluación que hace cada empresa de su situación y de su propia necesidad de sobreponerse a los retos que plantean los rivales.

Por autoevaluación entendemos el diagnóstico y análisis de los riesgos cibernéticos más importantes que identificamos en nuestros sistemas; en nuestra estrategia para migrar a la nube o en nuestros sistemas de control industrial. Además, en este proceso también toma relevancia el conocimiento de la inversión requerida para mitigar los riesgos adecuadamente.

Asimismo, es importante, en esta parte, hacer un balance de cuántas amenazas cibernéticas hemos sido capaces de detener; de cómo nos fue en el ejercicio de simulación de ataques cibernéticos; de cuáles serán nuestras acciones a seguir; y, en suma, de cómo vamos con nuestra estrategia en ciberseguridad.

En cuanto a la necesidad de sobreponerse a los retos que representan las amenazas cibernéticas, debemos considerar que, actualmente, la ciberseguridad es vista, en sí misma, como un tema medular, y, en ese sentido, los desafíos que ella entraña involucran a todas las áreas y niveles de las organizaciones. Es decir, todos los profesionales y líderes, de todas las áreas, forman parte de la ciberseguridad, pues todos ellos se encuentran expuestos a las amenazas, ya sea por correos maliciosos o por dispositivos infectados con algún virus.  

La ciberseguridad, en otras palabras, exige que dejemos de trabajar por silos y que no la veamos como una función de unas cuantas personas, sino, más bien, como un trabajo en conjunto, en el que cada quien, desde su área de trabajo, contribuya al buen uso y cuidado de la información. Aunque cada una de las acciones de los profesionales pueda parecer solo una pequeña parte de la labor, esto generará, a final de cuentas, una gran diferencia.

Pero, dentro del contexto de cada organización o de su propio escenario de juego, ¿cuál es la pieza más valiosa que tienen en común las empresas, en esta batalla constante contra las amenazas cibernéticas?

Sin duda alguna, la pieza clave, el rol que necesitamos tener es el de un “orquestador” que se desempeñe desde el área de Seguridad de la Información o Ciberseguridad; alguien que tenga como función principal observar cómo las capacidades creadas dentro de todas las áreas interactúan entre sí; alguien, en suma, que pueda ver el juego de cada empresa desde arriba, para indicarnos qué “jugadas” nos convienen más.

Afortunadamente, en los últimos años, los temas de ciberseguridad han dejado de ser un tema de Tecnologías de la Información y ahora figuran en la mesa de la Dirección General y del Consejo de Administración. Eso es muy valioso, ya que, desde esas áreas donde ahora se escucha hablar de conceptos como amenazas cibernéticas, APT, ramsomware, EDR, XDR, IA, entre muchos otros, es más fácil comenzar a mover los engranes operativos de toda la organización y comenzar con la transmisión de la cultura preventiva y de seguridad que requieren todas las empresas para dar continuidad al negocio y seguir prosperando.

Lo que en materia de ciberseguridad buscamos constantemente es no dejar puertas abiertas o huecos para las amenazas. En ese sentido, el orquestador tiene la responsabilidad de hablar sobre las prácticas utilizadas por la organización para la mitigación de los riesgos cibernéticos, pero, además, es quien debe señalar qué parte de todo el proceso de ciberseguridad hace falta robustecer y quien sabe qué prácticas de gestión de vulnerabilidades implementar, para, incluso, traer de regreso la información robada a nuestro centro de monitoreo.

Por si fuera poco, el orquestador debe ser capaz de comunicarse y coordinarse con la primera línea de defensa de seguridad de la información, a fin de saber cuál de esa información resulta vital para el negocio y, a partir de ello, poner en marcha las acciones necesarias para resguardar ese valioso activo de las organizaciones.

Recordemos que el cibercrimen está bien organizado, tiene esta capacidad de monetizar el secuestro de la información y de frenar las operaciones de las empresas, así como de tener injerencia en otros temas de muy alto impacto dentro de las mismas. Por consiguiente, es muy recomendable ser proactivos ante las amenazas, prepararnos antes de que ocurran.

Para ello, el primer paso será realizar una correcta autoevaluación para definir recursos y estrategias de acción, y, posteriormente, habrá que identificar a quien será el gran “orquestador” de todas las tareas de ciberseguridad. En él recaerá la responsabilidad de construir un puente entre el consejo de administración o la alta dirección y todas las demás áreas de una empresa.

Erick A. Robles Gómez, CISSP Socio Riesgo Cibernético