Qué nos indican las estrategias de respuesta a la COVID-19 sobre la desconexión entre el área de ciberseguridad y el área de negocios

Un estudio independiente sobre los riesgos para el negocio mostró que, a medida que las organizaciones de todo el mundo se apresuraban a desarrollar estrategias para responder a la pandemia de la COVID-19, se dejaba de lado a la gran mayoría de los líderes de ciberseguridad.

La forma en que las organizaciones planifican y gestionan el riesgo para el negocio es uno de los tantos y profundos cambios que se están produciendo como resultado de la pandemia global de la COVID-19. Sin embargo, muchos líderes de ciberseguridad siguen luchando por tener voz en las decisiones. 

De hecho, un estudio encomendado por Tenable a Forrester Consulting reveló una desconexión alarmante entre los líderes de negocios y de ciberseguridad. Aunque casi todos los encuestados (96 %) dijeron que sus organizaciones habían desarrollado estrategias de respuesta a la COVID-19, el 75 % dijo que los esfuerzos de las áreas de negocios y de seguridad estaban apenas "un poco" alineados, en el mejor de los casos.

Esto es sumamente preocupante en un momento en el que la adopción repentina y generalizada de modelos de trabajo desde el hogar en respuesta a la pandemia, hace que haya una enorme cantidad de dispositivos de los usuarios finales en las redes corporativas. Los escritorios remotos, que antes eran una oferta interesante para un grupo selecto de trabajadores, ahora son herramientas esenciales que muchos empleados deben utilizar para mantener las organizaciones en funcionamiento. De forma repentina, los empleados se conectaron a los sistemas y las aplicaciones centrales del negocio, utilizando sus propios enrutadores y redes domésticas, que no han sido probados antes y son potencialmente vulnerables. La popularidad de los dispositivos de Internet de las cosas (IoT) los convierte en potenciales vectores de amenazas. La red doméstica promedio podría incluir el dispositivo Alexa de Amazon u otra herramienta activada por voz, televisores conectados a Internet y dispositivos de videojuegos, además de la diversidad de computadoras portátiles, tabletas y teléfonos de los cónyuges, hijos u otras personas del hogar.

Brookings Institute estima que, al 9 de abril de 2020, casi la mitad de los trabajadores estadounidenses trabajaba desde el hogar, fenómeno que llama "un cambio masivo". De hecho, un estudio de Pew Research muestra que, antes de la pandemia, solo el 7 % de los trabajadores civiles de los Estados Unidos —unos 9,8 millones de los aproximadamente 140 millones de trabajadores civiles de la nación— tenían acceso al beneficio de un "lugar de trabajo flexible" o a la opción de teletrabajo.

Y los delincuentes cibernéticos se están lanzando sobre los trabajadores remotos para aprovechar la expansión exponencial de la superficie de ataque. Según el estudio de Forrester, a mediados de abril de 2020, cuatro de cada diez organizaciones (41 %) ya habían sufrido al menos un ataque cibernético con impacto en el negocio*, como resultado de una estafa de phishing o de malware relacionado con la COVID-19. Los datos, basados en una encuesta en línea a más de 800 líderes de negocios y de ciberseguridad en diez países, se obtuvieron del estudio El ascenso del ejecutivo de seguridad alineado con el negocio. 

Las estafas relacionadas con la COVID fueron el origen principal de todos los ataques cibernéticos con impacto en el negocio informados en el estudio. Aunque la Organización Mundial de la Salud había declarado la pandemia de la COVID-19 apenas unas semanas antes, cuando se realizó la encuesta, los ataques relacionados con la COVID ya habían superado a otros ataques con impacto en el negocio, como el fraude (40 %), la filtración de datos (37 %), el ransomware (36 %) y las vulnerabilidades del software (34 %).

A nivel personal, los resultados de la encuesta me parecen extrañamente confirmatorios: confirman que no soy el único líder de seguridad preocupado por estas tendencias. Dos de cada tres encuestados del estudio de Forrester (67 %) dijeron que estaban muy o extremadamente preocupados por el probable aumento del nivel de riesgo de sus organizaciones, debido a los cambios en la fuerza de trabajo que requieren las medidas de distanciamiento social para prevenir la COVID-19. 

Para colmo, aproximadamente la mitad de los líderes de ciberseguridad encuestados (48 %) dijo que solo tiene una visibilidad moderada o nula hacia los empleados remotos que trabajan desde casa.

Una de las formas clave de superar esta desconexión es que las organizaciones involucren al área de ciberseguridad cuando elaboren estrategias de gestión de riesgo. 

Cómo la gestión de riesgo puede ayudarle a convertirse en un líder de ciberseguridad alineado con el negocio 

Los CISOs, CSOs y otros líderes de ciberseguridad están especialmente capacitados para asumir un papel más importante en la gestión de riesgo y las disciplinas relacionadas de continuidad del negocio, recuperación ante desastres y gestión de crisis. Nuestro trabajo nos pone directamente en la intersección de la tecnología y los negocios. Tenemos visibilidad hacia todos los sistemas, datos y procesos necesarios para cumplir con un plan de continuidad del negocio y recuperación ante desastres. Estar involucrado en la gestión de riesgo también puede hacer que su trabajo sea un poco más controlable: si usted puede comprender todos sus procesos y activos críticos desde una perspectiva amplia de los riesgos para la empresa, esto también le permitirá fortalecer la ciberseguridad. 

Además, se puede obtener un claro beneficio operativo si se realizan ejercicios de gestión de riesgo que puedan servir de puente entre el lado de los negocios y el lado de InfoSec de la organización. Lo que se revele en el proceso ayudará a toda la organización a comprender cómo priorizar mejor los recursos —tanto humanos como financieros— a fin de mantener el negocio en funcionamiento, incluso durante una crisis.  

Sentara Healthcare: un caso de estudio sobre alineación eficaz

Sentara Healthcare ofrece un caso de estudio sobre alineación eficaz. En una entrevista con Tenable, Dan Bowden, CISO de Sentara Healthcare, señaló que al comienzo de la pandemia, los equipos de TI y de seguridad de la organización quedaron a cargo de dos tareas fundamentales: permitir que un gran número de empleados trabajaran desde sus casas, y ayudar a convertir las salas comunes de los hospitales para que funcionaran como salas de la unidad de cuidados intensivos (UCI) mediante el cambio de los sistemas de tecnología operativa (OT) y la Internet de las cosas (IoT) necesarios para atender una afluencia repentina de pacientes en estado crítico.

"En marzo y abril, diría que más del 50 % de nuestro trabajo total se dedicó a aumentar la capacidad de la sala de UCI, y a averiguar cómo [podemos] usar la tecnología para reducir el consumo de los equipos de protección personal (EPP)", dijo Bowden.

Si bien en última instancia las transiciones tuvieron éxito, como consecuencia, el proceso de colocación de parches de la organización se vio sumido en el caos durante dos meses.

"Soy un CISO de detección de vulnerabilidades muy agresivo, y mi equipo lo es [también]", dijo Bowden. "Contamos con una política basada en la demanda de lo que sucede cuando encontramos una nueva vulnerabilidad. Y tuvimos que ajustar un poco nuestros plazos de detección de vulnerabilidades y nuestra política de colocación de parches, porque nuestros equipos de TI estaban cambiando las camas de los hospitales. Una sala común [de hospital] está configurada de cierta manera desde la perspectiva de la tecnología. Y cuando se cambia a una sala de UCI, se produce un cambio en cascada a lo largo de una gran cantidad de sistemas de tecnología y aplicaciones que la acompañan. Nuestros equipos de infraestructura y aplicaciones estaban muy ocupados cambiando la superficie de las camas que ofrecíamos, de una pequeña cantidad de camas a un número muy grande de camas en la UCI. Por lo tanto, debíamos resolver cómo seguir cumpliendo con nuestro programa de colocación de parches, de manera que pudiéramos manejar el riesgo de manera eficiente y eficaz. Confiamos mucho en el Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR) de Tenable. Es probable que lo hayamos utilizado esta primavera y verano mucho más activamente que en el pasado".

Para junio, el proceso de colocación de parches se normalizó. Ahora, a medida que se acerca el cuarto trimestre, Bowden se enfrenta a importantes decisiones en relación con el presupuesto, al igual que muchos sectores de la industria que sufrieron el impacto económico de la COVID-19. "Estamos tratando de reducir [los gastos operativos] y de ajustarnos al presupuesto. ¿Cómo hacemos que el 2020 no tenga un impacto en los resultados? Estamos muy enfocados en mantener en funcionamiento las operaciones básicas, así como también en cualquier necesidad que surja debido a las variaciones en la propagación de la COVID-19".

Bowden añade: "Tenemos un equipo de directivos muy progresista que nos dice a todos: 'Sean creativos, ayúdennos a resolver cómo crecer en medio de todo esto'. Así que también tenemos algunos grandes proyectos que abordar en relación con eso". 

Cómo demostrar el retorno de las inversiones en ciberseguridad

En un momento en el que las organizaciones de todo el mundo se enfrentan a un período potencialmente prolongado de incertidumbre económica, es más importante que nunca priorizar las inversiones en función del riesgo. El estudio muestra que cuando el área de seguridad y el área de negocios están alineadas, producen resultados importantes. Por ejemplo, el 85 % de los líderes de seguridad alineados con el negocio tiene métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el desempeño del negocio, en comparación con tan solo un cuarto (25 %) de sus colegas más reactivos y que trabajan aisladamente. El líder de seguridad alineado con el negocio también tiene ocho veces más probabilidad de tener confianza en su capacidad de informar el nivel de riesgo de su organización, en comparación con sus colegas que trabajan aisladamente. Y la gran mayoría (86 %) tiene un proceso que comunica claramente las expectativas y demuestra una mejora continua de los procesos, en comparación con solo el 32 % de sus colegas más reactivos y que trabajan aisladamente. 

Involucrarse en el desarrollo de la estrategia de gestión de riesgo empresarial (ERM) de su organización lo pondrá en el camino hacia convertirse en un líder de ciberseguridad alineado con el negocio.

Estos seis pasos le ayudarán en la identificación y evaluación iniciales de los riesgos para la empresa:

1. Elabore una encuesta de evaluación de riesgos y distribúyala a las partes interesadas clave. Por lo general, estas se envían al nivel de los altos directivos y los directivos superiores. Además, debe incluir a representantes de todos los departamentos principales de su organización, incluyendo el Departamento Legal, de Finanzas, de Recursos Humanos, Tecnología de la Información, Seguridad de la Información, Ventas, Operaciones, Marketing e Investigación y Desarrollo. Una vez concluida su encuesta, será conveniente organizar las respuestas en categorías de riesgo para poder compilar un inventario de los riesgos para la empresa.
2. Realice investigaciones y análisis para comparar los riesgos empresariales de su organización con las encuestas de riesgo de la industria.
3. Elabore una metodología de evaluación de riesgos, incluyendo probabilidad e impacto, para obtener una clasificación total de los riesgos. 
4. Identifique a los líderes clave de su organización, y dedique tiempo a entrevistarlos para conocer su opinión sobre los riesgos y la priorización, así como también sobre la probabilidad de los riesgos y su impacto.
5. Presente los resultados de su evaluación de riesgos a los ejecutivos para ponerse de acuerdo sobre los principales riesgos y asignar los responsables ejecutivos para cada riesgo.
6. Trabaje con los responsables ejecutivos a fin de identificar las actividades de mitigación para los principales riesgos.

La realización de los pasos anteriores es un ejercicio meticuloso que aporta muchos beneficios, ya que proporciona un conjunto claro de prioridades. Tendrá una lista acordada de los riesgos para la empresa. Si bien es probable que la ciberseguridad constituya en sí misma un riesgo empresarial independiente, sin dudas afecta de alguna forma a muchos riesgos empresariales, si no a todos. 

Combine la evaluación de riesgos del negocio con un análisis del impacto en el negocio; son esenciales para la continuidad del negocio y la recuperación ante desastres, ya que determinan cuáles son los sistemas y los procesos de negocios críticos de los que su organización no puede prescindir. Ambos sirven de base para desarrollar una estrategia de ciberseguridad alineada con el negocio. Obtendrá una lista de los riesgos y los procesos más críticos de la empresa, lo que permite priorizar claramente las respuestas, tanto en un momento de crisis —independientemente de si la crisis es el resultado de un ataque cibernético, un desastre natural o una pandemia mundial— como cuando se reanuden normalmente las operaciones de negocios. 

En épocas estables, es demasiado fácil para las organizaciones tratar la gestión del riesgo para la empresa como si fuera un mero ejercicio de marcar listas de verificación que es mejor dejar en manos de un equipo segregado de profesionales. Con la COVID-19, los líderes de negocios y de tecnología se vieron apuntados en un curso intensivo de gestión de crisis. Depende de cada uno de nosotros tomar esto como una oportunidad para replantear nuestro abordaje del riesgo para la empresa, a fin de estar mejor preparados para los tiempos de inactividad, y bien posicionados para beneficiarnos cuando las cosas vayan bien. 

Lea la serie del blog: Cómo volverse un líder de ciberseguridad alineado con el negocio

Las publicaciones de blog de esta serie se enfocaron en los desafíos de alinear el área de ciberseguridad y el área de negocios y en por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". También examinamos lo que revelan las estrategias de respuesta ante COVID-19 acerca de la desconexión de los negocios cibernéticos, discutimos por qué las métricas existentes de seguridad cibernética se quedan cortas comunicar el riesgo cibernético, exploramos los cinco pasos para lograr la alineación con el negocio y proporcionamos un vistazo hacia un día en la vida del líder de ciberseguridad alineado con el negocio.

Para obtener más información

• Vea los puntos adicionales más destacados del estudio aquí.
• Descargue el estudio completo, El ascenso del ejecutivo de seguridad alineado con el negocio.
• Lea los blogs, Alineación de la ciberseguridad y los negocios: nadie dijo que fuera fácil y ¿Por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta de "¿qué tan seguros estamos?"
• Descargue el documento técnico, Qué se necesita para ser un ejecutivo de seguridad alineado con los negocios.
• Lea el libro electrónico, Cómo volverse un líder de seguridad alineado con el negocio.
• Escuche la serie de podcasts sobre Cyber Exposure, Entrevista con el CSO de Tenable, Bob Huber.

Para los fines de esta encuesta, "impacto en el negocio" tiene que ver con un ataque cibernético o riesgo que provocó uno o más de los siguientes hechos: pérdida de datos de clientes, de empleados o confidenciales; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto; y/o robo de propiedad intelectual.