Más allá de la ciberseguridad

Conceptos clave

La presencia de la ciberseguridad ayuda a que los consumidores mantengan la confianza en la economía digital.
Considere la ciberseguridad como una función de la administración de riesgos.
La digitalización deja a los negocios vulnerables ante los ataques cibernéticos, pero la seguridad informática frena el progreso y las prácticas de negocio.
Priorice sus bienes de información según el riesgo del negocio.
Implemente un plan de ciberseguridad que proporcione seguridad basada en capas de acuerdo a dichas prioridades.
Para lidiar con los ataques cibernéticos, cambie de defensa pasiva a respuesta activa.
Dado que no puede evitar los ataques cibernéticos, debe desarrollar un plan de respuesta ante incidentes.
Modernice las TI para mayor seguridad. Incremente la virtualización y el uso de nubes privadas. Compartimente su red; utilice software destinado a proteger documentos.
Su meta final será desarrollar resiliencia digital.
La seguridad cibernética de su empresa depende del ecosistema digital mayor, así que trabaje con proveedores, aseguradoras, organizaciones profesionales y gobiernos para fortalecerla de manera colaborativa.

Resumen

Por qué importa la seguridad cibernética

La sociedad depende de los sistemas de información. Entre más conectado esté su mundo, más fácil será que criminales, terroristas y gobiernos extranjeros tengan acceso a sus datos para sus propios fines. El progreso y la seguridad económica exigen defensa institucional y organizacional en contra de los ataques cibernéticos. Algunos agresores cibernéticos roban información para tener ventaja competitiva. Otros arruinan su reputación o exponen sus debilidades. Los ataques de fraude digital buscan ganancia financiera directa.
Otros más perturban los negocios o servicios gubernamentales. La ciberseguridad se refiere sobre todo a la forma en que las instituciones se defienden de los ataques cibernéticos. Puesto que no puede prevenir los ataques cibernéticos, considere la seguridad cibernética como una función de la administración de riesgos. Las instituciones deben cambiar cómo abordan la seguridad cibernética para mantener la fe de los consumidores, en una economía cada vez más digital. Los ataques cibernéticos frenan la innovación, reducen el valor de las nuevas tecnologías y rebajan la productividad, porque los empleados deben pasar tiempo ajustándose a las precauciones de seguridad.

“Es imposible tener una perspectiva inteligente sobre qué tan bien se desempeñará una función de seguridad cibernética si no hay un entendimiento de qué es lo que necesita protegerse”.

No a las soluciones temporales

Usted no puede simplemente implementar software nuevo: debe obtener aprobación del personal de TI o de ciberseguridad. Descubrir cómo integrar un dispositivo nuevo de manera segura dentro de un sistema existente puede tardar meses. Muchos empleados usan soluciones temporales: se ciñen a las reglas organizacionales o gubernamentales en sus ordenadores oficiales, pero usan dispositivos personales para obtener la información que necesitan. Entre más gasten las empresas en ciberseguridad, menos podrán invertir en tecnologías nuevas que les generen ganancias. A pesar del creciente gasto en seguridad cibernética, muchos ejecutivos creen que están perdiendo la guerra y los defensores se están rezagando respecto de los agresores.

Prácticas nuevas

Ya no puede tratar la seguridad cibernética como si fuera algo distinto al negocio o como un accesorio. Su director ejecutivo debe marcar la pauta y su empresa debe trabajar con el gobierno, organizaciones profesionales e integrantes de su cadena de suministros para reducir riesgos. Muchos líderes corporativos entienden el riesgo, pero han sido lentos en la implementación de prácticas nuevas. Hoy día las organizaciones deben desarrollar resiliencia digital al integrar la ciberseguridad a través de sus negocios y sus funciones de TI. Trabaje para incrementar el grado de colaboración entre las fuerzas de ciberseguridad y el resto de su organización. Dé a su equipo de seguridad las capacidades y los recursos que requieran.

“Cuando todo es digital, las instituciones civiles, públicas y privadas se vuelven más dependientes de los sistemas de información”.

Los productos nuevos podrían generar ganancias nuevas, pero también abren riesgos nuevos y nuevas plataformas o canales a través de los cuales los agresores cibernéticos podrían atacar. Sopese estas soluciones intermedias. Tenga en mente la ciberseguridad cuando desarrolle un nuevo método de entrega de servicios, y actúe para minimizar el riesgo. El ecosistema digital en el que usted opere le dará forma a sus elecciones y proporcionará el contexto en el que deberá evaluar riesgo y seguridad. Sus compromisos digitales diferirán según sus proveedores y sus consumidores tanto al mayoreo como al menudeo. Las compañías que lo provean de tecnología, y las agencias y organizaciones que regulen y representen a su sector, también le darán forma a sus acciones.

Cómo abordar los riesgos

Priorice los bienes de información con base en riesgos de negocios y diferencie la seguridad que proporcione conforme se necesite. Muchas compañías no entienden qué bienes de información son los más valiosos y no saben dónde concentrar sus esfuerzos de protección. Determinar qué bienes de información son los más importantes es el reto más fuerte. Puede tener acceso a datos cuantitativos para la evaluación de otros riesgos, como accidentes, pero, en general, no para los ataques cibernéticos. Usted no sabe cómo la pérdida de datos de sus clientes podría dañar su reputación o cuánto podría durar el trastorno a los negocios, así que ponerle precio al riesgo es difícil.

“La ciberseguridad es ante todo una función de manejo de riesgos, no hay manera de evitar que todos los ataques cibernéticos ocurran”.

Más allá de cuestiones técnicas

No limite su evaluación a cuestiones técnicas; defina los bienes y los riesgos en términos de negocios. Revise cada área de su negocio e identifique sus bienes de información: cualquier dato con valor para su negocio. Para cada activo, identifique sus riesgos de negocios, no los riesgos tecnológicos. Determine el impacto legal, a sus finanzas y a su reputación, que pudiera tener un ataque a cada área. Involucre a sus líderes sénior a medida que trabaje a través de las fases de su cadena de valor. Los directivos de información deberán guiar a los líderes a una consideración más profunda y más matizada de estos temas.
Las discusiones deberán combina evaluaciones del riesgo técnico basadas en TI con la identificación de cuál es la información más sensible y atractiva para los agresores. Base sus discusiones en los impulsos de negocios subyacentes e identifique cómo los agresores podrían penetrar cada área. Adecúe la manera en que protegerá sus diversos bienes de información. Establezca un nivel de seguridad de referencia para la compañía y después añada capas de protección cada vez más potentes para sus bienes más valiosos. Proteja los sistemas y bases de datos que alberguen estos bienes. Organice las capas de protección diferenciadas en niveles y evalúe la efectividad de combinar enfoques diferentes.

Cómo hacer frente a los ataques cibernéticos

A medida que los agresores se vuelven más sofisticados, las defensas pasivas dejan de ser suficientes. Debe confrontar a los agresores con acción inmediata en su defensa. Investigue y comprenda las amenazas más probables a las que su compañía podría enfrentarse. Muchas organizaciones fallan al abordar amenazas internas comunes y reales que vienen de: internos errantes que accidentalmente lo ponen en riesgo; internos secuestrados, que no se dan cuenta que alguien está haciendo mal uso de sus talentos, e internos malintencionados, que eligen traicionar la compañía. Atraiga a los agresores a su red con equipos de cazadores responsables de identificar a los agresores y un plan para manejar a los intrusos. Esto podría incluir un panal –un grupo de ordenadors que atraiga a los agresores– y arenas movedizas, áreas en su red diseñadas para frenar a los agresores. Implemente asociaciones externas con organizaciones públicas y privadas para reducir las amenazas.

“Saber cómo responder a un ataque cibernético no es cuestión de tener buenos instintos. Es algo que necesita aprenderse e integrarse”.

Inevitables

Los ataques cibernéticos son inevitables. Mejore la respuesta ante incidentes (RI) en su organización. Su respuesta necesita ser rápida para tranquilizar a las partes interesadas que pudieran molestarse por una violación a la seguridad. La mayoría de las empresas no están listas. Para asegurarse de que la suya sí lo está, elabore un plano de la respuesta ante incidentes. Clarifique las responsabilidades de toma de decisiones. Establezca una rendición de cuentas clara. Prepare el guion de una respuesta coordinada de modo que sus decisiones respecto a la violación de seguridad generen el impacto y significación necesarios.
Estos planes deben fortalecer sus relaciones con asociados externos tales como los expertos en remedio y las autoridades legales. Un buen plan de RI incluye una taxonomía clara que clasifique los bienes y los incidentes, así como escenarios de respuesta para los ataques más probables. Pruebe sus planes de RI usando juegos de guerra de ataques cibernéticos que muestren cómo se comunicaría su empresa bajo presión y dónde debe mejorar la velocidad de respuesta. En una agresión real, aprenda del ataque y de su respuesta. Lleve a cabo un análisis después del hecho para fortalecer su plan de RI.

Cómo crear resiliencia digital

Su meta de ciberseguridad más crítica es un programa que lleve a toda la empresa en dirección a la resiliencia digital. Mejore el compromiso y la colaboración en su organización. Acepte que toda acción conlleva riesgos; enseñe a sus empleados fuera del equipo de ciberseguridad cómo abordarlos. Haga que su departamento de TI considere la resiliencia como la meta número uno. Para implementar una iniciativa de resiliencia digital, empiece con una evaluación de la seguridad cibernética atendiendo problemas estratégicos, gobernanza, entrega, estructura y controles de manera integrada. La integración asegura una respuesta metódica que habilite su plan de entrega de seguridad.

“Por difícil que sea poner en su lugar las prácticas de vanguardia que guíen la resiliencia dentro de una empresa, es todavía más difícil construir un ecosistema resiliente”.

Explique a los líderes de su organización las soluciones intermedias entre riesgos y recursos. Su plan debe abordar los aspectos técnicos y de negocios de la ciberseguridad y debe evaluar sus necesidades de seguridad cibernética dentro del contexto de sus necesidades más amplias de TI. Proyecte el plan por adelantado con costos para asegurar que su empresa se mantenga comprometida al paso del tiempo. Los gerentes deben considerar proteger los bienes de información en cada paso del negocio. Alinee sus procesos para minimizar las amenazas a su propiedad intelectual. Investigue las necesidades y preferencias del cliente respecto a protección y considere cómo sus opciones de seguridad cibernética influyen la forma en que sus clientes experimentan su empresa.

Fuerza de ventas

Asegúrese de que su personal de ventas pueda explicar sus capacidades de seguridad. A las personas que redactan los contratos deles lineamientos específicos sobre lo que puede y no puede garantizar. Evalúe la diligencia de seguridad cibernética de vendedores y proveedores. El personal de recursos humanos y de seguridad cibernética deben trabajar juntos para proteger la información organizacional y los derechos de los empleados. Los empleados de base tienen acceso a los datos sobre los requerimientos específicos de sus trabajos. Todos los empleados deben tener las habilidades, las herramientas y la comprensión necesarias para salvaguardar los bienes de información que manejan. Los líderes deben modelar las conductas que quieren ver y rediseñar los programas de incentivos para recompensar por las buenas prácticas de ciberseguridad.

Cómo modernizar la TI

Algunas compañías han añadido la seguridad cibernética como una función de control además de la TI existente. Han incluido programas antivirus, cortafuegos y demás. Estas medidas hicieron que las compañías fueran más seguras, pero no han rediseñado su estructura tecnológica de seguridad subyacente, lo que las deja intrínsecamente inseguras. Las tendencias tecnológicas nuevas hacen que este enfoque sea menos funcional. Para ganar verdadera seguridad de la TI, modernícela. Haga que sus operaciones de TI sean más seguras ante ataques cibernéticos siguiendo estos pasos:

Mude la TI a la nube privada – Mudar sus herramientas cibernéticas a la nube privada le permite escapar de la inseguridad de los centros de datos. Sea claro con las razones de negocios para usar la nube privada, realice el cambio un paso a la vez y tenga el apoyo técnico listo.
Haga uso limitado de la nube pública – Use la nube pública selectiva e intencionalmente, en concordancia con lo sensible de su información, la seguridad y tecnología interna de la nube.
Fortalezca la seguridad de sus aplicaciones – Si sus empleados trabajan fuera de sitio, asegure sus aplicaciones con cortafuegos y protección de contraseñas.
Busque la virtualización continua del usuario final – A medida que el software malintencionado mejora, también mejora su capacidad para dañar los programas antivirus. La movilidad que su empresa requiera también presentará vulnerabilidades y retos nuevos. La virtualización al máximo atenderá ambos problemas.
Compartimente su red – Para minimizar el daño de un ataque cibernético, utilice redes definidas por software. Esto evitará que los intrusos se muevan de un nodo a otro.
En lugar del correo electrónico – Utilicemos herramientas especializadas de flujo de trabajo y de manejo de documentos para proteger sus documentos.

Los principios de la resiliencia cibernética

Su empresa existe dentro de un ecosistema digital mayor. Contribuya a fortalecer la resiliencia del ecosistema. Este ya tiene muchos componentes incluyendo las compañías que le venden tecnología y las agencias gubernamentales que regulan su sector. Su principal amenaza deriva de la desconexión que el ecosistema de su negocio tiene de la necesidad de instituir seguridad cibernética profesional.
En el 2011, el Foro Económico Mundial enunció los “Principios para la resiliencia cibernética”. Reconoce que todo mundo depende de otros integrantes del ecosistema digital, y que los líderes deben concentrarse en el manejo de riesgos. Las compañías deben compartir la investigación y construir una comunidad segura. Cada país necesita un plan para combatir los ataques cibernéticos. Los sistemas legales nacionales necesitan los recursos y la autoridad para combatir el crimen cibernético. Los países deben ayudarse mutuamente y pensar en términos de acción sistémica, como estandarizar la forma de evaluar riesgos.

Sobre los autores

James M. Kaplan es colíder de la infraestructura global de TI y las prácticas de seguridad cibernética de McKinsey & Company, donde Tucker Bailey es socio en la Oficina de Tecnología de Negocios de Washington, D.C. y Chris Rezek es consultor experto sénior. Derek O’Halloran y Alan Marcus son expertos en información del Foro Económico Mundial. Son los autores de Más allá de la seguridad informática.

Contents

Conceptos clave Resumen Sobre los autores

Trending →

¿Qué es el Business Process Managment?

Los pasos esenciales para traducir eficazmente su sitio web

Minería de Procesos: ¿Qué es y cómo puede ayudar a tu organización?

10 Mejores Herramientas de Gestión de Proyectos

¿Qué es Amazon Business?