Dos prioridades para el CISO

Por Tom Goodwin

Más de la mitad de los CISO esperamos que nuestros negocios se enfrenten a un ataque durante el próximo año. La mitad de nosotros también pensamos que si sufriéramos un ataque, careceríamos de la capacidad de recuperarnos.¹ Si añadimos otros factores en un panorama de amenazas en continua evolución, uno comienza a preguntarse cómo los CISO del mundo pueden dormir por la noche.

• Geopolítica: La incertidumbre de los eventos geopolíticos consiste en cuando los ciberdelitos se nutren de la incertidumbre de los eventos geopolíticos. Hay que tener en cuenta que se disparó un 600 % al inicio de la pandemia de la COVID.²
• Riesgos crecientes: El coste medio de una violación de datos es de 4,35 millones de USD,³ los pagos de ransomware alcanzan un promedio de 570,000 USD.⁴
• Vulnerabilidades en la cadena de suministro: Actualmente, el 19 % de los ataques se producen cuando un proveedor sufre un ataque y este se filtra en otras organizaciones.³
• IPlanificación inadecuada: Las primeras horas de un incidente son cruciales, pero el 56 % de las organizaciones carece de un plan de respuesta a incidentes.⁵
• Aumento de las primas de seguro: Las primas de seguro aumentaron un 92 % solo en el último trimestre de 2021.⁶

Dada la situación, aconsejo a los CISO con los que trabajo que den prioridad a dos acciones.

1. Prepárese para lo peor; espere que la regulación siga yendo por detrás y que las políticas de seguro evolucionen.
2. Insista en la responsabilidad proactiva para aumentar la resiliencia operativa en toda su organización.

Regulación y seguro

La regulación será diferente según el sector donde opere. Pero un hecho será siempre cierto: la regulación siempre está por detrás de donde necesitamos que esté para mitigar el riesgo.

El principal problema de la regulación es que no se implementan medidas nuevas hasta después de que algún evento de impacto mundial obligue a hacerlo. Antes de los devastadores eventos del 11 de septiembre de 2001, por ejemplo, algunas empresas tenían un centro de datos en la torre norte del World Trade Center y otro en la torre sur. Las regulaciones exigen ahora proximidad de datos entre dos centros para que no estén expuestos a los mismos riesgos regionales.

Sí: la regulación va a la zaga de los estándares lógicos para mitigar las amenazas, y debemos educar a las empresas en general para promover que sus acciones vayan más allá de cumplir el mínimo indispensable.

Las aseguradoras ya han tomado buena nota. De ahí el aumento del 92 % en las primas cibernéticas solo en el cuarto trimestre de 2021.⁶ La aseguradora Lloyds de Londres anunció a sus asegurados que, a partir de finales de marzo de 2023, los ataques patrocinados por estados dejarán de estar cubiertos por las pólizas de seguros cibernéticos.⁷

Algunas empresas, como las empresas de suministro de agua y los fabricantes de chips, tienen cada vez más dificultades para asegurarse debido a que la regulación se encuentra muy por detrás de donde debería estar y a que los proveedores de seguros están sujetos a requisitos cada vez más estrictos sobre los estándares que deben cumplir.

Demasiadas empresas confían completamente en sus pólizas de seguro para cubrir los costes de recuperación de una incidencia cibernética. Si usted es un CISO, nunca ha sido más crucial empezar a pensar en la confianza que tiene en su capacidad de recuperación y las implicaciones financieras en las que incurriría por tiempo de inactividad, que ahora se enfrenta a la amenaza muy real de no estar cubierto por el seguro. 

Resiliencia operativa

No importa si las amenazas son geopolíticas, cibernéticas o ambientales: los líderes empresariales deben comprender que la responsabilidad por el riesgo concentrado y la resiliencia operativa recae en nosotros como CISO, directores de TI y responsables de riesgo (no en los reguladores ni en las aseguradoras).

Gartner®, pronostica que en 2025, el 70 % de los CEO exigirá una cultura de resiliencia organizativa para sobrevivir a las amenazas sumadas de ciberdelitos, eventos meteorológicos extremos, disturbios civiles e inestabilidades políticas.⁸

En mi opinión, esto supone una gran oportunidad para impulsar el progreso incremental, reflexionar sobre la posición actual y trabajar para aumentar la estabilidad de la organización y del sector. Es vital establecer un perímetro de seguridad. La mayoría de las empresas también necesitan:

• Invertir en la automatización y orquestación de los procesos de recuperación, así como mejorar los objetivos de tiempo de recuperación y punto de recuperación.
•  Evaluar y establecer la mejor manera de mitigar los errores humanos al restaurar a partir de copias de seguridad.
• Adoptar el hábito de probar continuamente los planes de respuesta a incidentes, realizando ejercicios de simulación para asegurarse de que confía en su capacidad para actuar y recuperar en el plazo necesario cuando sucede lo peor.  

Impactos indirectos

Gartner también sugiere que en 2025, el 60 % de las organizaciones usarán el riesgo de ciberseguridad como un determinante principal para realizar transacciones y compromisos comerciales con terceros. Recuerde que actualmente los proveedores sufren el 19 por ciento de los ataques.³ Esto significa que cualquier negocio con el que trabaje representa una posible responsabilidad para su propia exposición, y viceversa.

En resumen

El entorno de amenazas continúa aumentando, con un volumen creciente de ataques cuya sofisticación va en aumento, lo que da como resultado un mayor tiempo de inactividad y costes de recuperación en alza.

1. Es necesario comprender que la regulación está por detrás de donde debe estar para mitigar el riesgo, y que las pólizas de seguro están poniendo en sus manos ese riesgo y responsabilidad.
2. Ya sea un ataque cibernético, incertidumbre geopolítica o un evento meteorológico extremo, su organización necesita adoptar una cultura de resiliencia operativa para sobrevivir al panorama de amenazas.
   

Tom Goodwin es especialista en continuidad del negocio en Kyndryl.

¹ Half of global CISOs feel their organization is unprepared to deal with cyberattacks. Stone, B., TechRepublic, 17 de mayo de 2022
² 2022 Must-Know Cyber Attack Statistics and Trends. Embroker. Agosto de 2022
³ How much does a data breach cost in 2022? IBM. 2022
⁴ Extortion Payments Hit New Records as Ransomware Crisis Intensifies. Palo Alto Networks. Agosto de 2021
⁵ Cyberattacks are inevitable. Is your company prepared? Harvard Business Review. marzo 2021
⁶ Cyber Insurers Raise Rates Amid a Surge in Costly Hacks. Wall Street Journal. 2022
⁷ Lloyd’s to end insurance coverage for state cyber attacks. Computer Weekly. Agosto de 2021
⁸ Gartner Press Release, “Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23,” 21 de junio de 2022
⁹ Gartner, “4 Third-Party Risk Principles That CISOs Must Adopt,” Luke Ellery, Sam Olyaei, 11 de abril de 2022.

GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved