Por una parte, es necesario transmitir que una compañía debe enfocarse en que ser víctima de un ataque informático no es una cuestión de si lo sufrirán o no, sino de cuándo. Y cuando ello suceda, es necesario que los esfuerzos reduzcan el tiempo de exposición a dicho ataque.

Durante 2018 en Chile hemos sido testigos de casos emblemáticos de ataques cibernéticos. El más reciente fue el sufrido por el Banco Consorcio, que el pasado 6 de noviembre reconoció una intervención de terceros en el sistema de transferencias internacionales, con un costo de alrededor de US$ 2 millones. Este caso se suma a la filtración de datos de tarjetas de crédito y débito, y al ataque informático del 24 de mayo pasado contra el Banco de Chile, a través del que se robaron US$ 10 millones.

Estas vulneraciones no pasaron desapercibidas para el Banco CentralEn su reciente Informe de Estabilidad Financiera para el segundo semestre de 2018, llamó a las entidades financieras a “mejorar” su ciberseguridad”. Además, detalló que hay “al menos cinco casos donde la materialización de riesgos de ciberseguridad puede amenazar la estabilidad financiera”. A ello se sumó un informe del Fondo Monetario Internacional sobre la materia, que concluyó que “Chile destina pocos recursos a la supervisión de riesgo cibernético”.

Con las “alarmas” de los bancos, usuarios y autoridades activadas, el interés de las juntas y directores ejecutivos de una compañía debe enfocarse en que ser víctima de un ataque informático no es una cuestión de si lo sufrirán o no, sino de cuándo. Según Forbes, “esto es lo normal ahora en ciberseguridad y cambia el enfoque de la preparación y la gestión de riesgos”.

También destacamos: ¿Cuál es el nuevo rol de los CIO en las empresas?

¿Cómo debes explicar este peligro entonces al directorio y a los máximos ejecutivos de tu empresa? De acuerdo con el mismo artículo, la primera recomendación es entender que, en términos de ciberseguridad, existen:

  1. El tiempo de protección: se puede definir como la capacidad colectiva de las políticas de seguridad, controles, personas y procesos para identificar y proteger la confidencialidad, integridad y disponibilidad de la información y servicios de TI de una organización durante un cierto tiempo contra amenazas específicas.
  2. El tiempo de exposición: cuánto se tarda en detectar, responder y recuperarse de un ataque cibernético.

“Mitigar el riesgo cibernético –se afirma en el texto– significa aumentar el tiempo de protección dentro de las limitaciones necesarias de un presupuesto. Pero también significa construir la organización y orquestación necesarias para minimizar el tiempo de exposición, ya que ninguna protección será infalible”.

Por otro lado, la protección debe estar subordinada a las necesidades del negocio. Además de las limitaciones presupuestarias, es necesario que no ponga trabas al funcionamiento de una compañía. Esto implica un desafío creciente ante, por ejemplo, el auge de la internet de las cosas, la necesidad de habilitar las comunicaciones y transacciones comerciales seguras, o mantener el contacto con un grupo cada vez mayor de socios, proveedores y/o clientes. Así, se puede generar resistencia a ciertos controles de seguridad, como el requisito de usar códigos de acceso en teléfonos o el uso de servicios en la nube que evitan los controles de seguridad. Al interior de las organizaciones, los equipos de ciberseguridad luchan por cumplir con las expectativas de los usuarios para la facilidad de uso como para la prevención de infracciones. Y este es un acto de equilibrio en el que las necesidades del negocio siempre tendrán prioridad.

También destacamos: Las dinámicas que debilitan la toma de decisiones de un directorio

Ante todo lo anterior, las empresas deben prepararse para “lo inevitable”, es decir, ser víctimas de un ciberataque. “Cuando eso suceda, la inversión en reducir el tiempo de exposición se verá recompensada”, afirma Forbes. “El tiempo de exposición es una combinación del tiempo necesario para detectar, responder y recuperarse de un ataque en progreso. Esto requiere la supervisión del entorno híbrido –tanto interno a su organización como con los proveedores de la nube–, el desarrollo de procedimientos de respuesta con capacitación para los responsables, y una planificación de recuperación adecuada que incluya la capacidad de restaurar desde copias de seguridad y comunicarse con las partes interesadas internas y externas”.

Los ejecutivos pueden ayudar enfatizando que la seguridad es responsabilidad de todos y trabajar para reducir los límites artificiales entre los equipos que pueden aumentar el tiempo de exposición. Los directorios tienen que prepararse para esta eventualidad adecuadamente.

En resumen, es necesario transmitirle a la plana mayor que tu compañía, tarde o temprano, será víctima de un ataque informático exitoso. “Saber esto proporciona el catalizador para ayudar a su organización a prepararse adecuadamente para esa eventualidad”, concluye Forbes.

 

Fotografía: Pixabay.