Los ciberataques son algunos de los riesgos más complejos, comunes y desafiantes para las organizaciones modernas. Ahora se producen a un ritmo tan rápido que las organizaciones ya no pueden sentarse a pensar qué podrían hacer si sufrieran un ataque.
Hoy en día, hay que centrarse en desarrollar planes de resiliencia adaptables y flexibles que garanticen la confianza en la capacidad de respuesta de tu organización cuando se produzca uno (o varios) ataques.
De eso hablamos recientemente con Jim Kastle y Mark Eggleston durante nuestro séptimo episodio de la segunda temporada del podcast de Castellan, «Business, Interrupted».
Kastle es el director de seguridad de la información (CISO) de Kimberly-Clark y Eggleston es el CISO de CSC.
Ambos compartieron sus ideas sobre la ciberresiliencia, por qué es importante y cómo ha evolucionado hasta convertirse en un imperativo para todas las organizaciones.
El papel cambiante del CISO
En lo que respecta a la gestión de la resiliencia, el papel del CISO moderno evoluciona constantemente.
Hoy en día, los CISO ya no pueden centrarse exclusivamente en la tecnología. En su lugar, también tienen responsabilidades emergentes directamente relacionadas con la continuidad del negocio y la respuesta ante desastres.
Para los que han estado involucrados en el ámbito de los centros de operaciones de seguridad (SOC), es algo que puede que hayan visto venir.
Esto se debe a que la seguridad, en muchas de sus formas, también incluye la resiliencia. También incluye puntos fuertes clave de la resiliencia, como la capacidad de colaboración entre equipos y ejecutivos, así como la capacidad de trabajar bien con partes externas.
«Creo que el CSO desempeña un papel más importante que nunca en la resiliencia por muchas razones», dijo Kastle. «Muchos de nuestros impactos de resiliencia en la América corporativa están impulsados por incidentes cibernéticos, lo que automáticamente hace necesaria la participación de un CSO; tanto si eres propietario de la continuidad del negocio o de la respuesta ante catástrofes como si no, realmente no importa. Los problemas suelen ser cibernéticos».
En nuestro entorno operativo actual, la mayoría de las organizaciones han sufrido algún tipo de impacto derivado de un ciberacontecimiento, aunque sea indirecto. Ésa es una de las muchas razones por las que es fundamental disponer de capacidades eficaces de ciberrespuesta en cada organización.
Pensamiento resiliente
«El pensamiento de resiliencia es muy, muy útil», explicó Eggleston. «Siempre estás pensando en todas las cosas negativas, y entonces puedes empezar a hipotetizar ciertos controles y formas de reforzar esa respuesta o hacer que ese control sea un poco más estable, más resiliente, por así decirlo».
Muchos profesionales de la seguridad, especialmente los que han servido en el ejército, por ejemplo, suelen tener ya esta mentalidad. A menudo ya saben cómo ejecutar lo que hay que hacer manteniendo la calma.
«Y creo que eso es algo muy, muy bueno e importante, cuando estás pasando por estas respuestas», dijo Eggleston.
Para quienes no tengan esa misma experiencia, puedes desarrollarla mediante pruebas y ejercicios rutinarios.
«Realmente empiezas a ver muchas de las cosas que salen ahí fuera y a la gente que se estresa porque tienes que tomar decisiones con información muy limitada», dijo. «Y creo que ahí es donde muchos de nosotros volvemos a brillar, porque tenemos marcos que nos ayudan a tomar algunas de estas decisiones y a admitir las incógnitas conocidas y las cosas que hacemos».
Kastle se mostró de acuerdo, centrándose en la importancia de la concienciación y la capacidad de responder con una comunicación eficaz.
«Tienes que tener claras las comunicaciones y el hecho de que la respuesta está en marcha», dijo. «Creo que algo que dijo Mark, que es… fundamental: tienes que tener una respuesta instantánea».
Y esa respuesta debe ser probada, comprobada, no inventada sobre la marcha.
«Practicar la toma de decisiones con información limitada, esas cosas, nunca envejecerán», añadió Eggleston.
A medida que pases por estos procesos, es probable que descubras más y más lagunas, que tendrás la oportunidad de cerrar antes de que se produzca un incidente en el mundo real.
Capacidad de ciberrespuesta eficaz
Pero la preparación ante los ciberataques va más allá de las pruebas y los ejercicios. Los programas maduros también deben identificar algunos de los recursos externos necesarios para una capacidad de ciberrespuesta eficaz.
Eso podría incluir la contratación de un equipo forense. ¿Por qué? Porque si intentas que intervenga un grupo forense en medio de un incidente, puede ser todo un reto.
También es importante que utilices las relaciones que has construido a lo largo del camino con tus compañeros, especialmente los de tu sector.
«No somos los bastiones del conocimiento perfecto y deberíamos aprender unos de otros», dijo Kastle.
Entre los beneficios de trabajar con estos compañeros se encuentran algunas ventajas competitivas. Por ejemplo, puedes obtener información sobre los tipos de cosas que hay que buscar para poder elaborar una estrategia de respuesta por adelantado en lugar de reaccionar sobre la marcha.
Cuando te das cuenta de que un acontecimiento está en marcha, éste es el momento clave para iniciar la respuesta, no para revolver entre tus contactos intentando averiguar con quién te pondrás en contacto y qué tienes que hacer.
«Porque así estarán más dispuestos a responderte en un plazo muy ajustado», dijo Eggleston.
Y no olvides la participación de asesores jurídicos en tu planificación, tanto internos como externos.
También es beneficioso tener un conocimiento sólido de las expectativas de tus ejecutivos y de las partes interesadas clave respecto a tus capacidades.
«Yo empezaría por ahí, asegurándome de que entiendes de dónde vienen», dijo Eggleston. «Y qué es importante para ellos».
Aunque tu parte interesada clave tenga conocimientos tecnológicos o esté al día de los últimos titulares sobre ciberataques, a menudo las preguntas de la junta directiva son de alto nivel. Quieren saber las respuestas a preguntas como:
- ¿Cómo vamos?
- ¿Somos mejores que nuestra competencia?
- ¿Qué necesitas de nosotros?
- ¿Necesitas algo más?
Ser capaz de responder eficazmente a estas preguntas y alinear esas respuestas directamente con la estrategia de tu organización es una parte crítica de la construcción del compromiso de las partes interesadas y del apoyo a tu programa de ciberrespuesta.
