Por Jim Wetekamp, Director Ejecutivo de Riskonnect
Los días en que los directores de seguridad de la información trabajaban en la trastienda han terminado. Los CISO de hoy son considerados socios estratégicos del negocio. De hecho, la investigación de Deloitte muestra un aumento significativo en la participación de los CISO en conversaciones estratégicas y que ahora más CISO reportan directamente al CEO.
Las organizaciones dependen de la tecnología para la estrategia, el crecimiento y los ingresos. La disponibilidad y el tiempo de actividad del sistema son innegociables, sin embargo, el aumento de las amenazas digitales pone a las empresas en constante riesgo de interrupción. Los consejos de administración exigen que los CISO y los líderes tecnológicos anticipen y gestionen proactivamente esta creciente gama de riesgos para proteger la tecnología crítica de la organización. El papel del CISO y la forma en que estos líderes abordan las amenazas están cambiando fundamentalmente como resultado.
Nueva generación de riesgos digitales
Los CISO se enfrentan a una amplia gama de riesgos digitales en evolución que hacen que sea más difícil que nunca mantener la organización y su tecnología seguras y funcionando sin problemas.
Adopción de tecnología
El ochenta por ciento de los altos ejecutivos tienen la intención de aumentar el gasto en nuevas tecnologías este año. Las empresas están adoptando estratégicamente herramientas de IA, automatización, tecnología en la nube y otras tecnologías avanzadas y emergentes para aumentar la productividad, agilizar las operaciones, mejorar la toma de decisiones, mejorar las experiencias de los clientes y, en última instancia, mantener una ventaja competitiva.
Sin embargo, cada nueva pieza de tecnología que adopta la organización expone el negocio al riesgo. Si bien estas nuevas herramientas ofrecen muchos beneficios, también amplían la superficie de ataque y crean vulnerabilidades. Las nuevas herramientas también pueden reducir el rendimiento general del sistema y provocar un posible tiempo de inactividad durante la implementación si no se integran perfectamente con los sistemas existentes.
Amenazas avanzadas de ciberseguridad
El riesgo cibernético ahora supera los riesgos económicos y de talento como la principal preocupación de las organizaciones. Según el Informe de Nueva Generación de Riesgos de Riskonnect, el 72% de los ejecutivos afirma que las amenazas cibernéticas impactan significativamente en su organización. El veinticuatro por ciento de los ejecutivos citan específicamente los ataques impulsados por IA, como ransomware, phishing y deepfakes, como su principal riesgo empresarial para los próximos 12 meses. A pesar de esta creciente amenaza, el 80% de las organizaciones carecen de una estrategia dedicada para abordar los ataques de fraude impulsados por IA y otros riesgos de IA generativa, lo que deja a las organizaciones expuestas.
El cibercrimen cuesta a las empresas aproximadamente 10,5 billones de dólares anualmente. El coste global promedio de una violación de datos se estima actualmente en 4,45 millones de dólares. Las demandas de ransomware promedian 2 millones de dólares, más otros 2,75 millones de dólares en costes de limpieza. Las consecuencias del cibercrimen van más allá de las pérdidas financieras. Una sola violación o ataque puede llevar a daños reputacionales, escrutinio regulatorio e interrupciones operativas que tienen efectos duraderos. Dado el impacto empresarial de estos riesgos, es lógico que la influencia de los CISO esté creciendo y que estos líderes tecnológicos sean vistos cada vez más como socios estratégicos del negocio.
Falta de gobernanza de la IA
La rápida integración de la IA en las operaciones comerciales crea grandes desafíos en la gobernanza y supervisión. Solo el 8% de las organizaciones se sienten preparadas para los riesgos de la IA y la gobernanza de la IA. Solo el 19% de las organizaciones han capacitado o informado formalmente a toda su organización sobre los riesgos de la IA generativa.
Las amenazas internas son tan graves como las que provienen del exterior de las cuatro paredes de una organización. Los empleados, socios, contratistas y proveedores con acceso al sistema pueden comprometer la seguridad, maliciosa o involuntariamente, desde la exposición accidental de datos por manejo inadecuado hasta el robo deliberado de datos y la extorsión. También existe el riesgo de fallos del sistema debido al uso incorrecto de las herramientas de IA por parte de los empleados o a que el modelo de IA tome decisiones o cambios no autorizados. La presión para impulsar un valor rápido de la IA también podría llevar a los equipos a tomar atajos en la gobernanza de seguridad o a eludir por completo la función de TI.
Riesgos de terceros
A medida que más proveedores adoptan herramientas de IA, el riesgo de terceros crece exponencialmente. Al menos el 15% de las violaciones de datos involucran a un tercero o proveedor, con algunas estimaciones cercanas a un tercio o más, y la IA amplifica aún más este riesgo. El sesenta y cinco por ciento de las organizaciones carecen de políticas que rijan el uso de IA entre los proveedores, lo que crea brechas críticas de seguridad. Pero la IA no es el único factor. Una actualización de software defectuosa, como en el caso del notorio incidente de CrowdStrike, u otro evento en un socio proveedor podría paralizar sus operaciones críticas si no tiene un enfoque integral establecido para la gestión de riesgos digitales.
Cómo está evolucionando el papel del CISO
Anteriormente, los CISO se centraban en proteger la información de la empresa. El enfoque estaba en implementar medidas de seguridad como cortafuegos, sistemas de detección de intrusiones y cifrado de datos para repeler posibles amenazas. Sin embargo, dada la creciente dependencia de la disponibilidad de sistemas y la variedad y gravedad de las amenazas digitales en los sistemas de las organizaciones, el riesgo de TI es ahora un riesgo empresarial fundamental, y las expectativas del papel del CISO son mucho mayores.
Los CISO necesitan una comprensión profunda de la exposición y la resiliencia de la organización para toda la gama de riesgos digitales, no solo las violaciones de datos y los problemas de seguridad de la información. Se espera que:
- Salvaguarden la tecnología crítica y las aspiraciones futuras de la organización frente a las amenazas cibernéticas.
- Desarrollen e implementen una estrategia integral para abordar la ciberseguridad, el riesgo de TI, la resiliencia, la continuidad del negocio, el cumplimiento normativo, la IA, el riesgo de terceros y más.
- Impulsen la resiliencia digital y ayuden al negocio a recuperarse rápidamente de los eventos que ocurran.
- Proporcionen información a la junta directiva sobre la eficacia de los procesos y controles.
- Identifiquen los cambios necesarios en las prácticas de TI, ciberseguridad e IA para proteger el negocio.
- Comuniquen información técnica de una manera que otros líderes y usuarios de primera línea en toda la organización puedan entender.
El papel del CISO se está transformando. Y también lo está haciendo la forma en que estos líderes tecnológicos abordan la gestión de los riesgos digitales que podrían derribar a la empresa instantáneamente.
Tres formas de maximizar el impacto del CISO
Hay tres pasos que los CISO deben considerar a medida que se elevan para cumplir con sus crecientes expectativas y asumir la responsabilidad de sus responsabilidades en expansión para proteger la tecnología preciada y las aspiraciones y viabilidad futuras de la organización.
1. Cambiar su mentalidad más allá de la “detección.”
Los sistemas de detección de intrusiones, los sistemas de gestión de información y eventos de seguridad, los escáneres de vulnerabilidades y otras herramientas ciertamente aún tienen su lugar. Pero no son la solución definitiva. Incluso las medidas de ciberseguridad más avanzadas no pueden eliminar su riesgo. A medida que las expectativas sobre los CISO crecen y evolucionan, los enfoques de gestión de riesgos deben transformarse junto con ellas.
Los riesgos digitales actuales se extienden mucho más allá del malware y las violaciones para incluir desafíos regulatorios, vulnerabilidades de terceros e interrupciones operativas. Los CISO necesitan un enfoque proactivo y holístico para prevenir, gestionar y recuperarse de todo el espectro de riesgos digitales. Un enfoque centrado únicamente en la detección de vulnerabilidades, ataques y percances pasa por alto fuentes críticas de riesgo y deja a las organizaciones expuestas.
2. Centrarse en una estrategia unificada de gestión de riesgos tecnológicos.
Ya pasaron los días de inventariar riesgos, identificar anomalías y parchear vulnerabilidades componente por componente. La superficie de ataque y el espectro de riesgo actuales son simplemente demasiado grandes. Hay demasiados activos, sistemas, servicios empresariales, usuarios, equipos, controles, servidores, dispositivos y regulaciones para gestionar. Los riesgos también están interconectados y pueden abarcar toda la empresa. La única manera de mantenerse al tanto de todo esto es con un enfoque proactivo, integral y estructurado que coordine entre múltiples partes interesadas y departamentos.
Los CISO líderes reconocen la magnitud de los riesgos digitales que podrían dañar el negocio. Gestionar los riesgos tecnológicos significa no solo obtener información sobre los riesgos y controles de TI, sino también sobre los riesgos de terceros, el cumplimiento normativo, la continuidad del negocio, la resiliencia, la privacidad de datos y más.
El enfoque ahora ha cambiado de la gestión de riesgos de TI a la gestión de riesgos tecnológicos. La gestión de riesgos tecnológicos identifica, anticipa y aborda los riesgos más amplios de fallas tecnológicas para garantizar operaciones fluidas e ininterrumpidas. Reúne varios dominios de riesgo y las estrategias, procesos, sistemas, finanzas y personas para gestionar los riesgos en toda la organización, incluyendo ciberataques, demandas de ransomware, violaciones de datos, interrupciones de servicio, averías de equipos, errores humanos y más.
Una estrategia unificada también requiere una estrecha colaboración con el liderazgo ejecutivo, los equipos de TI, las unidades de negocio y los socios externos para fomentar una cultura de resiliencia y responsabilidad compartida.
3. Obtenga una visión holística de los riesgos digitales.
Los CISO necesitan saber dónde residen los riesgos digitales de la organización, qué significan, cómo se vinculan con la estrategia empresarial y qué hacer al respecto. Comience identificando los activos tecnológicos y los socios de la organización. Realice un inventario de todas las redes, dispositivos, infraestructura, software, datos, procesos y personal. Esto incluye a desarrolladores, usuarios, personal técnico y otros que operan la tecnología.
A continuación, evalúe los riesgos. Examine la infraestructura digital, los sistemas, los procesos, las vulnerabilidades y los controles existentes de la organización. Determine la probabilidad y el impacto potencial de estos riesgos, tanto de fuentes internas como externas.
Algunos riesgos son importantes de evitar por completo porque no justifican el daño potencial. Otros podrían valer la pena aceptar, como los riesgos que conlleva la nueva tecnología. También podrían existir riesgos cuya responsabilidad sea preferible transferir a un tercero, generalmente mediante seguros o externalización. Reevalúe regularmente estos riesgos y planes de respuesta, y ajuste los planes según sea necesario. Manténgase a la vanguardia de estos y otros riesgos emergentes mediante el monitoreo continuo del panorama de amenazas digitales y la planificación de diversos escenarios.
Un enfoque en los CISO
Es un momento emocionante para los CISO. La transformación digital se está acelerando en todas las industrias, y su función se está expandiendo rápidamente para afrontar los crecientes desafíos de operar un negocio en la era digital. Los CISO poseen las claves para garantizar que la empresa pueda adoptar con confianza las nuevas tecnologías sin comprometer la seguridad o la estabilidad.
Acerca del Autor
Jim Wetekamp es el Director Ejecutivo de Riskonnect, un proveedor líder de software de gestión de riesgos integrado. Es un experto reconocido en riesgos asegurables, riesgos empresariales y resiliencia.
