Actúe, no reaccione: una guía de ciberseguridad para líderes

Si no ha sucedido todavía, es solo cuestión de tiempo que su organización sufra un “ciberincidente”. En 2019, el “cuándo” reemplazó al “quizá” como principio rector. El FBI estima que se producirá un incidente cibernético cada catorce segundos este año, por lo que, a medida que lea esto, es probable que ocurran casi cien incidentes, que van desde revelaciones accidentales menores de información confidencial hasta un robo importante de datos y otros activos valiosos por parte de delincuentes, actores patrocinados por un estado o terroristas.

Lo que hace que los efectos de los incidentes cibernéticos sean tan insidiosos son su velocidad y su visibilidad. Las crisis cibernéticas estallan en cuestión de minutos –horas, en el mejor de los casos– y evolucionan no solo a la velocidad del rayo, sino, además, a la vista del público. Las consecuencias, generalmente, abarcan toda una organización y mucho más allá, involucrando a proveedores, clientes y comunidades. Mitigar el impacto puede llevar semanas o meses. Históricamente, muchos incidentes han tenido un impacto enormemente negativo en las marcas y la reputación, reduciendo el valor de una empresa.

Dado que los incidentes cibernéticos pueden destruir el valor de una compañía, en la mayoría de los casos, el Consejo de Administración se verá directa y significativamente implicado. Sin embargo, aunque todos los Consejos reciben informes periódicos sobre el estado de preparación y resistencia cibernética de su organización, muy pocos están listos para responder y actuar de manera adecuada cuando ocurre un incidente. En este artículo describiremos la naturaleza variada de las amenazas cibernéticas y ofreceremos recomendaciones acerca de cómo la Dirección y los Consejos de Administración pueden abordarlas.

 

La naturaleza y el alcance de las amenazas cibernéticas Las amenazas cibernéticas son el resultado de tres características interrelacionadas: quienes participan en ataques cibernéticos, o actores maliciosos, el valor que esperan extraer de los objetivos que atacan y los “vectores de ataque” que usarán para atacar su organización (ver el cuadro 1).

 

1. Actores maliciosos Si bien la naturaleza y el alcance de los actores maliciosos son vastos y crecie...