Rawpixel.com - stock.adobe.com
Las amenazas de hoy necesitan responsabilidad corporativa
Atrás está quedando el tiempo en que toda la responsabilidad de la ciberseguridad y la resiliencia de datos recaía únicamente en los hombros de los CISO. Hoy, las amenazas y regulaciones exigen que la empresa completa asuma esa tarea.
La responsabilidad de la seguridad cibernética y la resiliencia de datos no puede seguir recayendo sólo en los directores de Seguridad de la Información (CISO, por sus siglas en inglés).
Nuevas regulaciones de la Unión Europea, como la Directiva sobre Seguridad de Redes y Sistemas de Información (NIS2) –en fase de transposición– y la Ley de Resiliencia Operativa Digital (DORA) –aplicable desde el pasado enero–, están modificando el modus operandi de los negocios latinoamericanos en cuanto a su relación con la seguridad cibernética y la resiliencia operativa. Esto es así fundamentalmente en el caso de las organizaciones que mantienen relaciones comerciales con las empresas europeas, pero el aprendizaje está ahí para quien desee tomarlo.
Leyes como NIS2 y DORA priorizan la responsabilidad corporativa, incluyendo a todo el equipo directivo. Hoy por hoy, dada la complejidad por la que atraviesan los negocios, es importante que los Consejos de Administración estén debidamente capacitados colectivamente sobre las ciberamenazas, pues enfrentan la responsabilidad de cualquier incidente de seguridad cibernética que ocurra bajo su supervisión y, si están supeditados a dichas reglamentaciones, podrían ser multados a título individual –junto con toda la organización– en caso de incumplimiento.
Dmitri Zaroubine
Las prioridades están cambiando
Con todo y el escenario retador, la conciencia sobre la responsabilidad corporativa sigue estando demasiado baja. Esto no quiere decir que falte aceptación, pero sí que los altos ejecutivos no están actuando con la suficiente rapidez para ponerse al día. La urgencia es evidente, pues de nada sirve ser conscientes de un concepto si no se toman medidas. Entonces, ¿qué necesitan cambiar para ponerse al día?
Las nuevas regulaciones marcan el inicio de una nueva era de responsabilidad corporativa, que se consagra a un nivel nunca visto en seguridad cibernética. Y con razón. En los últimos 20 años, prácticamente todas las funciones empresariales se han digitalizado, dando lugar a una creciente fuente de datos que las organizaciones deben gestionar y, aún más importante, proteger. La ciberseguridad se ha convertido en un resultado empresarial vital, tan importante como cualquier aspecto comercial, por lo que, naturalmente, debería ser competencia de la alta dirección.
Aunque la legislación vigente formaliza lo que debería estar pasando en las empresas, lo cierto es que, para muchos, la seguridad cibernética y la resiliencia siguen relegadas a un segundo plano (de hecho, históricamente, la alta dirección ha dejado la ciberseguridad en manos de los equipos de Seguridad) y, a veces, su valor de negocio puede ser difícil de apreciar. Con todo, ser más resilientes y capaces de recuperarse más rápidamente minimizará el daño que sufren las organizaciones, en términos de precio de las acciones, ingresos y confianza de los clientes.
A medida que la alta dirección se capacite más sobre el tema gracias a este tipo de regulaciones, los beneficios a largo plazo deberían ayudar a ajustar las prioridades, además de la presión adicional que supone el incumplimiento.
La alta dirección necesita dar el salto
Si bien los altos ejecutivos comprenden la necesidad del cumplimiento, todavía carecen, por lo general, de una estrategia coordinada para lograrlo. Sin duda, parte de esto se puede atribuir a la enorme curva de aprendizaje que enfrenta la alta dirección en general. La ciberseguridad no es tarea fácil. Para comprenderla adecuadamente, tendrán que implicarse a fondo.
Lo primero es que cada ejecutivo comprenda plenamente sus responsabilidades en esta nueva era de responsabilidad corporativa, y demostrar que los planes de respuesta a incidentes de su organización funcionan en el mundo real mediante pruebas de escenarios consistentes y rigurosas. No es algo que los ejecutivos puedan memorizar y recitar cuando se presente la ocasión; deben vivirlo y respirarlo.
NIS2 y DORA no exigen que los ejecutivos se conviertan en expertos en seguridad cibernética, pero lo que sí deben conocer a fondo son sus planes de respuesta a incidentes (IRP), pues el cumplimiento de dichas regulaciones depende de la solidez de estos, y ahí es donde hay que centrar los esfuerzos. Con una comprensión práctica de los IRP, la alta dirección será capaz de identificar y abordar los puntos débiles de la organización, ya sea con nuevos procesos o incorporando nuevas habilidades externas a su plantilla.
Se necesita una cultura de ciberseguridad y resiliencia
Así como las normativas exigen un cumplimiento constante y frecuentes pruebas de estrés basadas en escenarios de los planes, también lo hace el panorama de la seguridad cibernética.
Las vulnerabilidades y superficies de ataque cambian a diario, y los planes deben poder mantenerse al día. Aprovechar las exigencias de estas normativas como una oportunidad no sólo para cumplir con los requisitos, sino para desarrollar una cultura verdaderamente consciente de la seguridad y resiliente a los datos, es una oportunidad que los ejecutivos no pueden desaprovechar.
Se puede cumplir con las normativas al máximo, pero es imposible lograr una seguridad del 100 % si no se cuenta con resiliencia de datos y otras medidas de seguridad, como los respaldos. Sin esto, los directivos no podrán recuperarse tras una filtración, por mucho que cumplan las reglas.
Dmitri Zaroubine es director de Ingeniería de Sistemas de Veeam para Latinoamérica. Cuenta con más de 20 años de experiencia en TI, liderando diversos equipos relacionados con la innovación tecnológica, transformación digital y adopción de la nube, en empresas líderes de la industria. Antes de Veeam, ocupó puestos directivos en EY, Prosegur y AGUNSA Argentina. Es licenciado en Sistemas por la Universidad Kennedy.
