¿De qué se arrepienten los directores ejecutivos que lideraron un ciberataque grave? Utiliza esta guía para aprender de sus experiencias y tomar acciones más inteligentes antes, durante y después de un ataque.
El 7 de mayo de 2021, los ejecutivos de Colonial Pipeline descubrieron que los ciberdelincuentes habían lanzado un ataque de ransomware. El liderazgo de su CEO fue puesto a prueba a partir de ese momento.
Para evitar que el malware se propagara más, la empresa desconectó sus sistemas informáticos, desactivando 5mil 500 millas de oleoductos que suministraban el 45 por ciento del combustible consumido en la costa este de Estados Unidos.
La interrupción duró casi una semana y provocó compras de pánico y escasez de combustible. En una decisión controvertida, Colonial Pipeline pagó un rescate de casi 4 mil 4 millones de dólares. Esto a cambio de las claves de descifrado para volver a poner en línea sus sistemas.
Un mes después, con los esfuerzos de recuperación, su CEO, Joseph Blount, defendió esa decisión ante el Senado de los Estados Unidos y testificó:
“Estábamos en una situación desgarradora y tuvimos que tomar decisiones difíciles que ninguna empresa quiere enfrentar”.
El testimonio de Blount se hace eco de las experiencias de muchos de los CEO que hemos entrevistado.1 Estos directores ejecutivos compartieron con nosotros relatos igualmente dolorosos de tener que tomar decisiones existenciales basadas en información imperfecta, bajo enorme presión.
Ciberataques con criptomonedas, la creciente amenaza para los inversionistas
Los CEO que vivieron ataques cibernéticos a sus organizaciones hablaron con franqueza sobre sus experiencias. Evaluaron sus estrategias de preparación y las acciones que habían tomado. También compartieron sus arrepentimientos basándose en las lecciones aprendidas de sus experiencias.
Sería complicado encontrar una empresa que actualmente no incluya el riesgo cibernético en la parte superior de su registro de riesgos empresariales. La ciberseguridad se ha convertido en una prioridad ineludible para los directores ejecutivos.
Pero con demasiada frecuencia, los líderes creen que es posible proteger la confidencialidad, la integridad y la disponibilidad de los sistemas de información. Posiblemente esto nunca haya sido cierto, y ciertamente no lo es hoy.
A medida que el delito cibernético se vuelve más sofisticado y los estados nacionales lo utilizan cada vez más como arma. Incluso las organizaciones tecnológicamente más avanzadas se verán vulneradas, y deben planificar para esa inevitabilidad.
Aunque los CEO invirtieron importantes recursos en defensas tecnológicas, sus empresas carecían de prácticas organizativas de ciberresiliencia. Esta característica describe la capacidad de una organización para anticipar, resistir, responder y adaptarse a los ciberataques.
El objetivo no es simplemente evitar un ataque, sino minimizar su impacto, recuperarse rápidamente y emerger más fuerte.
Todos los directores ejecutivos que entrevistamos insistieron en que son responsables de todo lo relacionado con su negocio, incluida la ciberseguridad. Sin embargo, el 72 por ciento declaró que no se sentía cómodo tomando decisiones en esa área.
En particular, los directores ejecutivos que habían sufrido un ataque lamentaron sentirse responsables. Es decir, asumir la responsabilidad después de que algo malo había sucedido. Por el contrario, ser responsable implica un compromiso continuo y proactivo antes de que las cosas salgan mal.
Los directores ejecutivos confían en sus equipos todo el tiempo. Los equipos de ciberseguridad y tecnología no deberían ser diferentes, pero lo son. La mayoría de los CEO tienen cierto grado de experiencia en funciones como marketing que les ayuda a evaluar y desafiar los consejos de otros.
Por el contrario, muy pocos directores ejecutivos tienen experiencia en TI, y mucho menos en ciberseguridad. Después de un ciberataque, muchos de los CEO se vieron dejando el destino de la empresa en manos de expertos cuyos consejos no podían comprender del todo.
Como resultado, los directores ejecutivos que habían sufrido un ataque buscaron desarrollar una confianza más informada en sus equipos de ciberseguridad.
Con la notable excepción de aquellos que habían sufrido un ciberataque, la mayoría de los CEO consideraron que sus organizaciones estaban bien preparadas para tal evento.
Esa mentalidad puede generar una complacencia que socava los esfuerzos por reforzar continuamente las defensas y la planificación de la resiliencia. Los CEO con experiencia en ciberataques admitieron que sólo cuando los hackers atacaron se dieron cuenta de lo mal preparados que estaban.
Durante un ciberataque, los directores ejecutivos se enfrentan a enormes presiones de todas partes. Los accionistas se preocupan por el impacto financiero, la junta directiva quiere pruebas de la recuperación del negocio, los reguladores quieren respuestas.
Ante este aluvión de demandas competitivas de respuestas rápidas, los directores ejecutivos pueden adoptar un modo reactivo. En este transmiten en gran medida información sin evaluarla cuidadosamente primero, como comunicar el cronograma de recuperación poco realista del equipo de TI a las partes interesadas externas.
En retrospectiva, muchos directores ejecutivos lamentaron no haber involucrado a varias partes interesadas de manera más proactiva. Esto tranquilizándolas en lugar de simplemente reaccionar.
¿Cómo proteger a los niños en la red? 6 consejos de ciberseguridad para ellos
Basándonos en nuestra investigación, desarrollamos un manual de mejores prácticas para que los directores ejecutivos ayuden a sus organizaciones cuando ocurren ataques cibernéticos.
Escuchar relatos de primera mano sobre ataques puede servir como una importante llamada de atención para los complacientes. Los ejecutivos que han gestionado un ataque grave pueden compartir poderosas historias que son relevantes.
Esto amplifica la presión externa para una mayor resiliencia cibernética y tranquiliza a las partes interesadas de que el problema se está tomando en serio. Escuchar a ejecutivos en lugar de expertos en tecnología proporciona una perspectiva más identificable sobre cómo pueden anticipar los ciberataques.
Y, por supuesto, los propios CEO pueden obtener información directa sobre cómo sus pares han contribuido a limitar el daño.
Algunos directores ejecutivos de nuestro estudio reúnen periódicamente a la junta directiva, el equipo directivo, etc. Esto para un intercambio abierto sobre los desafíos de ciberseguridad más apremiantes y las prioridades comerciales actuales.
El objetivo de estas sesiones es generar un entendimiento compartido. Una perspectiva más integrada y de extremo a extremo sobre la resiliencia empresarial que los líderes y los expertos pueden aprovechar tanto para la planificación cibernética como para la respuesta a los ataques.
El CEO debería presidir el foro y establecer la norma de que las preguntas más ingenuas son bienvenidas. Estas ayudan a que las personas avancen hacia una confianza más informada. Considera la posibilidad de realizar un foro al menos una vez al año, aunque trimestralmente puede ser más apropiado para este tema en rápida evolución.
El foro se ubica fuera de los procesos formales de gobernanza de riesgos y enfatiza el aprendizaje. No reemplaza los procesos y comités de gobernanza del riesgo cibernético.
Considera el valor obtenido de las auditorías financieras. De manera similar, los directores ejecutivos deberían encargar auditorías independientes de resiliencia cibernética una vez al año.
Los especialistas informarán cualquier hallazgo directamente al director ejecutivo y ofrecerán asesoramiento para abordar cualquier problema que descubran. El objetivo no es obtener la certificación de algún estándar de la industria, sino que el CEO obtenga una mejor comprensión del status quo.
Para lograr todo esto, los directores ejecutivos deben trabajar en estrecha colaboración con su líder de ciberseguridad para analizar los resultados. Estos pueden variar desde técnicos hasta organizacionales y estratégicos, según el enfoque de la auditoría.
Desafortunadamente, a menudo encontramos que los CISO dudan en alentar al CEO a encargar auditorías cibernéticas porque el CISO teme ser puesto en aprietos por los hallazgos.
Pero una auditoría a menudo genera confianza entre el director ejecutivo y el equipo de ciberseguridad y forja la corresponsabilidad de los esfuerzos de ciberresiliencia.
En ausencia de un plan de respuesta integral, todos los departamentos insistirán en que sus procesos comerciales son críticos y deben restaurarse primero.
Para evitar conflictos y luchas internas, los directores ejecutivos deben sentarse con su junta directiva y su equipo directivo. Esta tarea servirá identificar entre dos y cinco procesos de negocio que son más críticos para mantener la organización en funcionamiento.
Los componentes de cada proceso deben asignarse a las aplicaciones y servidores que los respaldan para que los equipos no solo comprendan las prioridades de acción sino que puedan hacer que cada proceso crítico sea más resiliente.
Los procesos críticos de una empresa de fabricación pueden ser recibir pedidos de los clientes y mantener en funcionamiento determinadas líneas de producción.
A pesar de los planes, las organizaciones rara vez cuentan con todas las capacidades actualizadas necesarias para hacer frente a un ciberataque. Los líderes deben mantener un panel de asesores confiables a quienes recurrir en caso de un ataque.
Una de las primeras decisiones más importantes a las que se enfrentan los CEO durante un ciberataque es qué y cómo comunicarse con los colaboradores, las partes interesadas y el mercado. Mantener todo en secreto no es una opción: es casi imposible controlar la narrativa sin una estrategia de medios abierta y transparente.
Los mercados y los reguladores son mucho menos indulgentes con los ciberataques. Si la empresa parece haber sido sorprendida o, peor aún, parece estar ocultando algo.
Los directores ejecutivos deben contar con un plan de comunicación de crisis para estar preparados para tranquilizar de manera proactiva a las partes interesadas.
Cuando una organización acaba de sobrevivir a un ciberataque, sus líderes deben captar información rápidamente. Si bien es probable que muchos miembros de la organización estén agotados, los CEO deberían iniciar una revisión del incidente.
Esta discusión debería centrarse en algo más que los aspectos técnicos del ataque y en lo que se puede hacer para evitar ataques similares en el futuro.
Los participantes también deben considerar elementos de resiliencia organizacional que podrían mejorarse. Por ejemplo, la comunicación, las capacidades de gestión de crisis y los procesos de continuidad del negocio.
Es más, los talleres post mortem pueden exponer procesos comerciales obsoletos e ineficiencias previamente desapercibidas que impidieron la resiliencia durante el ciberataque.
La resiliencia cibernética no se trata sólo de evitar pérdidas: también puede conducir a la creación de valor.2 Un director ejecutivo con el que hablamos nos dijo que el ataque expuso ineficiencias significativas en la configuración tecnológica de la organización.
Los esfuerzos por apuntalar la resiliencia cibernética mediante la consolidación de sistemas produjeron ganancias de eficiencia. El CEO destinó los ahorros resultantes a desarrollar la resiliencia cibernética: una situación en la que todos ganan.
Para desarrollar la resiliencia más allá de los límites de sus organizaciones, los directores ejecutivos también deberían compartir su experiencia con otros líderes.
Si bien los altos ejecutivos naturalmente mantienen sus cartas cerca mientras buscan competir y ser más astutos que sus rivales, la resiliencia prospera con el apoyo mutuo y el intercambio de información.
La cibernética debe verse como un ámbito no competitivo en el que las empresas trabajan juntas para lograr mayores niveles de resiliencia. Al compartir sus historias y lo que han aprendido con otros pares de la industria, los ejecutivos contribuyen a la resiliencia de todo el ecosistema.
Manuel Hepfer es jefe de conocimientos y perspectivas de la empresa de ciberseguridad Istari y afiliado de investigación de la Saïd Business School de la Universidad de Oxford. Rashmy Chatterjee es el director ejecutivo de Istari. Michael Smets es profesor de gestión en Saïd Business School.
1. M. Hepfer, R. Chatterjee y M. Smets, “ The CEO Report on Cyber Resilience ”, archivo PDF (Londres: Istari, 2023), https://istari-global.com.
2. M. Hepfer y TC Powell, “ Hacer de la ciberseguridad un activo estratégico ”, MIT Sloan Management Review 62, no. 1 (otoño de 2020): 40-45.