Nuestros sitios
Ver edición digital Título de la edición actual
Compartir

Digital

Ciberresiliencia: un enfoque integral al cambio tecnológico

A medida que los datos se vuelven más esenciales para respaldar las unidades y funciones comerciales, y a medida que […]


Mit Sloan 06 Abr 2021
Ciberresiliencia: un enfoque integral al cambio tecnológico

A medida que los datos se vuelven más esenciales para respaldar las unidades y funciones comerciales, y a medida que aumentan las amenazas cibernéticas, la seguridad de los datos debe expandirse más allá del área de TI.

Chon Abraham y Ronald R. Sims

Es difícil imaginar un año más desafiante que 2020. La pandemia trajo consigo el traslado repentino de millones de empleados en todo el mundo al home office. Las amenazas cibernéticas más graves, algunas por parte de actores estatales altamente sofisticados,pusieron en peligro las bases de datos empresariales; y, a nivel regional, los desastres naturales interrumpieron las operaciones y las cadenas de suministro.

Para evaluar las reacciones empresariales ante esta tormenta perfecta deciberamenazas,entrevistamos a 57 líderes de tecnología durante la segunda mitad de 2020, incluidos CIO,directores de seguridad de la información, directores de datos (CDO) y otros líderes empresariales del sector público y privado. La idea central de esta investigación es que la resiliencia cibernética, la capacidad de resistir caídas del sistema imprevistas, ya no es responsabilidad exclusiva de las funciones de TI.

Más bien, a medida que los datos se vuelven má snecesarios paralas operaciones y funciones comerciales, las organizaciones necesitan un enfoque integral de ciberresiliencia; es decir,un plan acerca de cómo administrar todos los aspectos relacionados conlos datos y las responsabilidades multifuncionales para mantenerlos seguros.Las fallas en los sistemas so nel pan de cada día. Prácticamente ninguna organización estaba preparada para la pandemia ni para la transición del trabajo presencial al home office.

Las empresas permitieron a todos sus líderes realizar ajustes puntuales para satisfacer las necesidades de sus equipos; por lo tanto,las áreas de TIy seguridad no siempre sabían qué dispositivos estaban utilizando los empleados, las aplicaciones que tenían sus nuevos equipos de trabajo, si contaban con la seguridad adecuada, la seguridad de sus conexiones Wi-Fi o la prevalencia de otros dispositivos conectados, como consolas de juegos y dispositivos domésticos inteligentes.

El resultado,en aras de sostenerl as operaciones comerciales,condujo a un aumento exponencial del riesgo cibernético. Los ciberataques aumentaron un 400% en 2020 en comparación con años anteriores, principalmente debido a que los atacantes aprovecharon los espacio svirtuales mal protegidos e infraestructuras de TI que se habían adaptado sobre la marcha.1Protegersede estos ataques cuesta cientos de miles de dólares y son un factor de peso en la quiebra de muchas pequeñas y medianas empresas.

A pesar de las pérdidas masivas en el panorama estadounidense—cerca de un billón de dólares para fines de2020—, una encuesta de casi 1,000 organizaciones descubrió que sóloel44 % tenía planes de respuesta y preparación cibernética. Peor aún, sólo el 32% aseguró su efectividad y, por lo general, la junta o la alta dirección no estaban involucradas en el desarrollo de dichoplan.

Para muestra un botón: durante ocho meses, se expusieron datos confidenciales en casi 18mil empresas que utilizaban el software de administración y monitoreo de SolarWinds y el mismo ataque fue aprovechado por otros criminales como vía de acceso.

Este recienteataque contra el gobierno y las empresas Fortune 500 tendrá un impacto en las cadenas de suministro perceptible no sólo durante meses, sino años.No hay marcha atrás.Los datos son una fuente clave de ventaja competitiva dentro de cualquier industria y el ritmo de la digitalización sólo se acelera.

Al mismo tiempo, la interrupción de los sistemas y lo sataquesmaliciosos ponenen mayor riesgo los datos sensibles de las compañías. Dada esta complejidad de factores, las organizaciones necesitan un enfoque integral para construir una ciberresiliencia sólida,que se base en la gestión de datos e implique a todos los miembros de la empresa.La importancia de la gestión de datos. 

La gestión de datos es el dominio de los procesos para acceder, almacenar, organizar y mantener los datos creados y recopilados por una organización. Las empresas deben asegurarse de que los datos sean accesibles, comprensibles, vinculados, confiables y seguros.

Además, los datos deben permanecer seguros en su tránsito desde el punto A al punto B,a través de una red informática o un entorno de TI, pues las interfaces de red suelen ser los puntos de mayor vulnerabilidad. Unabuenagestión de datos se encarga de responder varias preguntas fundamentales:

• ¿Con qué frecuencia cambian los datos y cómo transitan dentro dela organización a lo largo del tiempo?

• ¿Quién (como el personal de TI) o qué (dispositivos de internet de las cosas o procesos de otra red) tiene acceso a los datos?

• ¿Cómo se utilizan? Por ejemplo, ¿se transforman de alguna manera o se alimentan“crudos” a los sistemas centrales de la empresa?

• En una crisis,como un desastre natural, ¿cómo se puede acceder o bloquear fácilmente los datos?

• Si la organización se enfrenta a un ciberataque, ¿cómo se revisan los datos para determinar si han estado en peligro? ¿Cómo se rastrea el flujo de datos contaminados a través de la arquitectura de TI?

Al responder,las compañías deben lograr el equilibrio adecuado entre hacer que los datos sean accesibles,para que las unidades y funciones comerciales puedan aprovecharlos,ygarantizar su seguridad. Asimismo, es necesario que comprendan el panorama de las amenazas potenciales y prepararse contra ellas, en términos de detección rápida, respuesta efectiva y recuperación eficiente.

Debido a que se trata de un tema crucial tanto en la planificación como en la ejecución, toda la empresa debe participar.Un enfoque integral hacia la ciberresiliencia. Para que la resiliencia cibernética funcione, se requiere una planificación inicial para modelar escenarios donde se muestre cómo acceder a los datos y todos los puntos de contacto con la red de la organización (como los nodos de la cadena de suministro).Por lo tanto, es necesario conocer la situación a profundidad y adoptar un enfoque multifuncional. 

Director de datos.

El CDO tiene la responsabilidad a nivel ejecutivo de gestionar los datos,durante las operaciones normales y en caso de una posible interrupción. Una de sus tareas fundamentales es crear y mantener clasificaciones y categorizaciones de datos para losprocesoscomerciales prioritarios y los sistemas asociados. Administradores de datos.

Se encargan deiniciarel flujo de las categorizaciones de datos hacia el CDO dentro de cada unidad comercial o función, razón por la cual todos deben contar conconocimientosde primera mano acerca de los requisitos de su departamento.

Saben qué empleados necesitan acceso a datos específicos, qué sistemas ofeeds deberíantener acceso y cómo se vería afectado el desempeño operativo si algunos datos no estuvieran disponibles o estuvieran contaminados. Los administradores también validan la precisión de los datos, facilitan los intercambios con otras entidades y mapean suflujo.Equipo de TI.

El equipo de TI, incluidos los ingenieros de ciberseguridad y los arquitectos empresariales, son los guardianes de los datos. Definen las rutas por las que entran o salen los datos de los sistemas corporativos, junto con los protocolos de seguridad para obtener acceso. El equipo de TI, en especial,también capacita al personal para una correcta gestión de datos, incluidas políticas de trabajoen casa,restricciones de dispositivos, reglas del hardware de la empresa y accesos a redes físicas y de datos.Recursos humanos.

La función de recursos humanos se centra en autorizaciones de seguridad y horarios de trabajo, políticas de home office y necesidades de los empleados,como redes virtualesprivadas. Esta información permite a los equipos de ciberresiliencia identificar rápidamente anomalías en el acceso a datos esenciales y, lo que es más, priorizar el acceso para determinadas personas y procesos de trabajo tras un ataque.Legal.

El departamento legal (incluidos los miembros del personal que trabajan enadquisición y asociaciones) se coordina con el CDO para garantizar que los proveedores tengan acuerdos establecidos, donde se estipulen tiempos de respuesta razonables en caso de una crisis. Además, el equipo legal ofrece asesorías sobre las responsabilidades de la organización y el derecho a acceder a dispositivos de propiedad personal autorizados para uso laboral,con el fin de identificar posibles vulnerabilidades.

Otros consultores.La resiliencia cibernética puede servirse del apoyo no convencional de una ampli agama de consultores adicionales. Por ejemplo, los epidemiólogos pueden aplicar modelos de análisis para rastrear la progresión de enfermedades con el objetivo de predecir cómo los nodos informáticos infectados podrían afectar una red; los ingenieros de software pueden evaluar las vulnerabilidades del software antes de que se implemente, etc.

Los consultores externos pueden fungir como atacantes o como defensores en simulacros para detectar vulnerabilidades, además de aplicar las mejores prácticas de otras fuentes externas para aumentar las defensas de una organización.Aprendizaje automático e IA.

Por último, la planificación de laciberresilienciaecharámano no sólo de analistas capacitados, sino también de herramientas algorítmica savanzadas como el aprendizaje automático y la inteligencia artificial.Hoy en día, estas soluciones pueden detectar irregularidades y amenazas de manera más rápidaque losoperadores humanos y aun menor costo.La alta interconectividad actual ofrece grandes oportunidades comerciales para las empresas modernas, pero al mismo tiempo las expone al grave riesgo de las ciberamenazas.

Si se adopta una clara gestión y gobernanza de datos, mediante un enfoque multifuncional de ciberresiliencia, las compañías estarán mejorpreparadaspara proteger unode sus activos más valiosos: los datos.En el contexto actual, algunas organizaciones enfrentan una total incertidumbre ante el futuro cercano; no obstante, aquellas que miran hacia adelante y actúan de manera proactiva estarán mejor posicionados no sólo para sobrevivir,sino para prosperar, independientemente de lo que venga.

SEMBLANZA: Chon Abraham es profesor asociado de sistemas de información en la Escuela de Negocios Raymond A. Mason del College of William & Mary y oficial cibernético de reserva militar  que enseña e investiga temas de gobernanza y resiliencia cibernética. Ronald R. Sims,profesor Floyd Dewey Gottwald de Administración de Empresas en la Escuela de Negocios Raymond A. Mason, enseña temas de comportamiento organizacional, como la gestión de recursos humanos en relación con la ciberseguridad y la seguridad de la información

Artículo traducido por Elvira Rosales, a partir de:https://sloanreview.mit.edu/article/a-comprehensive-approach-to-cyber-resilience/

LEE MÁS CONTENIDO
¿QUÉ TEMA TE INTERESA?
NOTAS RELACIONADAS

No encontramos notas relacionadas.