Mitigación del ciberriesgo: principales preguntas del consejo de administración para los CISO
Este documento —el segundo de una serie de cuatro— ofrece orientación sobre estrategias de comunicación proactivas para los directores de seguridad de la información (también conocidos como «CISO», por sus siglas en inglés). En él se explica cómo traducir la información más importante y exponer las medidas que se deben adoptar de una forma que entiendan los directivos, para que pueda centrarse en lo que realmente importa: responder a los incidentes, eventos de seguridad y amenazas, y mitigar las consecuencias para la organización.
Si se produce un incidente de ciberseguridad, el consejo de administración necesita saber si hay un plan. Quiere tener la certeza de que la organización está preparada para neutralizar el incidente de forma rápida, eficaz y exhaustiva con el fin de minimizar las consecuencias para el negocio. Por eso, tras explicar la exposición al ciberriesgo, lo siguiente que tendrá que detallar es su plan para mitigar ese riesgo. Debe prepararse para responder a la pregunta: «¿hemos gestionado adecuadamente la situación y la tenemos controlada?».
Preguntas que cabe plantearse:
- ¿Cuál era nuestro plan de respuesta?
- ¿Cómo hemos priorizado las tareas y la asignación de recursos?
- ¿Qué queda por hacer?
- ¿Ha habido sorpresas? ¿Qué conclusiones hemos sacado?
Mitigación del ciberriesgo: ¿problema zanjado?
Lo que los directivos y el consejo de administración quieren saber realmente es si la situación está controlada y qué garantías puede ofrecerles de que ha actuado correctamente para neutralizar el riesgo.
Para justificar su actuación y responder a preguntas como estas ante el consejo (o, en el futuro, ante la comisión de auditoría), necesitará reunir infinidad de documentación. Es probable que le exijan que sus planes de respuesta a incidentes, de gestión de revisiones y de vulnerabilidades de día cero reflejen todos los procesos, comunicaciones y medidas adoptadas para demostrar que el riesgo ya está neutralizado.
La documentación debe ser exhaustiva y, además de los planes, debe incluir:
- los procesos de cambios de emergencia realizados;
- las personas que participaron;
- la información sobre las revisiones y la segmentación (cómo y cuándo se priorizó la aplicación de revisiones y la segmentación de sistemas);
- cómo se asignaron los sistemas a los procesos cruciales;
- cómo se dividieron los procesos;
- cómo se modificó e implementó la normativa correspondiente.
El objetivo es explicar con exactitud qué se hizo, cuándo y cómo se hizo, para demostrar que actuó de la manera correcta e informar de los detalles que el consejo de administración, los reguladores y los auditores desean conocer.
Mantener informados a los directivos: la recuperación es un proceso, no una medida puntual
Si el consejo pregunta: «¿Ha resuelto el problema? ¿Hemos neutralizado el ataque? ¿Ya está zanjado?», conviene dejar claro que la recuperación es un proceso, no una medida puntual. La recuperación es un proceso continuo que consiste en retomar las operaciones con rapidez y además salir fortalecidos.
Esto significa que debe mantener reuniones para estar al tanto de todo y extraer conclusiones para determinar qué se puede mejorar, dónde podría haberse ahorrado tiempo o qué podría haber hecho de otra forma. Cuando el tiempo apremia, es muy importante recabar toda la documentación para no dejar cabos sueltos y tener la certeza de realizar todos los pasos necesarios. Pero también conviene ocuparse de las pequeñas cosas que pueden marcar una gran diferencia en la eficiencia de las operaciones.
Por ejemplo, si tiene a punto una lista clara de llamadas de emergencia e informes de impacto empresarial que le indiquen dónde se encuentran los activos clave de la empresa, se ahorrará mucho tiempo y trabajo el día más estresante de su vida. A toro pasado todo se ve más claro, así que procure averiguar qué convendría haber hecho en su momento y explique al consejo las medidas que se están tomando para salir fortalecidos.
Ante el consejo de administración, enfoque sus respuestas en el marco de un proceso, y recuérdeles que la seguridad nunca es perfecta y no puede darse por zanjada, sino que debe fortalecerse continuamente para que sea más eficaz. Tenga también muy presente que el día de la verdad no es momento para improvisaciones, así que, además de documentar todo a conciencia, procure tenerlo todo más que ensayado. Haga saber al consejo cómo está aprovechando cada oportunidad para prepararse y reforzar sus competencias, y todo lo que está haciendo para asegurarse de que la próxima vez sea todo más fácil (porque, como ya se sabe, siempre habrá una próxima vez).
No se pierda la tercera parte de la serie, que aborda la pregunta: «¿cómo hemos evaluado la ciberseguridad y qué controles hemos realizado?»
Descubra en el siguiente vídeo cómo abordar la mitigación del ciberriesgo ante el consejo de administración:
Contacte con nosotros
Si necesita servicios de respuesta a incidentes , pregunte por Unit 42® y facilite los datos de su compañía aseguradora de ciberseguridad.
Si cree que su empresa está afectada por la vulnerabilidad de Log4j o ha sufrido algún otro ataque importante, contacte con Unit 42para hablar con un experto. El equipo de respuesta a incidentes de Unit 42 está disponible 24 horas al día, todos los días del año. También puede tomar medidas preventivas solicitando una evaluación proactiva.