La interrupción del sitio web de Tesco a fines del año pasado nos recordó la fragilidad de la ciberseguridad empresarial. Si bien las organizaciones en todos los sectores están en riesgo, los ciberdelincuentes a menudo eligen sus objetivos en función del potencial de causar interrupciones a gran escala y bajo el resplandor de la publicidad negativa.
Aquellos que dependen de los servicios de comercio electrónico son los principales candidatos para el ataque. Una violación no solo puede tener un impacto financiero inmediato e importante, sino que la interrupción a menudo se ve amplificada por los clientes que comparten preocupaciones justificadas sobre si sus datos están seguros y cuándo se restablecerán los servicios.
Los adversarios confían en la presión que esto ejerce sobre el liderazgo organizacional, algunos de los cuales deben determinar cuándo desconectar sus sitios de comercio electrónico. Por supuesto, no siempre es a instancias del director ejecutivo o del director de seguridad de la información (CISO): se puede tomar la decisión por ellos si un ataque es particularmente efectivo o tiene una defensa deficiente.
Para explorar estos temas, hablé con Dougie Grant, un veterano en seguridad cibernética con 25 años de experiencia, los últimos cinco en el equipo de gestión de incidentes del NCSC antes de convertirse en director de Nihon Cyber Defence, con sede en el Reino Unido.
Para estar mejor preparado, cree que los líderes primero deben comprometerse con la seguridad cibernética de manera más efectiva. “En el pasado, las organizaciones se han enfrentado a los ataques cibernéticos como un asunto exclusivo del CISO”, dijo Grant.
En cambio, deben tratarse como incidentes de gestión de crisis en toda la empresa y abordarse con una respuesta holística dirigida por el CEO. Esto debe incluir equipos de finanzas, comunicaciones y legales e, idealmente, todas las partes interesadas internas deben participar en el proceso de planificación y comprender completamente su papel cuando ocurre una crisis.
Ese es un punto clave. Sí, el CISO es fundamental para abordar el problema de la tecnología e impulsar el proceso de recuperación y, aunque, en última instancia, será el director ejecutivo quien dé la orden final para cerrar una línea de producción o un sitio web de comercio electrónico, hay más que eso. Un CEO que ya está comprometido con la estrategia de seguridad cibernética de su organización y la planificación de respuesta a incidentes, incluso a un alto nivel, estará en una mejor posición para liderar a su equipo a través de la crisis.
Una crisis de seguridad cibernética no es el momento para definir o cambiar responsabilidades; esa es una receta para la confusión que puede afectar la efectividad de la respuesta. En cambio, las conversaciones entre el CEO y el CISO deben centrarse en lo que se requiere para garantizar la implementación rápida y decisiva de los planes de respuesta y recuperación (si existen).
Como explicó Grant: “Esto determinará qué tan bien saldrán las organizaciones de un ataque. No se trata solo de tener un libro de jugadas listo para cuando las cosas salgan mal, sino que requiere un compromiso para desarrollar procesos que estén bien ensayados y aborden desafíos fundamentales y de rápido movimiento”.
Desde las responsabilidades legales y de presentación de informes y legislativas hasta las operaciones de la empresa, los consumidores y casi todas las funciones en las que la tecnología juega un papel, la responsabilidad de tratar y reducir las consecuencias de una infracción grave recae en todo el equipo de gestión.
En lugar de considerar el peor de los casos, los equipos pueden ser víctimas del sesgo optimista. Cuando los trabajadores internos se ven abrumados rápidamente por la enorme tensión de lidiar con el alcance de un asalto, el impacto negativo de esto generalmente se vuelve obvio. Si bien la ayuda profesional externa y la respuesta a incidentes son cruciales, siempre es mejor consultar a especialistas con anticipación en lugar de una emergencia.
Ante una crisis de seguridad, las organizaciones que no se han preparado pueden quedarse con una opción desagradable: la esperanza. Cuando la pérdida de ingresos por comercio electrónico aumenta minuto a minuto, esperar que la crisis se resuelva rápidamente es un error que la mayoría de los líderes solo cometerán una vez.
Sin embargo, iniciar y seguir un plan bien considerado puede ayudar a mantener decisiones como cuándo cerrar un sitio de comercio electrónico en las propias manos de la organización.