Cuando un desastre natural golpea, es frecuente que las comunidades estén desprevenidas y se apresuren a responder. Si tan sólo hubiera existido una anticipación previa, esto podría haber sido manejado de manera más rápida y eficiente.
El mismo desafío puede aplicarse a cualquier empresa que experimenta una intrusión a su seguridad. Los CFOs (Chief Financial Officer, por sus siglas en inglés) y los miembros del Consejo siempre cuidan los costos y se enfocan en lograr los resultados de los objetivos, sin embargo, si ocurre una intrusión a la seguridad, no se preocupan por controlar los gastos con tal de deshacerse de la intrusión, además de colocar de nuevo los sistemas en línea y mejorar la falta de defensas de seguridad. La realidad es que cuando se enfrentan a un evento de seguridad, la mayoría de las empresas aún siguen trabajando en modo reactivo.
En ese sentido, las compañías promedio gastan únicamente entre 1 y 5 % de sus ingresos en seguridad TI, lo cual parece un monto pequeño cuando se compara con los riesgos de perder ventas, productividad y el daño a la marca asociado con la intrusión. Este año ha habido muchos ataques al sector salud, gubernamental e incluso a empresas globales. En todos y cada uno de los casos, se ha perdido información invaluable y, en ocasiones, algunos altos ejecutivos han llegado a perder sus empleos o deben enfrentar un riguroso escrutinio.
Otra preocupación importante es la actual escasez de profesionales experimentados en seguridad. Dos de las intrusiones de más alto perfil que surgieronel año pasado se dieron por no contar con personal calificado y no por la falta de inversión suficiente en sistemas de seguridad. Por otro lado, debemos considerar que han entrado en vigor nuevas regulaciones en seguridad y las firmas deberán rendir cuentas si no cumplen con los nuevos requerimientos.
Cualquiera podría argumentar que el papel de los altos niveles ejecutivos, en especial el CFO, se han transformado gracias a esta tendencia. Por lo tanto, el Chief Financial Officer ahora puede ser llamado CPO (Chief Protection Officer, por sus siglas en inglés). Potencialmente, la ciberseguridad pone en riesgo las finanzas y el valor de la empresa, desafía las estrategias regulatorias e incrementa la necesidad para establecer políticas y prácticas maduras que salvaguarden la información. Un CFO, como estratega de negocios y ejecutivo de administración de riesgos, debe mantener el control y la dirección en estas áreas. Esto ya no son preocupaciones “sólo del área de TI”.
Responsabilidad y administración
Tanto para el CFO como para el Consejo, estar a la vanguardia se ha vuelto un elemento esencial en lo que se refiere a enfoques proactivos de seguridad dentro de las organizaciones modernas. Aunque existen formas en las que el personal de seguridad puede mitigar el daño provocado por frecuentes y sofisticados ataques, no controlan el presupuesto.
Existen bastantes detractores que aseguran que el costo de una seguridad adecuada es mayor de la recuperación de una intrusión, sin embargo, esto no es un enfoque responsable o sustentable. Toda evidencia indica que las intrusiones y los ataques se volverán más frecuentes, persistentes y sofisticados; por lo tanto, los costos de reaccionar ante éstos continuarán incrementándose. Las marcas, los empleos y la cotización del precio de las acciones están en riesgo.
Por qué la seguridad y la administración deben ir de la mano
La administración va más allá que solamente generar ingresos o asegurar el éxito financiero de una empresa. También significa el cuidado y protección de los intereses de la compañía a largo plazo, incluyendo el pensamiento holístico sobre la forma en que la empresa afecta a los accionistas. Sin embargo, cuando se trata de seguridad, la administración tradicional de la empresa no siempre está equipada con las perspectivas, habilidades o conocimientos necesarios. Como resultado y con cierta frecuencia, la seguridad termina siendo percibida como un costo en vez de un elemento esencial de la administración de riesgos.
Pero si la administración realmente trata de proteger y supervisar los recursos de la empresa, tanto tangibles como intangibles, entonces los recursos más importantes son la información, las IP, la reputación, así como la confianza y lealtad de los clientes. Por lo tanto, la seguridad necesita ser un pilar central de esa administración, ya que, como hemos visto en diversas ocasiones, una seguridad deficiente puede perjudicar o destruir todos esos activos y, en su lugar, generar una pérdida del valor a través de una volatilidad innecesaria.
Por ello es de vital importancia saber que tanto los directores de sus respectivas empresas como los miembros del Consejo y los ejecutivos, tienen la responsabilidad de garantizar la seguridad de la información y de proteger los sistemas y la propiedad intelectual de los accionistas.
Nunca podremos eliminar los riesgos
No podemos eliminar totalmente los riesgos, están implícitos en todo lo que hacemos. Debido al bajo costo que representa para los cibercriminales provocar una intrusión, la dificultad para localizarlos y enjuiciarlos y lo lucrativo que resultan las recompensas que generan las intrusiones exitosas, es seguro afirmar que siempre habrá ataques para robar información.
El hecho de que no no podamos eliminar los riesgos, no quiere decir que no podamos manejarlos. Esto siempre ha sido una función clave del Consejo: evaluar los riesgos y llevar a cabo las acciones apropiadas para administrarlos y, al mismo tiempo, considerar el impacto en toda la empresa. La seguridad no es diferente. Los departamentos de TI deben considerar qué tipo de innovaciones pueden aplicarse para proteger la organización, mientras que el Consejo prioriza y determina cuáles recursos de la empresa deben estar accesibles y por quién, para que de esta forma, el departamento de TI pueda poner en práctica las acciones correspondientes.
En conjunto con el Director de Seguridad de la Información (CISO, por sus siglas en inglés) y con el resto de los altos ejecutivos, el Consejo debe considerar y administrar, proactivamente, la seguridad versus los otros diversos factores como el costo, el desempeño, la agilidad, la colocación de recursos (incluyendo el personal), la autonomía y habilitación, las iniciativas estratégicas, los proyectos, la planeación y la comercialización.
Fuera de las áreas de TI y RH y dentro de la sala de juntas
La gestión de las políticas y de la información son áreas donde el Consejo y los ejecutivos senior pueden, significativamente, realizar una importante contribución en cuanto a seguridad de la empresa refiere. Los departamentos de TI bien financiados y facultados pueden hacerse cargo de todos los detalles técnicos. Recursos Humanos (y otros empleados de planta) pueden centrarse en las políticas y procedimientos, mientras que los altos ejecutivos toman las decisiones relacionadas con las políticas y enfoques de seguridad de la información.
Como si fuera una carrera armamentista entre los cibercriminales, los países, organizaciones y comunidades de seguridad también entran en calor. Este cambio fundamental en el enfoque de la ciberseguridad no sólo mantendrá a los “chicos buenos” un paso adelante, sino también garantizará que las empresas respondan rápida y apropiadamente cuando ocurra una intrusión. Y como ya nos ha enseñado la historia reciente, no es un asunto de “si pasará” sino de “cuándo”.
-Eduardo Zamora, director general de Fortinet México