Perspectivas de las Juntas Directivas frente a un Ataque Cibernético Exitoso.

El Reto de Actuar y No Paralizarse

Autor: Jeimy Cano, Ph.D, CFE – Colombia

Introducción

Afirma Zukis (2024): “La industria de la ciberseguridad no tiene un problema de liderazgo, es la junta directiva la que tiene un problema de falta de liderazgo en ciberseguridad”. Sumado a la anterior, las frases genéricas que se escuchan como “haremos de la ciberseguridad una prioridad”, “fortaleceremos una cultura de ciberseguridad” o “la ciberseguridad es nuestra primera prioridad”, terminan siendo sólo eso, frases que no recaban en la profundidad de un reto sistémico que no debe ser tratado como los demás riesgos, sino como un riesgo situado en la dinámica misma de la organización.

El compromiso con la ciberseguridad empresarial debe ir más allá de las buenas intenciones en las declaraciones de la junta directiva, se deben traducir en acciones concretas que generen los impactos deseados en la promesa de valor de la empresa para con sus clientes. Estas acciones deberán estar situadas en resultados específicos que se esperan frente al reto de defender y anticipar que tiene la empresa frente a los riesgos latentes y emergentes, así como el proteger y asegurar de cara a los riesgos conocidos y marcos regulatorios establecidos (Cano, 2023).

En este sentido, los ejecutivos del primer nivel deben desarrollar y alcanzar una perspectiva analítica y emocional al mismo tiempo frente a la inevitabilidad de la falla. Esto se traduce en superar una respuesta instintiva basada en las emociones que generan los hechos adversos, para combinar una perspectiva estratégica y táctica que les permita actuar bajo presión. Lo anterior supone tener diferentes alternativas para actuar y la capacidad de contar con el análisis situacional de los eventos que los lleven a observar (recolectar los datos relevantes disponibles sobre la situación), orientar (analizar y sintetizar los datos para tener una primera aproximación a lo que ocurre), decidir (determinar el curso de acción basado en la aproximación que se tiene y las opciones disponibles) y actuar (la puesta en práctica de la acción concreta establecida) (Schneider, 2017).

En este sentido, la pregunta de fondo es ¿cómo asegurar que el directorio o la junta directiva no se paralice ni se sustraiga de sus responsabilidades frente a un evento cibernético adverso exitoso en una organización? En este contexto, tratar de dar respuesta a este interrogante, implica entender la dinámica propia del equipo ejecutivo y sus emociones, comprender las acciones y actividades del atacante en el desarrollo del evento, así mismo cómo afecta la respuesta de los ejecutivos a otras personas frente a un evento cibernético adverso.

Lo anterior requiere de un ejercicio de revisión y preparación que los directorios deben adelantar como parte fundamental de los comportamientos esperados y deseados por parte de este cuerpo colegiado frente a un ciberataque exitosos, más allá de los indicadores y métricas disponibles sobre la efectividad del programa de ciberseguridad empresarial. En la medida que se hagan evidentes las reacciones y actuaciones de los ejecutivos es posible entender mejor sus elecciones, la toma de decisiones y los efectos del desempeño de dichas actuaciones en los resultados de la atención de los eventos cibernéticos adversos (Agnew & Daniels, 2010).

¿Qué hacer frente a un ataque cibernético inminente? Una revisión operativa

Cuando un ataque cibernético es inminente la organización, indistintamente esté preparada o no, deberá asegurar al menos tres temas clave a nivel operativo y organizar sus acciones con el fin de enfrentar la inevitabilidad de este evento. Para ello se adaptan las recomendaciones de Schneider (2017) frente a situaciones de ataques físicos y violentos.

En primer lugar interceptar el evento en la medida que sea posible antes de que tenga éxito o reducir el alcance de las acciones de adversario en la infraestructura. Para ello la organización debe contar con herramientas para visualizar la actividad maliciosa, activar las medidas de contención que detengan los efectos que el atacante quiere causar y aislar los vectores de ataque inicialmente identificados.

El ejercicio de interceptar deberá esta asistido de tecnología de engaño y tecnología de blanco móvil como fundamento de la capacidad de la organización para ver lo que ocurre y diseñar rápidamente su respuesta para cerrarle el paso a la agenda del adversario dentro de la infraestructura de la empresa. En la medida que la compañía tenga estas capacidades clave es viable generar un marco de tiempo para actuar antes de que el atacante tenga éxito.

En segundo lugar controlar el evento con el fin de disminuir los daños que se puedan generar en la infraestructura o sistemas de información. Para ello la compañía debe contener el avance del evento, activar el puesto de mando cibernético unificado que coordine la respuesta y aislar las infraestructuras o sistemas afectados.

La acción de controlar deberá estar asistida por la realización de ejercicios y simulaciones previas con el fin de articular las diferentes respuestas y acciones con los distintos actores corporativos, así como desplegar los mecanismos de aislamiento técnico de la infraestructura que permita limitar las afectaciones que el adversario quiere causar. Esto supone desarrollar una postura de falla segura a nivel de la arquitectura de ciberseguridad de la empresa que permite cerrar e incomunicar los diferentes dispositivos en un segmento de red o sistema de información.

En tercer lugar operar en medio del evento, con el fin de limitar los impactos en la organización y sus diferentes grupos de interés. Para ello la organización requiere de disponer de los recursos necesarios (económicos, técnicos, humanos y administrativos) para actuar de forma eficiente y rápida, activar las medidas de respuesta flexibles y ágiles para adaptar la infraestructura y mantener su disponibilidad, así como aislar los efectos del incidente particularmente a nivel de tecnológico y sus diferentes grupos de interés como una medida propia del debido cuidado frente a los daños visibles y aquellos emergentes.

El reto de mantener la operación en medio del evento debe estar alineado tanto con el deber fiduciario de los miembros de la junta directiva frente a los accionistas, así como la promesa de valor de la empresa para con sus diferentes grupos de interés. En este escenario, la junta directiva debe asegurar que se tienen los recursos necesarios para habilitar una respuesta resiliente de la empresa y por tanto, se cuenta con una memoria muscular habilitada por los ejercicios y simulaciones previas, donde el equipo ejecutivo muestra su compromiso y claridad frente al marco de decisiones establecido y practicado para enfrentar, contener y superar el reto de un ciberataque exitoso.

¿Qué hacer frente a un ataque cibernético inminente? Una revisión táctica

A nivel táctico el reto es entender tres preguntas claves con el fin de establecer y validar la postura de ciberseguridad empresarial actual, y desde allí, concretar las acciones que se deben afinar a nivel operativo y las inversiones situadas necesarias para acompañar al equipo directivo cuando el evento cibernético se materializa. Las preguntas se adaptan del marco de trabajo de Schneider (2017) respecto de la comprensión de los ataques violentos.

La primera pregunta es ¿qué probabilidad tiene la organización de sobrevivir a un ataque cibernético? La respuesta de esta pregunta está situada al menos en tres elementos claves: el nivel de preparación de la organización frente a estos eventos, el nivel de aseguramiento y calibración de los controles actualmente implementados en la empresa y la calidad de las alianzas estratégica que se tiene frente a esta situaciones.

Dado que la probabilidad se calcula basada en hechos y datos disponibles, se debe contar con información confiable y verificable, generalmente por un tercero independiente, que le diga al directorio de las capacidades disponibles de la empresa para enfrentar un evento cibernético adverso, sin perjuicio de las acciones que adelante la organización como parte de su práctica de ciberseguridad empresarial. El concepto independiente será el insumo base para tomar las decisiones del directorio que aseguren o mejoren la postura de ciberseguridad de la organización.

La segunda pregunta es ¿cuál es el tiempo disponible para responder al ataque? La respuesta a esta inquietud reside en aspectos como pueden ser entre otros: las capacidades de defensa cibernética que tiene la empresa para ver al adversario antes de que tenga éxito, la aplicación de “libros de jugadas” para riesgos concretos que habilitan una respuesta coordinada al evento y la activación del comité de crisis empresarial donde se concentra y sintetiza la dinámica de los datos que se producen, con el fin de informar al nivel ejecutivo y directivo sobre la evolución y acciones que se adelantan.

El tiempo es la variable más relevante durante el desarrollo de un evento cibernético adverso, pues en la medida que la diferencia entre la detección del evento y el cierre del mismo sea mayor, mayor serán los impactos en todos los niveles: políticos, económicos, sociales, tecnológicos, ecológicos y legales, y menos margen de maniobra tendrá la compañía para manejar la situación y disminuir los inciertos que se generan por cuenta de las acciones inesperadas del adversario.

La tercera pregunta es ¿qué factores favorecen al adversario? La respuesta a este interrogante implica reconocer al menos algunas condiciones que son claves entender y desde allí plantear la estrategia de respuesta de la empresa. Estas condiciones son: el atacante no tiene reglas por lo tanto actuará para conseguir su objetivo, generalmente puede contar con apoyo de terceros aliados que le proveen capacidades, tiene capacidades probadas para producir daños en la infraestructura, tiene la capacidad de mantener anonimato y generar sorpresa, y particularmente tiene como foco crear incierto, inestabilidad y caos, como fundamento para desplegar sus acciones sin ser visto.

Conocer estos factores con información e inteligencia de amenazas previa, permite tener un diseño base de amenazas que habilita a la organización para reconocer sus adversarios, sus capacidades, intenciones y motivaciones, para desde allí preparar la mejor respuesta y activar las acciones locales, así como la coordinación con aliados estratégicos y autoridades nacionales para movilizar un ecosistema de defensa que oriente y asista a la organización en medio de las tensiones del evento adverso, asegurando su debido cuidado y debida diligencia para atender y superar el evento con el mínimo de impactos o efectos colaterales.

¿Qué hacer frente a un ataque cibernético inminente? Una revisión desde el comportamiento

El entrenamiento y las simulaciones no son suficientes para concretar un comportamiento deseado para que la junta directiva se sienta cómoda con el incierto que genera un ataque cibernético exitoso (Agnew & Daniels, 2010). En este sentido, cuanto más cercano y experiencial sea el ejercicio que se genere, mejor se revelan los comportamientos y emociones que son realmente los mandantes durante las situaciones de crisis cibernética, que dicho sea de paso, no ocurren de 8:00 a 5:00 de lunes a viernes.

Para ello, es importante entrenar la respuesta de los miembros del directorio en al menos cinco elementos clave, los cuales se refuerzan entre ellos y demandan el compromiso de cada uno de los directivos, con el fin de balancear la intuición con los hechos y datos disponibles, y así crear una capacidad probada en el manejo de eventos cibernéticos adversos. Estos elementos se construyen desde las reflexiones de Agnew y Daniels (2010) sobre el análisis del comportamiento y el ARM (Adrenal Response Management – Gestión de la respuesta suprarrenal) desarrollado por Schneider (2017).

El primer elemento es contar con formación y experiencia realistas, repetitivas y eficaces alrededor de los retos en la atención de los incidentes de ciberseguridad que requieren entrenamiento y aseguramiento durante los eventos cibernéticos adversos. Esta formación se debe adelantar con personal especializado que oriente, estrese y guíe a la organización en medio de las situaciones de tensión e inestabilidad que se producen, para generar el contexto necesario para que las emociones se hagan presente, se revelen los comportamientos inesperados y las confrontaciones y contraórdenes aparezcan como factores que aumentan la confusión que termina en un zona de volatilidad que desencadena en el caos que se espera cuando no hay una preparación adecuada.

Un segundo elemento es la visualización y juego mental de roles, que no sustituye lo comentado previamente, implica el reto de situarse en el escenario del evento cibernético adverso bien sea de forma activa o pasiva. Activa como protagonista actuando de forma deliberada y entrenada frente a la situación que se desarrolla y compromete los activos digitales de la empresa, así como los impactos que esta produce. Pasiva como espectador que observar las actividades que se desarrollan y ve los resultados de las decisiones tomadas en medio de las tensiones y situaciones inestables que genera un ciberataque exitoso.

En la medida que más sentidos (vista, olfato, tacto, oído y gusto) se impliquen en la visualización más partes del cerebro estarán involucradas y estimuladas haciendo más creíble lo que ocurre. En resumen visualice de forma realista, involucre los sentidos de forma práctica y real, y procure por mantener el proceso realista y minimizando el “factor de soñar despierto” (escenarios poco reales o improbables) (Schneider, 2017).

El tercer elemento es respiración y gestión del estrés, lo que implica mantener claridad del comportamiento individual de cada uno de los miembros de la junta para tener una calma deliberada (Brassey et al., 2022), esto es, reconocer el escenario cierto o incierto que se tiene en el desarrollo de los eventos cibernéticos, con el fin de identificar el nivel estrés que se advierte en la atención de la situación. Particularmente, es importante comprender qué tipo de ataque es el que se está presentando para saber y actuar de forma ajustada a la realidad que se identifica. Esto es: (Cano, 2021)

• Ataques comunes – No hay presión por el desempeño: asegurar línea base (estrés bajo) – Incierto bajo.
• Ataque evolutivos – Hay presión por lograr un buen desempeño: recuperación ágil (estrés medio) – Incierto bajo.
• Ataques adaptativos – Reto: ganar conocimiento de los eventos adversos (estrés medio-alto) – Incierto alto.
• Ataques asimétricos – Reto: aprender de la dinámica de los eventos adversos (estrés muy alto) – Incierto alto.

Un cuarto elemento es salud y condición física propia de los miembros de la junta como fundamento de la respuesta y exigencia que implica dar respuesta y asumir las presiones que se generan durante un evento cibernético. Es importante no subestimar este punto de análisis, pues en la medida que los miembros del directorio su salud no sea la mejor, menor capacidad de respuesta y mayor margen de acción tendrá el atacante por cuenta de una respuesta que puede no corresponder con la realidad o las tensiones que se tienen en el momento. Mantener una junta directiva sana y sabia es un recurso valioso y necesario cuando se trata de atender un incidente de ciberseguridad empresarial.

Un quinto elemento es crear un ritual cibernético situacional que despoje a todos los miembros de junta de sus cargos, sus intereses particulares, de sus egos propios y de las prevenciones que se tengan entre ellos, lo que implica que al activarse en el escenario de inestabilidad y crisis cibernética sólo se persigan los comportamientos y acciones esperadas situadas en el incidente de ciberseguridad que se desarrolla.

Este ejercicio, exige aprender a fallar bien, esto es, minimizar los descuidos y fallas en el aseguramiento de las práctica asociadas con los eventos conocidos, reconocer los eventos complejos de alta interacción y acoplamiento que se puedan generar, y explorar posibilidades y alternativas en medio de los eventos inciertos que se manifiesten durante la crisis cibernética (Edmondson, 2023).

Conclusiones

Para comprender cómo un directorio o la junta directiva no se paraliza ni se sustrae de sus responsabilidades frente a un evento cibernético adverso exitoso en una organización, es necesario entender el reto que implica identificar, atender y entender la materialización del riesgo cibernético en la organización. Es establecer qué cosas son problemas reales de entrenamiento, qué temas son manejo de emociones y comportamientos, y cuáles son los retos de la inmersión de los directivos en la estrategia de ciberseguridad empresarial de la empresa.

Cuando los problemas son de entrenamiento, es importante establecer las práctica claves necesarias que se deben conocer, apropiar y asegurar con el fin de evaluar su desempeño en diferente situaciones y condiciones, de tal forma que los ejecutivos tengan no sólo el conocimiento conceptual de la práctica, sino una interiorización de la misma de forma situada en eventos adversos que permita saber que reconoce la situación de inestabilidad y sabe qué deben hacer de forma clara y precisa frente a los hechos (Agnew & Daniels, 2010).

Cuando los retos están en las emociones y comportamientos, los ejecutivos pueden navegar mejor cuando se cuenta con la información básica sobre los tipos de ataque, así como el marco de decisiones asociado con dichos eventos, lo que le permite manejar mejor su nivel de estrés y motivar los comportamientos esperados influenciados por los antecedentes previos de eventos pasados, así como por las lecciones aprendidas que contienen el conocimiento necesaria para prepararse y movilizarse frente a un nuevo evento cibernético.

La calma deliberada se establece como fundamento clave de este reto. Esto es, una postura deliberada que reconoce los eventos que ocurren en el exterior, así como la consciencia sobre pensamientos, sentimientos, creencias y mentalidades propias de los ejecutivos, y cómo impacta la dinámica del afuera con la dinámica interior del directivo. Y por otro lado, la calma resultante de hacer consciente los eventos del entorno y la reflexión interna necesaria, para tomar distancia de las presiones e intencionalmente escoger la respuesta más apropiada sin que las emociones lo lleven a comportamientos habituales o instintivos (Brassey et al., 2022).

Finalmente la inmersión de los directivos en la estrategia de ciberseguridad empresarial deben ir más allá de conocer y leer reportes sobre el tema, y situar a la ciberseguridad desde la perspectiva del negocio, acompañando a los ejecutivos en el apetito de riesgo que han definido a nivel corporativo como el referente básico y situado de una postura de ciberseguridad que no sólo reconoce los riesgos conocidos, sino que incorpora capacidades para defender y anticipar al adversario desde el reto de la inevitabilidad de la falla (Martin, 2019).

De esta forma un directorio puede salir de sus viejos patrones que buscan controlar y esperar a recibir información y decidir frente a un evento cibernético adverso, para tomar una postura activa y proactiva que cambia la narrativa de su discurso, ahora desde un conocimiento situado de los eventos, un comportamiento esperado frente al incidente y un reconocimiento de riesgo cibernético como un riesgo de negocio. Esto demanda una postura de curiosidad y aprendizaje que lleve a la junta directiva a un nuevo nivel de madurez en la gestión y gobierno de dicho riesgo más allá de la aplicación de las buenas prácticas y estándares en ciberseguridad.

Jeimy Cano – Director de Revista SISTEMAS de la Asociación Colombiana de Ingenieros de Sistemas

Enlace al Artículo Original

Referencias

Agnew, J. & Daniels, A. (2010). Safe by accident? Take the luck out of safety. Leadership practices that build a sustainable safety culture. Atlanta, GA. USA: Performance Management Publications.

Brassey, J., De Smet, A. & Kruyt, M. (2022). Deliberated calm. How to learn and lead in a volatile world. New York, NY. USA: Harper Collins Publishers.

Cano, J. (2021). Modelo ADAM. Una estrategia conceptual para repensar los ataques digitales y actualizar las estrategias de seguridad y control vigente. Global Strategy. Global Strategy Report No. 22. https://global-strategy.org/modelo-adam-una-estrategia-conceptual-para-repensar-los-ataques-digitales-y-actualizar-las-estrategias-de-seguridad-y-control-vigente/

Cano, J. (2023). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Ediciones de la U.

Edmondson, A. (2023). Right kind fo wrong. The science of failing well. New York, USA: Atria Books

Martin, P. (2019). The rules of security. Staying safe in a risky world. Oxford, UK.: Oxford Press.

Schneider, G. (2017). Can I see your hands! A guide to situational awareness, personal risk management, resilience and security. Irvine, Boca Raton. USA: Universal Publishers

Zukis, B. (2024). The Cybersecurity Leadership Crisis Dooming America’s Companies. Forbes. https://www.forbes.com/sites/bobzukis/2024/07/26/the-cybersecurity-leadership-crisis-dooming-americas-companies/