Ciberseguridad: mantenerse alerta a través de la prevención, la supervisión y la gobernanza

Los riesgos y las implicaciones de los ataques cibernéticos en corporaciones, agencias gubernamentales y ciudadanos deben encabezar la agenda de los comités de auditoría y los consejos con responsabilidades en la supervisión y la gobernanza.

Octubre — designado como el Mes Nacional de Concienciación sobre Seguridad Cibernética ya pasó, y al igual que en años anteriores, las amenazas de ataques cibernéticos no muestran signos de disminuir. De hecho, "la seguridad cibernética ahora se considera ampliamente como el riesgo de la década", dijo Chuck Seets, líder de seguridad cibernética de EY Americas Assurance. Durante la serie de webcasts de EY Cybersecurity de tres partes, los líderes de las agencias reguladoras, las organizaciones de ciberseguridad y las principales empresas estadounidenses abordaron los riesgos y las implicaciones de los ataques a corporaciones, agencias gubernamentales y ciudadanos.

Ransomware: una tendencia alarmante

Sin fronteras que lo contengan, el tsunami de la transformación digital se ha apoderado de la economía global, trayendo consigo riesgos no solo para la TI y la banca, sino también cada vez más para la energía, el tratamiento del agua, el transporte y otras infraestructuras críticas. “Las amenazas que hemos visto este año no solo han llevado a que los profesionales de la seguridad cibernética se centren más”, señaló Eric Goldstein, director adjunto ejecutivo de seguridad cibernética de la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA), “han causado impactos tangibles que son cada vez más frecuentes. conversaciones de mesa en comunidades de todo el país”.

El ransomware, el tema del primer webcast, ha sido noticia frecuente en el último año con ataques que costaron a las empresas millones de dólares e interrumpiendo las comunicaciones. Los atacantes aprovechan las vulnerabilidades, crean ataques de denegación de servicio y exigen rescate. Mientras tanto, los sistemas se desconectan y se niega el acceso a los datos. El tiempo que se tarda en volver a poner los sistemas en línea no es trivial. Los objetivos incluyen aquellos con mucho dinero, operaciones de fabricación que no pueden correr el riesgo de interrupciones o aquellos con tecnologías patentadas, como las principales empresas farmacéuticas y tecnológicas. O quizás aquellos con pólizas de seguro. “Atacar una cadena de suministro significa atacar al resto de con quienes se hacen negocios: contratistas, subcontratistas... Cualquiera que toque su red es una puerta potencial”, explicó Shawn Henry, presidente y director de seguridad de CrowdStrike Services. Una de las razones del aumento de la superficie de ataque es la cantidad de dispositivos utilizados en todas las operaciones y de terceros, que se ha disparado en los últimos años. Eso significa miles, incluso millones, de puntos finales para que los exploten los "malos agentes".

La pandemia mundial no ayudó: “Llevas a casa a más de 50 000 empleados, como hicimos en COVID, y ahora la superficie de ataque se ha vuelto enorme”, dijo Jennifer Banner, miembro de la junta directiva de Truist Financial Corporation y Uniti Group Inc., quien habló en el webcast de Prácticas líderes y supervisión, el segundo de la serie.

Las pequeñas y medianas empresas tampoco son inmunes a las infracciones de ransomware y, a menudo, se convierten en objetivos de oportunidad o daños colaterales, especialmente cuando se lanza malware fuera de control en múltiples dominios. Los resultados de las encuestas lanzados durante los webcasts indican que el 18 % de los directores había experimentado una filtración de datos y el número se elevó al 33,6 % en detección de malware y al 65 % en phishing de correo electrónico.

Dos vectores de amenazas particulares rastrean el aumento de la actividad, explicó Goldstein: adversarios sofisticados, muchos de los cuales son actores de estados-nación con capacidades avanzadas, y ciberdelincuentes con poca o ninguna habilidad técnica que ahora pueden "alquilar" Ransomware-as-a-service (RaaS ) de bandas criminales más sofisticadas para lanzar intrusiones de ransomware.

“Frente a estos ataques, cada organización tiene el deber con sus clientes, inversores y accionistas de recuperar los datos de los clientes y volver a funcionar”, dijo William Ridgway, socio de litigios en Skadden, Arps, Slate, Meagher & Flom LLP. Y esas decisiones pueden implicar el pago del rescate. “Además, cuando se realizan amenazas físicas contra las personas, las consecuencias de la falta de pago a veces son consecuencias para la vida humana”.

Sin embargo, hacer ese pago no es una píldora mágica y, a menudo, conlleva riesgos significativos. Es posible que las empresas no puedan contener la propagación de malware entre unidades comerciales, terceros y cadenas de suministro. “Es posible que la clave de cifrado no funcione o descifre solo partes de los datos”, dijo Henry. “Puede llevar semanas reconstituir un entorno”. Como advirtió Jennifer Banner: si bien algunas empresas e industrias pueden asumir unas pocas semanas de inactividad, podría ser catastrófico para otras.

Cuando se les preguntó si los Consejos de sus empresas tenían una política con respecto a los pagos de rescate, casi el 88% de los encuestados respondieron negativamente.

Preparar, practicar, liderar

“Todos tienen un plan hasta que te dan un puñetazo en la nariz”, bromeó Ridgway, canalizando el famoso adagio de Mike Tyson.

Lo que Shawn Henry llama “una verdadera crisis sin bromas”, un evento significativo que afecta a la economía global por miles de millones (1) y afecta a toda la organización, sus terceros y las cadenas de suministro, no se detiene para comer,  los fines de semana o en vacaciones. El tiempo de respuesta, la comprensión y el despliegue de protocolos de escalada, el seguimiento y la gestión de la situación en tiempo real son todas funciones del liderazgo. El C-suite tiene el poder del ejemplo al demostrar un nivel de urgencia y compromiso. “Si el CEO está en línea, haciendo preguntas, instruyendo a la acción, liderando a la organización a través de una crisis, es la métrica más importante para la empresa, sus clientes, inversores y empleados durante un ataque y después: si el jefe piensa que es importante , creen que es importante”, dice Henry.

El seguro de ransomware ha ofrecido cierta protección. Pero después de que el pago más alto de la póliza haya alcanzado un récord de $40 millones, los operadores han reafirmado los derechos de aprobación sobre los pagos de rescate, exigiendo declaraciones de due dilligence de los ejecutivos de C-suite, asegurándose de que las empresas sean proactivas, no solo reactivas, sobre sus vulnerabilidades.

Ese nivel de preparación se puede aprender y practicar en escenarios de simulación de ataques, también conocidos como ejercicios de simulación. Estas prácticas ofrecen la oportunidad de reinventar las amenazas, no solo reaccionar ante ellas, dijo Phil Venables, vicepresidente y director de seguridad de la información de Google Cloud.

(1) “El costo del ransomware en 2021: un análisis país por país”, sitio web de Emsisoft, https://blog.emsisoft.com/en/38426/the-cost-of-ransomware-in-2021-a-country -análisis-por-país/, 27 de abril de 2021.

Aún así, existe una falsa dicotomía al confrontar las amenazas que es la confianza excesiva en las defensas contra ataques conocidos mientras se descarta la plausibilidad de otros, aquellos que se consideran demasiado extremos para ser llevados a cabo. La verdadera amenaza, explicó Venables, se encuentra en el "área gris" intermedia. “Las tecnologías y los métodos de ataque están evolucionando demasiado rápido para depender de un solo control”, dijo, y enfatizó la importancia de “cambiar la ciberseguridad de un espacio de control a un espacio conceptual”.

La forma de explorar estos casos extremos es llevarlos más allá del concepto de ciberseguridad hacia una comprensión más integral del valor y el riesgo para los activos más importantes de la organización. Las prácticas más frecuentes son un buen lugar para comenzar. Según los directores encuestados, solo el 14% confirmó que sus Consejos hayan participado en un ejercicio de simulación de ransomware en los últimos 12 meses.

Comités de vigilancia: ¿quién es dueño de lo cibernético?

Para centrarse en las operaciones, el soporte, las comunicaciones de crisis y las decisiones estratégicas durante y después de los incidentes cibernéticos, se forman comités de supervisión en los Consejos: "Los ejercicios de simulación deben practicarse en toda la empresa, incluso a nivel del Consejo", dijo Phyllis Sumner, socia y directora de privacidad de King & Spalding, "Como mínimo, el Consejo debe recibir lecturas y alinearse con la gerencia sobre los procedimientos de escalada".

Según las estimaciones de Ernst & Young LLP, al menos el 68 % de las empresas de Fortune 100 actualmente asignan el riesgo cibernético al ámbito de los comités de auditoría -ya de por sí sobrecargados-, un número que ha estado aumentando desde 2018. Esto ha provocado debates de alto nivel sobre la posible formación de comités independientes de supervisión de la ciberseguridad. Incluso ha habido discusiones sobre seguir el modelo de la Ley Sarbanes-Oxley, que requiere que los Consejos incluyan al menos a un miembro que sea experto en amenazas cibernéticas.

El resultado de la encuesta en vivo realizada durante la transmisión del webcast confirmó la deficiencia de experiencia en seguridad cibernética en el nivel C-suite. Cuando se les preguntó cuántos directores con experiencia en seguridad de la información (incluidos ex CTO, CIO y CISO) estaban en el Consejo de sus organizaciones, aproximadamente el 43 % de los encuestados dijo que no tenía ninguno, el 37 % contó con uno y el 16 % con dos. Solo el 4% de los encuestados dijo que tenía más de dos directores con habilidades en ciberseguridad en el Consejo.

“Un comité cibernético independiente podría ser útil durante un período provisional”, dijo Sumner, “especialmente para las organizaciones que se recuperan de graves crisis de ciberseguridad y cuyos Consejos y gerencia serán examinadas por las agencias reguladoras y de aplicación. Pero es importante que toda el Consejo también reciba informes sobre ciberseguridad”.

Venables ofreció una visión diferente: “Es peligroso tener solo un comité de seguridad cibernética, uno que no sea parte de un esfuerzo de modernización tecnológica más amplio”, explicó. “Los incidentes de ciberseguridad no son el único riesgo importante, y una mitigación más efectiva del riesgo cibernético debe ser parte de una cartera más amplia de desafíos de transformación digital, privacidad y resiliencia que enfrenta una organización”.

Bajo este enfoque, la seguridad cibernética se integra en un comité tecnológico más grande, integrando la seguridad con un paquete tecnológico estratégico más amplio que toca la banca, la robótica, la automatización e incluso los recursos humanos: una visión más amplia de cómo avanzar de manera segura en todas esas áreas vitales. "La capacidad de 'hacer doble clic' en el riesgo cibernético en reuniones, presentaciones e informes para la junta podría mejorar el ejercicio teórico y sacar la ciberseguridad de los límites de los departamentos de TI", dijo Jennifer Banner.

Sin embargo, la mayoría de los Consejos (65 % en total) aún tienen que considerar quién tiene la responsabilidad principal de la supervisión del riesgo cibernético. Mientras tanto, solo el 15% de los encuestados dijeron que considerarían transferir la responsabilidad del comité de auditoría; el 12 % dijo que ha considerado cambiarlo del Consejo de Admistración a un comité de ciberseguridad/tecnología; y el 8 % dijo que estaba pensando en crear un comité ad hoc temporal para evaluar las necesidades del Consejo.

En última instancia, los comités de supervisión tienen "menos que ver con la forma y más con la sustancia", dijo Luke Dembosky, socio y copresidente de estrategia de datos y prácticas de seguridad en Debevoise & Plimpton. El objetivo debe ser constituirse en torno al nivel correcto de compromiso, liberar líneas de informes ascendentes para los directorios completos y facilitar las divulgaciones adecuadas a los inversionistas y reguladores.

Leyes y regulaciones

“Odio ser el portador de malas noticias, pero es probable que los reguladores y los abogados de los demandantes evalúen las crisis, y revisarán todas sus comunicaciones para ver qué decisiones se tomaron”, dijo William Ridgway, además de aconsejar a los ejecutivos que no usen sus dispositivos personales durante una situación de crisis.

“Una vez que se produce una infracción, los datos expuestos pueden abarcar proveedores de empresas, terceros y otras dependencias, lo que significa que el Consejo puede ser demandado. Pero incluso si no hay litigio, es probable que los directores de la compañía deban someter a análisis forense sus teléfonos y ordenadores y, si es necesario, ponerlos a disposición de los abogados de los demandantes años después. Una forma posible de desestimar estos casos es demostrar que el Consejo ha reflexionado sobre estos problemas, antes y después del hecho, ha realizado mejoras y mejoras, lo que demuestra que estaba cumpliendo con sus obligaciones fiduciarias”.

Pero garantizar el cumplimiento adecuado de todas las normas y reglamentos, las propuestas de legislación fragmentadas y otras directrices emergentes es un trabajo pesado, especialmente en las áreas de privacidad. Y mientras Angela Saverice-Rohan, directora y líder de privacidad de EY Americas en Ernst & Young LLP, es optimista de que una ley nacional de privacidad, una que consolidará un mosaico de reglas estatales, finalmente se aprobará en los EE. UU., otras naciones están colocando la privacidad onerosa cargas sobre las empresas que compiten en un mercado global.

“Reconocemos la privacidad como un derecho humano. Refleja una sociedad evolucionada”, dijo, pero “más de 120 países tienen requisitos de privacidad; esa lista está creciendo y los requisitos se están volviendo más prescriptivos”.

Las consecuencias no deseadas de esos estrictos estándares de privacidad, especialmente las restricciones de datos transfronterizas, también conocidas como requisitos de localización de datos, pueden generar costos significativos para las empresas y afectar la competencia global. La proliferación de la inteligencia artificial es otro desafío legal inminente: los requisitos de privacidad a menudo no abarcan grandes conjuntos de datos, mientras que la toma de decisiones automatizada elimina la participación y la intervención humana.

Más de la mitad de los directores que respondieron a esta pregunta de la encuesta dijeron que entendían la inteligencia artificial (IA) de sus organizaciones y los riesgos relacionados con la robótica solo "algo bien", el 14 % dijo que los entendía "muy bien" y, en particular, el 35 % respondió "no mucho".

“La IA y nuestra economía algorítmica son el futuro”, dijo Saverice-Rohan. El crecimiento económico es posible gracias al intercambio de datos y el libre flujo de información: "Esos principios están en oposición directa con la forma en que se legisla actualmente la privacidad".

Interrumpir, disuadir, defender

La IA puede eliminar a los humanos de algunas funciones de toma de decisiones, pero hay un ser humano en el punto de partida de cada ciberataque. Interrumpir a estos asaltantes significa detenerlos físicamente, dice Shawn Henry. Idealmente, eso requiere una combinación de acciones de inteligencia, investigación y aplicación de la ley, así como iniciativas diplomáticas y sanciones contra los agentes del estado-nación.

Por supuesto, la mayoría de los atacantes se identifican solo después de que ya han atacado. Cuando se trata de cadenas de suministro, las defensas son tan fuertes como el eslabón más débil. “Los proveedores tienen sus propios proveedores, terceros, incluso cuartos y dependencias”, explicó Phil Venables. “Pueden transmitir el riesgo a las cadenas de suministro”.

En de-risking, un nuevo enfoque que ha tenido éxito, una organización reduce su número total de proveedores y su criticidad. Eso, a su vez, reduce los canales de flujo de información, lo que genera un mayor grado de control de riesgos.

Otro concepto es Zero Trust de CISA, que exige un marco de servicio que escale y establezca un ciclo continuo de protocolos de autenticación y otras medidas de derecho de entrada, priorizando e intensificando la protección de activos, cuentas y servicios críticos, incluso si un adversario irrumpe en la red. Con la tarea de proteger y fortalecer la infraestructura crítica de la nación contra las amenazas cibernéticas, CISA también ha estado trabajando en la adopción de una lista de materiales de software, una especie de etiqueta digital de alimentos que impulsa los sistemas de software seguros por diseño.

A medida que estas y otras soluciones están ganando impulso, reclutar expertos externos puede ayudar a romper la caja de resonancia: el 41 % de los encuestados en esta encuesta en vivo dijeron que, personalmente, tenían “experiencia limitada” en ciberseguridad y el 30 % informaron tener “experiencia moderada”.  Solo el 18% dijo que tenía "experiencia significativa" personalmente, mientras que el 11% dijo que no tenía "ninguna experiencia".

Pero no se puede interrumpir la actividad adversaria y protegerse contra las amenazas cibernéticas que no se informan, dijo Eric Goldstein: demasiadas empresas americanas no informan los incidentes cibernéticos a la CISA o a la Oficina Federal de Investigaciones (FBI). Por eso, explicó, una de las mejores maneras de protegerse contra las intrusiones es pasar de una cultura de retención a una cultura de compartir.

“Las víctimas de ciberataques son solo eso, víctimas. Ellos necesitan ayuda. Parte de obtener esa ayuda es ayudar a los demás”, enfatizó Goldstein. "Estamos todos juntos en esto. Cuanto más promovamos una cultura de compartir, conectando puntos sobre las intrusiones en todo el país, para compartir medidas defensivas amplia y ampliamente, antes doblegaremos esa curva de riesgo”.

Esto es especialmente importante ya que las amenazas futuras (manipulación de datos, videos falsos profundos y otras campañas de desinformación) seguramente influirán en el comportamiento, alterarán las perspectivas y explotarán los errores en el juicio humano. Los ciberataques y quienes los llevan a cabo seguirán evolucionando. También debe hacerlo nuestro dominio de tecnologías innovadoras, medidas defensivas y gobernanza proactiva para negociar con seguridad el panorama de amenazas en constante evolución.

“Internet es el mayor invento de nuestra vida”, dijo William Ridgeway. “No nos vamos a alejar de eso. Pero con él vienen desafíos y riesgos. Tenemos que aprender a gestionar y equilibrar esos riesgos para que podamos aprovechar su eficacia y seguir estando seguros”.

Sintonizar

Los expertos están de acuerdo: para construir mejores defensas contra las amenazas cibernéticas en evolución, las organizaciones deben salir de los silos. Las partes externas independientes pueden ayudar a las empresas a ampliar las bases de conocimientos, desarrollar capacidades más sólidas e identificar puntos ciegos en los programas de seguridad y gestión de riesgos.

Para obtener más información sobre el ransomware, la gobernanza de la ciberseguridad y los desarrollos regulatorios recientes, puedes volver a ver la serie de webcasts de EY Cybersecurity:

• Ransomware — 8 de octubre de 2021
  
• Prácticas líderes para la supervisión cibernética: 15 de octubre de 2021
• Desarrollos regulatorios en ciberseguridad y privacidad de datos — 22 de octubre de 2021