Saltar al contenido principal

Ciberseguridad

junio 20, 2024

 

Llevar la sala de juntas al campo de batalla cibernético

Neque porro quisquam est qui dolorem ipsum quia dolor sit amet, consectetur, adipisci velit

Christine Gibson

Colaborador

A principios de 2020, un grupo extremadamente sofisticado de piratas informáticos llevó a cabo uno de los ciberataques más extendidos de la historia. Se cree que trabajan para el gobierno ruso, se infiltraron en los sistemas informáticos de un desarrollador de software de administración de TI llamado SolarWinds e incrustaron código malicioso en la línea de herramientas de monitoreo de la compañía.

En junio, el malware dio a los piratas informáticos acceso al funcionamiento interno de cientos de agencias federales y compañías Fortune 500. Cuando se detectó el hackeo, el grupo tuvo meses para espiar las operaciones gubernamentales y corporativas.

Tanto para el sector gubernamental como para el privado, el incidente sirvió como una llamada de atención a una amenaza en constante aumento. Los ataques cibernéticos son tan antiguos como Internet, pero en los últimos años se volvieron más sofisticados, insidiosos y destructivos. Si bien las pérdidas directas reportadas por ataques cibernéticos son pequeñas, alrededor de $ 500,000, el Fondo Monetario Internacional informó recientemente que el riesgo de pérdidas extremas, al menos tan grandes como $ 2.5 mil millones, creció.

Dada la gravedad de lo que está en juego, la responsabilidad de proteger a una corporación de los ciberataques recae sobre sus afiliados a más alto rango: el consejo de administración. Una parte crucial de su trabajo hoy en día consiste en evaluar si existen la cultura y la gobernanza adecuadas para proteger los sistemas de la compañía de las amenazas a la ciberseguridad, y para ello necesitan una comprensión matizada del riesgo cibernético.

"Las juntas directivas tienen que ser financieramente astutas, por supuesto, pero también deben ser ciberastutas", dice Ron Green, becario de ciberseguridad de Mastercard y ex director de seguridad. "Se enfrentan a ese desafío todos los días, lo sepan o no".

Sin embargo, ese nivel de experiencia es raro entre los directores. Solo el 12% de las juntas directivas del S&P 500 incluyen un especialista en ciberseguridad, dice Kimberly Cheatle, directora de los Servicios Secretos de EE. UU., Citando un estudio de 2023 realizado por NightDragon, una firma de capital de riesgo que financia compañías de ciberseguridad, y Diligent Institute.

Para ayudar a los directores a proteger a sus compañías, y a sus conciudadanos, del delito cibernético, Mastercard desarrolló un curso de capacitación, la Academia de la Junta de Ciberseguridad, en colaboración con el Servicio Secreto de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Asociación Nacional de Directores Corporativos y NightDragon. "Esta es una oportunidad realmente única para comenzar a cerrar esa brecha", dice Cheatle.

La primera sesión de la Academia de la Junta Directiva de CISA y el Servicio Secreto, que se llevó a cabo el martes en el Centro de Capacitación James J. Rowley del Servicio Secreto en South Laurel, Maryland, reunió a directores corporativos y expertos de la industria para explorar el estado del arte en la protección de redes digitales.

 

Ron Green, becario de ciberseguridad de Mastercard, se dirige a los directores corporativos que asisten a una sesión de capacitación sobre riesgo cibernético y resiliencia en Maryland a principios de esta semana. (Crédito de la foto: Rebecca Abraham)

“Queríamos cerciorarnos de fortalecer esa conectividad”, dice Jen Easterly, directora de CISA. Según ella, “obviamente no se puede esperar que el sector privado se enfrente solo a actores sofisticados de los Estados-nación”. Por lo tanto, otorga una importancia real al aumento y fortalecimiento de la conectividad entre el sector gubernamental y el sector privado.”

Trabajando juntos para proteger la infraestructura nacional

En un mundo cada vez más interconectado, la ciberseguridad debe ser un esfuerzo de equipo. Por lo tanto, Mastercard y sus socios invitaron a directores de compañías Fortune 500 y muchos que representan infraestructura crítica de EE. UU. para aprender de primera mano de expertos del gobierno y la industria. En un programa de estudio basado en los principios de la NACD y la Alianza de Seguridad de Internet para la supervisión efectiva del riesgo cibernético, los participantes discutieron las amenazas, la gobernanza, la protección y la resiliencia, construyendo una base de mejores prácticas para la defensa cibernética continua.

En estos ataques, los daños pueden extender mucho más allá de lo financiero, con actores criminales y patrocinados por el estado que montan campañas de espionaje o intentan desactivar la infraestructura nacional crítica. Ninguna institución está fuera de los límites. Los hospitales, los sistemas escolares, los laboratorios de investigación médica, los gobiernos estatales y locales, todos se convirtieron en objetivos. Y, debido a que gran parte de la infraestructura de los EE. UU. es propiedad de entidades privadas, el sector empresarial juega un papel crucial en la defensa civil.

"Encontrar formas de estar atentos a esto en nombre de nuestras compañías, en nombre de nuestro país, es esencial para lo que hacemos", dijo Stephen Jennings, director independiente del fabricante de chips Analog Devices, quien estuvo entre los 16 directores que asistieron a la sesión inaugural. "Estamos obteniendo una mejor comprensión de las capacidades de aplicación, las últimas tendencias, los últimos riesgos".

"La ciberseguridad tiene que ser un esfuerzo colectivo, y ahora podemos tener más toma y daca entre la industria y el sector gubernamental para atacarlo en el futuro. La amenaza no va a desaparecer pronto. Esta va a ser una lucha continua".

Stephen Jennings

El programa también está forjando una asociación público-privada continua, para que los participantes puedan continuar aprendiendo unos de otros y adelantar a las amenazas. Los afiliados a la junta pueden aprovechar una red cada vez más amplia de experiencia en ciberseguridad, mientras que CISA y el Servicio Secreto tienen una vía de retroalimentación para afinar sus mensajes para el sector privado en general.

“La ciberseguridad debe ser un esfuerzo colectivo, y ahora podemos tener una mayor cooperación entre la industria y el sector gubernamental para abordarla en el futuro”, afirma Jennings. “La amenaza no desaparecerá pronto. Esta va a ser una lucha constante.