Professional Documents
Culture Documents
Sinopsis
Mientras las empresas luchan por ganar valor apoyándose en la
tecnología, los riesgos asociados con los negocios digitales se
incrementan. Los robos de información personal e información
privada de negocio, las malversaciones de recursos, las
denegaciones de servicio y los ciber robos se están convirtiendo en
algo habitual, afectando a empresas pequeñas y grandes. Enfoques
aislados de la seguridad de la información, de la continuidad de
negocio y de la respuesta ante incidentes forman parte del pasado;
hoy en día la necesidad de proporcionar servicios con disponibilidad
continua para clientes y socios en la economía digital exige a las
empresas ser resilientes. Una empresa resiliente se protege a sí
misma de los ataques, pero también reconoce que la defensa no es el
único factor esencial. Una empresa resiliente necesita conectar
protección y recuperación a la misión y metas de la empresa,
implementando programas integrados que aseguren la sostenibilidad
de los servicios esenciales. Los miembros del Consejo tienen que
evaluar el riesgo operativo inherente a los negocios digitales y dirigir la
gestión para asegurar que la empresa no está simplemente protegida
- es resiliente.
www.isaca.org/cyber
La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar
Ideas Clave
Dada la naturaleza de los negocios digitales y el
valor proporcionado por el uso de la tecnología
para satisfacer las necesidades de los grupos de
• La Asociación Nacional de Directores Corporativos interés, puede ser apropiado que el consejo haga las
recomienda que “los consejos deben asegurar siguientes preguntas:
que la dirección está totalmente comprometida en
el desarrollo de planes de defensa y respuesta” y • ¿Se presta suficiente atención a la capacidad
advierte que hacer lo contrario supone poner en de defenderse contra intrusiones, así como a la
peligro los principales activos de la empresa.1 capacidad de recuperar y restaurar funciones y
servicios esenciales?
• De acuerdo a un estudio reciente del Instituto
Ponemon,2 las empresas tardaron una media de • ¿Se informa al consejo de forma rutinaria sobre
170 días en detectar un ataque de un externo los potenciales riesgos operativos materiales y las
malicioso y 259 días cuando hubo infiltrados estrategias de mitigación de riesgos, así como de
involucrados en el ataque. los incidentes que podrían afectar a la marca?
• Ciberresiliencia es la capacidad de una empresa • ¿En qué medida se han identificado los servicios
para anticipar, aguantar, recuperarse de y y funciones esenciales y se han implementado
evolucionar para mejorar sus capacidades al programas para hacerlos resilientes en caso de
enfrentarse a condiciones adversas, situaciones disrupción o ciber incidente?
límite o ataques contra los recursos que necesita
para funcionar.3
1
National Association of Corporate Directors, Cyber-Risk Oversight Handbook, 10 de junio de 2014, https://www.nacdonline.org/Resources/Article.cfm?ItemNumber=10688
2
Ponemon Institute, 2014 Global Report on the Cost of Cyber Crime, https://ssl.www8.hp.com/ww/en/secure/pdf/4aa5-5207enw.pdf
3
Bodeau, Deborah J.; Richard Graubart; Cyber Resiliency Engineering Framework, The MITRE Corporation, 2011, www.mitre.org/sites/default/files/pdf/11_4436.pdf
Introducción
no abrir adjuntos sospechosos y comprendiera
cómo responder a mensajes de correo electrónico o
llamadas de teléfono dudosos. Para cada amenaza
aparentemente técnica había una respuesta técnica.
Los ciberincidentes y las pérdidas asociadas a ellos
se han incrementado año tras año, provocando
Actualmente, en cambio, no es suficiente con
que los consejos de administración y los ejecutivos
centrarse solamente en las amenazas técnicas y en las
se conciencien sobre la necesidad de gobernar
soluciones técnicas. Las empresas afrontan ataques
y gestionar el ciberriesgo. En una conferencia persistentes que explotan debilidades de una forma
pronunciada en junio de 2014 en la bolsa de Nueva más sistémica. Los atacantes sólo necesitan tener
York, el comisionado de la Comisión de Valores de éxito una vez para penetrar en la empresa, mientras
Estados Unidos (SEC) Luis A. Aguilar se refirió al que las medidas de seguridad tienen que ser eficaces
creciente número y severidad de los ciberataques siempre y en todo momento, independientemente del
y apuntó el daño inaceptable que estos ataques método de ataque.
habían infligido a los consumidores y a la cuenta de
resultados de los que habían sido víctimas.4 Mientras A pesar de que los ciberatacantes todavía utilizan
que implementar programas de gestión de riesgos mecanismos técnicos y sociales que han estado en
es una responsabilidad de la dirección, los miembros uso durante muchos años, la diferencia es que los
del consejo de administración y de los comités de atacantes actuales son persistentes y las técnicas de
auditoría y de riesgos del consejo tienen que ejercer ataque que utilizan incluyen métodos avanzados. Los
su responsabilidad de supervisión para asegurar que atacantes están centrados y son capaces de sortear
los planes son completos y que su implementación los controles o de encontrar las debilidades que les
protege apropiadamente a la organización. permiten robar secretos comerciales e información
de carácter personal, cometer fraude, o hacerse con
La postura de riesgo de las empresas es muy diferente recursos valiosos. Implementar controles técnicos
actualmente debido a la estrecha integración de los de prevención y detección ya no es suficiente.
sistemas de información y comunicaciones en el Actualmente, la ciberseguridad tiene que abordarse
tejido de operaciones y de los mercados a los que de una forma más holística. Construir barreras
se sirve. Cuando se integra con riesgo técnico y con defensivas más altas e instalar soluciones de defensa
el potencial de intrusión y de compromiso, la gestión en profundidad ya no es suficiente para prevenir
de riesgos de la empresa necesita la implementación intrusiones criminales y compromisos.
de nuevos enfoques de protección y respuesta. La
tecnología de la información es una parte esencial En la economía digital, las empresas exitosas son
de cómo se llevan a cabo los negocios, y la aquellas que pueden anticipar eventos amenazantes,
ciberprotección ya no es una cuestión técnica; es una continuar las actividades esenciales a pesar de las
cuestión de negocio que requiere atención del consejo condiciones adversas y restaurar con rapidez las
de administración. funciones de misión crítica. Incluso más importante,
la empresa exitosa tiene la capacidad de evolucionar
Lo que amenaza actualmente a la empresa es muy de modo que el impacto de incidentes potenciales
diferente de las amenazas que existían hace tan sólo y reales se minimice. Estas capacidades incluyen
unos años. Por ejemplo, si entonces se detectaba más cosas de lo que tradicionalmente se asocia
una infección potencial por virus, la dirección podía con seguridad de la información, recuperación ante
implementar software para detectar y erradicar el desastres, continuidad de negocio y gestión de
software malicioso. Como respuesta a la ingeniería crisis. Las capacidades de protección individuales y
social, el personal podía ser educado para que supiera los planes tienen que integrarse en un enfoque más
4
Aguilar, Luis A.; “Boards of Directors, Corporate Governance and Cyber-Risks: Sharpening the Focus,” 10 Junio 2014,
www.sec.gov/News/Speech/Detail/Speech/1370542057946
5
Internet World Stats, 2014, www.internetworldstats.com/stats.htm
6
Ericsson, “CEO to shareholders: 50 billion connections 2020,” 13 de abril de 2010, www.ericsson.com/thecompany/press/releases/2010/04/1403231
7
The Boston Consulting Group, The Internet Economy in the G-20, 19 de marzo de 2012,
https://www.bcgperspectives.com/content/articles/media_entertainment_strategic_planning_4_2_trillion_opportunity_internet_economy_g20/
8
National Association of Corporate Directors, Cyber-Risk Oversight Handbook, 10 de junio de 2014, https://www.nacdonline.org/Resources/Article.cfm?ItemNumber=10688
9
Ponemon Institute, 2014 Global Report on the Cost of Cyber Crime, https://ssl.www8.hp.com/ww/en/secure/pdf/4aa5-5207enw.pdf
10
Bodeau, Deborah J.; Richard Graubart; Cyber Resiliency Engineering Framework, The MITRE Corporation, 2011, www.mitre.org/sites/default/files/pdf/11_4436.pdf
Definiendo las
• Erosionando la confianza del público y de los
clientes cuando se publica información personal
privada
11
ISACA, COBIT® 5 para Riesgos, EE.UU., 2013, www.isaca.org/COBIT/Pages/Risk-product-page.aspx
12
ISACA, Modelo de Evaluación de Procesos (PAM): Usando COBIT® 5, EE.UU., 2013, www.isaca.org/COBIT/Pages/COBIT-Assessment-Programme.aspx
La optimización de riesgos requiere que el consejo de Los escenarios de riesgo se usan con frecuencia como
administración comprenda los planes y actividades de una ayuda para asegurar que se identifica el riesgo y
la dirección para balancear la aceptación y rechazo se mantiene el balance entre aceptación y rechazo.
de riesgos en el contexto de las metas, estrategia y Los escenarios de riesgo emplean terminología
objetivos de la empresa. El consejo de administración de negocio para describir el efecto que un riesgo
necesita aprobar el balance riesgo-beneficio que se puede tener sobre la consecución de los objetivos
defina en términos de apetito al riesgo. El punto de de la empresa, a partir de la comprensión del origen,
balance entre la aceptación y rechazo de riesgos tiene naturaleza, características, recursos afectados y la
que comunicarse a toda la empresa porque es parte duración de un incidente del riesgo.13 La figura 1
de la planificación y administración de las actividades contiene una descripción genérica de los contenidos
ciber del negocio. que deben incluirse en un escenario de riesgo.
FIGURA
Evento
• Revelación
• Interrupción
• Modificación
• Robo
• Destrucción
• Diseño no efectivo
Tipo de Amenaza • Ejecución no efectiva Activo/Recurso
• Maliciosa • Reglas y regulaciones • Personas y habilidades
• Accidental • Uso inapropiado • Estructuras Organizativas
• Error • Proceso
• Fallo • Infraestructura (instalaciones)
• Naturaleza • Infraestructura de IT
• Requisito externo • Información
• Aplicaciones
13
ISACA, COBIT® 5 para Riesgos, EE.UU., 2013, www.isaca.org/COBIT/Pages/Risk-product-page.aspx
La Protección
La identificación de ciberriesgos de negocio y su
integración en la planificación y administración del
negocio mediante la planificación de escenarios
depende de la definición de los procesos críticos,
la comprensión de los requerimientos mínimos para y la Empresa
Ciberrresiliente
continuar esos procesos y la determinación del tiempo
en el que es esencial la restauración de la capacidad
total. La comprensión del riesgo mediante el uso de
escenarios de riesgo también conecta las diferentes
funciones de la empresa porque, en la empresa En 2014, ISACA y el Institute of Internal Auditors
moderna, las funciones centrales y las capacidades Research Foundation publicaron conjuntamente
esenciales para cubrir las necesidades de los grupos Cybersecurity: What the Board of Directors Needs
de interés cruzan las fronteras organizativas. to Ask, que establece que la ciberseguridad es
una obligación para el consejo de administración
Mientras el consejo de administración supervisa y recomienda que los miembros del consejo de
para que se cumplan las expectativas de los administración soliciten información y consejo para
grupos de interés y crezca el negocio, tiene que ayudarles a asegurar el futuro de la empresa.14 Los
valorar con cuidado la identificación de riesgos y la miembros del consejo de administración tienen
implementación de programas de riesgos. El consejo que estar informados sobre las actividades de
de administración puede considerar adecuadas las negocio y el ciberriesgo para que puedan ejercitar
siguientes preguntas en este contexto: su responsabilidad de evaluar y dirigir a la dirección,
que a su vez guía e implementa programas de
• ¿Las evaluaciones de impacto sobre el negocio y los ciberprotección.
ejercicios de planificación de escenarios se utilizan
para documentar la criticidad de los procesos y Un elemento importante para alcanzar la
servicios de negocio? ¿Se actualizan para reflejar los ciberresiliencia es la capacidad de implementar
requerimientos que cambian y los nuevos servicios medidas protectoras consistentes con el balance
y productos dependientes de la tecnología que se riesgo/beneficio aprobado por el consejo de
introducen o mejoran? administración. La ciberdefensa no es una actividad
para realizar una vez. Las estrategias y programas
• ¿En qué medida se balancean las metas y beneficios de ciberseguridad deben adaptarse a los cambios
deseados con la comprensión del riesgo al que surgen de la evolución de la empresa, que es
considerar servicios y productos digitales? un resultado natural de la incorporación de nuevas
tecnologías, distribución de nuevos productos y
servicios, y acuerdos con nuevos socios. Según
• ¿Se han adoptado métodos formales para
cambia el panorama de amenazas, los escenarios
proporcionar un enfoque balanceado para la
de riesgo tienen que ser revisitados y las prácticas
planificación de negocio y la identificación y
de seguridad modificadas para atender a nuevas
respuesta a riesgos?
prioridades. Mantener una postura eficaz de
ciberseguridad requiere atención constante y la
capacidad de entender las condiciones actuales y las
capacidades que serán requeridas como resultado del
cambio. Dada la complejidad de la ciberprotección y la
necesidad de responder a la aplicación de tecnologías
14
The Institute of Internal Auditors Research Foundation, ISACA, Cybersecurity: What the Board of Directors Needs to Ask, 2014,
https://www.theiia.org/bookstore/product/cyber-security-what-the-board-of-directors-needs-to-ask-download-pdf-1852.cfm
15
NIST, Framework for Improving Critical Infrastructure Cybersecurity, 2015, www.nist.gov/cyberframework/
Sostenibilidad
identificación de riesgo operacional y la planificación
de la protección, hasta la detección y la recuperación
de los incidentes y la concienciación — sean parte de
16
Caralli, Richard A.; Allen, Julia H.; Curtis, Pamela D.; White, David W.; Young, Lisa R.; CERT® Resilience Management Model, Version 1.0, Software Engineering Institute, mayo de 2010
http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=9479
17
Ponemon Institute, 2014 Global Report on the Cost of Cyber Crime, https://ssl.www8.hp.com/ww/en/secure/pdf/4aa5-5207enw.pdf
cómo fue gestionado que con el número de registros • ¿Se ha implementado una capacidad de
comprometidos o el valor perdido. comunicación de crisis y se ha integrado con la
planificación de la respuesta?
La comunicación es potencialmente más importante
que otros elementos de la gestión y recuperación de • ¿Se han identificado todos los grupos de interés y
incidentes. La gestión de ciberincidentes requiere una sus necesidades y se han considerado al desarrollar
amplia participación dentro de la empresa, incorporando los planes de respuesta ante incidentes?
experiencia en tecnología y política. La comunicación
relativa a ciberincidentes debe ser estratégica, • ¿La respuesta ante incidentes se ha practicado
significativa e inclusiva. La transparencia con audiencias recientemente y las lecciones aprendidas se han
internas y externas es clave, y cualquier intento de utilizado para actualizar y refinar el programa de
ocultar la verdad se interpretará de forma negativa. respuesta ante incidentes?
Disclaimer
This is an educational resource and is not inclusive of all information that may be needed to assure a successful outcome.
Readers should apply their own professional judgment to their specific circumstances.
Renuncia
Este es un recurso educativo y puede no incluir toda la información necesaria para garantizar un resultado satisfactorio. El
lector debe aplicar su propio criterio profesional a sus circunstancias específicas.
Reservation of Rights
© 2015 ISACA. All rights reserved. No part of this publication may be used, copied, reproduced, modified, distributed, dis-
played, stored in a retrieval system or transmitted in any form by any means (electronic, mechanical, photocopying, recording
or otherwise) without the prior written authorization of ISACA. Reproduction and use of all or portions of this publication are
permitted solely for academic, internal and noncommercial use and for consulting/advisory engagements, and must include full
attribution of the material’s source. No other right or permission is granted with respect to this work.
Derechos Reservados
© 2015 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada, copiada, reproducida,
modificada, distribuida, mostrada, almacenada en un sistema de recuperación o transmitida en cualquier forma o por cualquier
medio (electrónico, mecánico, fotocopia, grabación u otro) sin la autorización previa por escrito de ISACA. La reproducción y el
uso de todo, o partes de esta publicación para fines académicos, internos y no-comerciales están permitidos para compro-
misos de consultoría/ asesoramiento, y deben incluir el reconocimiento de la fuente del material. No se autoriza ningún otro
derecho o permiso respecto a esta obra.
Joris Vredeling
ISACA Madrid, España