Seguridad cibernética e interrupción de la actividad comercial: fundamentos para su prevención y mitigación

Introducción

El ecosistema de la seguridad moderna es diverso y cambiante, un lugar donde el riesgo cibernético es prioritario para los líderes de todos los niveles, y las amenazas a la seguridad/privacidad de la información y los datos evolucionan a la velocidad de las innovaciones técnicas que impulsan el progreso. Dentro de este dinámico ecosistema, estamos cada vez más conectados a nivel mundial, donde las organizaciones (y los individuos) se enfrentan por igual a la amenaza siempre presente de los ataques cibernéticos. Nadie es inmune y el potencial impacto de un ataque digital exitoso en sus activos puede afectar las operaciones, la reputación, la buena voluntad de los clientes y mucho más.

Nuestros datos se encuentran cada vez más amenazados. La información es la sangre vital de nuestra comunidad global en continua evolución y cada vez más conectada. El poder de los datos puede verse en todas las facetas de la era moderna, en la que el valor de la información es sumamente importante, dando lugar a desarrollos y avances de vanguardia. Desafortunadamente, tal y como suele ocurrir, el riesgo para el objeto de valor se incrementa a un ritmo igual o superior al de su expansión. La información se ha convertido en uno de los activos intangibles más valiosos del mundo, al tiempo que también se transformó en uno de los activos más vulnerables del planeta. El riesgo inherente es un resultado esperado de este proceso transformador, el cual conlleva la gran responsabilidad de proteger la información que impulsa nuestro avance.

Este artículo se centra en la experiencia profesional, los procesos y las tecnologías necesarias para mitigar el riesgo cada vez mayor de ataques cibernéticos y potenciales interrupciones de la actividad comercial en empresas, organizaciones e individuos.

La amenaza a la información puede medirse de diferentes maneras, desde el manejo descuidado de los datos hasta los esfuerzos continuos de los actores maliciosos tendientes a explotar, alterar o exfiltrar datos. A menudo, el impacto real de este riesgo es lo que impulsa los avances en materia de seguridad cibernética. Esta mercancía que llamamos información ha transformado la forma en la que el mundo piensa, y su lugar dentro de la función de seguridad se ha vuelto cada vez más presente e importante.

Teniendo en cuenta este clima dinámico, abordar los impactos relacionados con la seguridad cibernética y la interrupción de la actividad comercial nunca ha sido más crucial para la gestión de riesgos y el éxito organizacional. Independientemente del tamaño de su organización, un ataque cibernético puede ser extremadamente costoso y perjudicial para la supervivencia de su empresa.

La intensificación del entorno de amenazas ha hecho imperativo que las organizaciones cuenten con un seguro cibernético, debido a la creciente sofisticación de los actores que representan una amenaza. Al mismo tiempo, la cobertura del seguro de responsabilidad cibernética se ha vuelto más cara y difícil de obtener. Las primas de estos planes han ido en aumento debido al incremento de las pérdidas relacionadas con reclamos, el aumento de la demanda de cobertura y los grandes pagos derivados de los ataques de ransomware. Las primas de los seguros cibernéticos aumentaron una media del 28 % durante el primer trimestre de 2022 en comparación con el cuarto trimestre de 2021. La evolución del mercado de seguros cibernéticos ha propiciado un cambio, de pólizas generales con amplias inclusiones y límites elevados a pólizas con cobertura detallada, requisitos técnicos y de seguridad claros, y límites gestionados en función de la evolución de los reclamos.

El complejo panorama de los seguros puede ser visto como uno de los varios factores que convergen para crear un entorno que podría estar adecuadamente establecido para un clima turbulento. Los posibles elementos que podrían incluirse en la tormenta que se avecina son:

• ataques cada vez más exitosos contra empresas de todos los tamaños que requieren el pago de rescates;
• presentación de reclamos de seguros cibernéticos en cifras récord;
• pérdidas crecientes causadas por incidentes cibernéticos que incluyen reclamos de seguros cibernéticos y pagos por litigios civiles cada vez mayores.

Los reguladores y legisladores prestan cada vez más atención no solo a los métodos de prevención y respuesta, sino también a la voluntad de las organizaciones de invertir adecuadamente en seguridad cibernética antes de que se produzca un ataque, tal y como se observa en las recientes recomendaciones sobre seguridad cibernética brindadas por la Comisión de Bolsa y Valores de los Estados Unidos (SEC).

Cómo combatir al actor de una amenaza cibernética

Si bien la situación actual parece grave, nunca antes se había dispuesto de herramientas y recursos en el volumen, la comprensión y la variedad necesarios como para hacer frente al desafío y reducir el riesgo.

A medida que la amenaza de los ataques cibernéticos ha ido evolucionando, también lo han hecho aquellos que desafían la aparente invencibilidad de los actores de la amenaza. A menudo parecen ir un paso por delante y estar mejor preparados. No obstante, si utilizamos los recursos a nuestra disposición antes de que se produzca el potencial ataque, podremos prepararnos y responder eficazmente, a fin de minimizar el impacto de este enemigo aparentemente imbatible: el "actor de la amenaza cibernética".

Para poder hacer frente al creciente desafío, los profesionales especializados en seguridad cibernética deben aprovechar las personas, los procesos y la tecnología a su disposición para proteger la confidencialidad, integridad y disponibilidad de los datos/información de los que son responsables; así, garantizan la seguridad y la privacidad de los mismos.

Existen algunos conceptos fundamentales que son cruciales para lograr el éxito.

• La cultura es importante. Un enfoque descendente tendiente a abordar la seguridad dentro de una organización es vital para lograr una participación holística. La seguridad cibernética es un acontecimiento de equipo que requiere la participación de todos, desde el o la recepcionista hasta el director o directora general, a fin de obtener los resultados más efectivos. Si no se logra una adecuada cultura de seguridad y un compromiso de alto nivel, puede resultar difícil inspirar la adopción de prácticas que creen una buena cultura cibernética. El compromiso al más alto nivel es fundamental y las recientes orientaciones brindadas por la SEC con respecto a una mayor transparencia al nivel de la junta directiva refuerzan este concepto fundamental.
• La planificación y la preparación previas a un incidente también son componentes cruciales de un programa de seguridad cibernética efectivo. Dadas las crecientes interrupciones de la actividad comercial y las pérdidas relacionadas con la violación de datos, es necesario desarrollar una estrategia para reducir el riesgo que conlleva la exposición significativa. Este concepto se vuelve cada vez más importante en la iniciativa tendiente a obtener un seguro cibernético que cubra eficazmente el riesgo identificado con los límites adecuados. Las consideraciones específicas para cada organización incluyen: estrategias de seguridad y respuesta, de respuesta ante incidentes (IRP), para garantizar la continuidad de la actividad comercial (BCP) y de recuperación de desastres (DRP), políticas y procedimientos, gestión, desarrollo de un plan de recuperación financiera previo al evento y capacitación. Una respuesta eficiente a un incidente cibernético incluye la preparación para la implementación de medidas técnicas, junto con la preparación y planificación financieras. Mitigar el posible impacto financiero de una violación de datos implica comprender las repercusiones financieras de la misma, la cobertura del seguro y los plazos, y cuestiones internas, entre las que se incluyen la nómina y los períodos de espera, por nombrar algunas.
• Los profesionales de la seguridad suelen pasar por alto la identificación del universo tecnológico de su organización. Las áreas que hay que tener en cuenta deben incluir: el inventario y mapeo de activos (hardware, software y datos para la privacidad, incluidos los activos intangibles, tales como los secretos comerciales y la propiedad intelectual), el análisis de brechas, el riesgo y la gestión de vulnerabilidades, a fin de incluir el riesgo relacionado con terceros. La identificación no se limita a la tecnología. Al evaluar los datos críticos de una organización, deben tenerse en cuenta los secretos comerciales, los cuales son legalmente protegibles cuando se encuentran asegurados a través de "medidas razonables". Según el Tribunal de Distrito de EE.UU. para el Distrito Norte de Nueva York, "[a]l evaluar medidas de secreto razonables, los tribunales se fijan en si [...] la información está protegida por medidas de seguridad física o cibernética".[1] Las personas y los elementos del proceso que se deben considerar pueden incluir copias de seguridad de documentos críticos para cuestiones relacionadas con recursos humanos y nóminas, así como también análisis financieros, a fin de identificar los ingresos perdidos y, eventualmente, los gastos de mitigación de incidentes.
• Proteger y defender la red incluye elementos tales como concientización y capacitación, gestión de parches, gestión de accesos, tecnología de protección y operaciones de seguridad. Dentro de esta área temática hablamos sobre la importancia de las capas de defensa y de que la higiene no es solo una cuestión de los seres humanos. Una buena higiene cibernética implica utilizar un software que escanee en busca de virus informáticos y malware, instalar firewalls de red, cambiar las contraseñas con regularidad, actualizar las aplicaciones y los sistemas operativos de todos los dispositivos de forma periódica, y mucho más.
• La detección como concepto establece que una defensa sólida no es suficiente. Las organizaciones preparadas de manera adecuada están constantemente buscando anomalías mediante el uso de registros, escaneo de la red, monitorización de eventos y pruebas de exploit periódicas. Es importante tener en cuenta que la supervisión de los problemas de seguridad cibernética debe proporcionar una visión tanto desde afuera hacia adentro (defensa perimetral) como desde adentro hacia fuera.
• La respuesta a los incidentes requiere un esfuerzo coordinado, bien planificado, capacitado y practicado. La planificación anticipada es fundamental para la respuesta. La práctica de los planes en todos los niveles consolida la capacidad de la organización para responder eficazmente con un enfoque estratégico proactivo. Las IRP suelen incluir medidas para contener, investigar y erradicar amenazas, así como también para identificar y eliminar las vulnerabilidades de raíz, al tiempo que documentan las pruebas para diversos fines. Esta información también aportará valor a la hora de responder preguntas importantes para las aseguradoras, las cuales necesitarán tener una sólida comprensión de lo sucedido y de cuáles fueron los impactos en las operaciones, desde el punto de vista físico y financiero.
• Las operaciones de recuperación suelen producirse más tarde en la iniciativa de respuesta, pero no por ello dejan de ser sumamente importantes. Las copias de seguridad a menudo se transforman en el foco principal de la discusión sobre recuperación, pero el restablecimiento de las operaciones suele ser mucho más complejo y puede incluir la búsqueda continua de actores de amenazas, aplicaciones de seguridad adicionales y procesos de debida diligencia en toda la empresa. La preparación anticipada en esta categoría brinda a la organización la capacidad de articular claramente los costos necesarios para restablecer las operaciones en contraposición a la implementación de mejoras, las cuales desencadenarán el escrutinio de las aseguradoras y podrían afectar la recuperación de los ingresos de la empresa.
• Por último, aplicar las lecciones aprendidas para mejorar le brinda a la organización la oportunidad de aprovechar incluso los eventos más pequeños, a fin de mejorar la respuesta ante futuros incidentes.

Conclusión

La agregación de estos componentes en un programa de seguridad cibernética eficaz requiere un líder proactivo con una visión que adopte la colaboración. Como se ha señalado, la seguridad cibernética es un deporte de equipo que exige el conocimiento de las mejores prácticas del sector, la capacidad de establecer la mejor compilación de servicios y capacidades para que la organización ofrezca la postura de gestión de riesgos esperada, y la determinación de seguir adelante con la iniciativa hasta su plena implementación.

Se espera que el líder adecuado especializado en seguridad/privacidad de la información faculte, proteja y habilite a la empresa, las operaciones y la comerciabilidad, a través de la entrega del mejor programa de operaciones de seguridad disponible. Si se le requiere, por ser parte de la empresa, este líder deberá impulsar el cumplimiento de normativas y programas, incluidos los programas regulatorios, legales y de gestión, al tiempo que deberá inspirar una cultura de seguridad e iniciativa.

Los recursos necesarios para cumplir esta misión no siempre están disponibles dentro de la organización. Asociarse con un proveedor de servicios que pueda responder cuando sea necesario para mejorar las capacidades es vital para transformarse en uno de los mejores líderes especializados en seguridad cibernética. Algunos de los mejores proveedores de servicios ofrecen servicios a medida, a fin de suplir las carencias cuando sea necesario. Las organizaciones deben buscar proveedores que ofrezcan servicios personalizados para cada cliente en su esfuerzo por establecer o mejorar sus programas de seguridad cibernética. Al final, los mejores proveedores deben proporcionar un equipo de expertos que aporten décadas de experiencia a cada compromiso y se especialicen en respuesta y recuperación ante incidentes, desarrollo de resiliencia proactiva, planificación financiera previa al evento y análisis de pérdidas financieras.

Reconocimientos

Le agradecemos a Jessica Eldridge, Robert McSorley, y Ron J. Yearwood, Jr., CISSP, CISM, CIPM, por aportar su conocimiento y experiencia, que fueron de gran ayuda en esta investigación.

Más acerca de los contribuyentes de J.S. Held

Jessica Eldridge es vicepresidenta en la práctica de Contabilidad Forense - Servicios de Seguros de J.S. Held. Cuenta con más de 19 años de experiencia en investigaciones y contabilidad forense, especialmente en mediciones de los daños financieros relacionados con la interrupción de actividades comerciales, informática, gastos adicionales, acciones, riesgos del contratista, deshonestidad/fidelidad de los empleados, lesiones personales, subrogación y servicios de apoyo en litigios. Jessica también tiene vasta experiencia en la administración de fondos de cargos comunes y la supervisión de reclamos por daños a la propiedad para proyectos grandes de construcción.

Puede comunicarse con Jessica enviando un correo electrónico a [email protected] o llamando al +1 401-301-8565.

Robert McSorley es director ejecutivo en la práctica de Propiedad Intelectual de J.S. Held. Con sede en la oficina de Chicago de Ocean Tomo, la cual forma parte de J.S. Held, Robert cuenta con 30 años de experiencia abordando cuestiones económicas, financieras y contables relacionadas con litigios comerciales. Robert se ha enfocado en los litigios de propiedad intelectual desde 1998 y regularmente evalúa las mediciones y montos de recuperación monetaria por infracciones/malversaciones. Se ha desempeñado como perito en tribunales federales y en declaraciones en decenas de ocasiones, y los tribunales y jurados han adoptado sus opiniones y conclusiones. Robert es contador público certificado y abogado licenciado, además es miembro de la Sociedad de la Licenciatura de Ejecutivos, del Instituto Americano de Contadores Públicos Certificados y de la Asociación Federal de Colegios de Abogados.

Puede contactarse con Robert enviando un correo electrónico a [email protected] o llamando al +1 312 327 4412.

Referencias

[1] Executive Trim Construction, Inc. v. Gross, 525 F.Supp.3d 357 (N.D.N.Y, 2021).