El 23 de enero en la madrugada, una empresa fue secuestrada por ciber delincuentes, algo sin precedentes en dicha organización. Este secuestro consistía en el cifrado de todos los servidores, incluyendo centro de datos principal, alterno y robot de respaldos. La estrategia digital que había permitido llevar a crecimientos de doble dígito, ahora amenazaba la continuidad de la operación.

La evaluación inicial de daños reportaba que no existía algún medio de recuperación alterno disponible para reestablecer la operación y el estimado de tiempo de recuperación era de cuatro meses para lograr reestablecer los sistemas de información que no tendrían datos para poder cargarle a los sistemas y continuar operando, era iniciar de CERO. Horas más tarde, fue identificada una copia de los sistemas realizada dos meses atrás cuando se estaban migrando los equipos virtuales y dicha copia no fue afectada; sin ese respaldo no hubiese sido posible la recuperación de los sistemas de información y dicha empresa se enfrentaba a un riesgo de continuidad operativa.

Esta situación y otras semejantes se han venido presentando en el primer semestre del 2020, generando preocupación en los líderes de las empresas y cuestionándose si están preparados. A continuación, presento diez aspectos que deben ser autoevaluados:

¿Demostramos la debida diligencia, la propiedad y la gestión eficaz del riesgo cibernético?

Es esencial determinar el grado correcto de responsabilidad a nivel de liderazgo. Si la supervisión implica solo una actualización de cinco minutos sobre los eventos cibernéticos de vez en cuando, probablemente no esté haciendo lo suficiente para administrar el riesgo de manera efectiva.

¿Tenemos el líder y el talento organizativo adecuados?

Todos dentro de una organización tienen alguna responsabilidad por el riesgo cibernético. Con todos los responsables y muchos líderes ocupados en el desempeño de sus funciones heredadas, las organizaciones pueden fallar en designar a un líder apropiado, el líder “correcto”, quien finalmente será responsable del riesgo cibernético.

¿Hemos establecido un marco de escalamiento de riesgo cibernético apropiado que incluya nuestro apetito por el riesgo y reportes de umbrales?

Desarrollar mensajes significativos relacionados con el ciberespacio para la organización en general puede ayudar a fomentar el flujo de información cuando hay incidentes o preocupaciones cibernéticos. Pero definir claramente los desencadenantes o eventos de umbral, así como el proceso real para trasladar la información a la administración, puede marcar la diferencia entre funcional y efectivo.

¿Estamos enfocados e invirtiendo en las cosas correctas? ¿Y cómo evaluamos y medimos los resultados de nuestras decisiones?

Con el riesgo y el rendimiento estrechamente vinculados, los líderes deben saber lo que están gastando en recursos y deben saber que están aportando los recursos adecuados para enfrentar los desafíoscibernéticos. No desarrollar una estrategia de personal, pagar de más por los servicios y otros obstáculos en los costos operativos son riesgos muy reales.

¿Cómo se alinean nuestro programa y nuestras capacidades de riesgo cibernético con los estándares de la industria y las organizaciones pares?

Es importante saber si su organización está rezagada, saber cómo se enfrenta a las empresas que abordan eficazmente el riesgo cibernético. Pero, ¿qué hace si descubre que se está quedando atrás? Si la junta y la C-Suite no están a cargo del desafío, ¿quién lo está?

¿Tenemos una mentalidad centrada en el ciberespacio y una organización cultural con conciencia cibernética en toda la organización?

A medida que intentan fortalecer su postura para volverse más seguros, vigilantes y resilientes, muchas empresas se centran en la educación y la conciencia. Pero la necesidad es más profunda. ¿Cómo cambia el comportamiento? La orientación sobre la respuesta debe provenir de la junta directiva y de la C-Suite.

¿Qué hemos hecho para proteger a la organización contra los riesgos cibernéticos de terceros?

Las raíces de muchas infracciones tienen su origen en socios comerciales, como contratistas y proveedores. Las preocupaciones cibernéticas se extienden mucho más allá de las cuatro paredes de su negocio, lo que requiere que se alinee con sus socios, que comprenda lo que están haciendo y que se asegure de que se sienta cómodo con los factores de riesgo que presentan esas relaciones.

¿Podemos contener rápidamente los daños y movilizar diversos recursos de respuesta cuando ocurre un ciberincidente?

Incluso, entre empresas altamente seguras, a menudo puede llevar días o semanas descubrir una intrusión. Lo que importa es su capacidad de respuesta una vez que detecta la amenaza activa. Desde la perspectiva del liderazgo, las capacidades de respuesta a incidentes críticos incluyen una cadena de mando clara y actual, un plan de comunicación completo y una visión amplia de los problemas legales, las necesidades de relaciones públicas, las implicaciones de la marca y los impactos operativos.

¿Cómo evaluamos la efectividad del programa de riesgo cibernético de nuestra organización?

La respuesta a esta pregunta es sencilla. Evalúa de punta a punta. La ejecución es la parte difícil. El otro desafío: ver más allá de los sistemas: comprender las implicaciones de todo el negocio y examinar los procesos comerciales, no solo TI, a través de una lente crítica. Son desafíos que exigen liderazgo y participación de la junta y la C-Suite.

¿Somos un vínculo fuerte y seguro en los ecosistemas altamente conectados en los que operamos?

La preparación cibernética de sus socios influye en su postura cibernética. El riesgo cibernético es una vía de doble sentido cuando se trata de socios. ¿Eres un eslabón débil? ¿Eres líder en riesgo cibernético? ¿Está logrando un impacto positivo en lo que respecta a la cibernética y al panorama empresarial más amplio?