Tres días después de haber sido designado para dirigir el grupo de software estadounidense SolarWinds, Sudhakar Ramakrishna recibió una llamada que cualquier director ejecutivo temería.
El abogado general de la compañía llamó para advertirle que se había detectado malware en las actualizaciones enviadas a miles de clientes en los sectores público y privado.
“Mi primera reacción fue realmente de curiosidad”, recuerda el veterano ejecutivo de tecnología. “Empecé a visualizar lo que podría haber sucedido”.
Ramakrishna no debía asumir el control hasta el mes siguiente pero, dada la gravedad del ataque, parte de una campaña de ciberespionaje que el gobierno de EE. . En cuestión de días, estaba revisando sus 10 principales prioridades para su nuevo trabajo para tener en cuenta las circunstancias radicalmente cambiadas.
Pocos directores ejecutivos experimentan un ciberbautismo de fuego de este tipo, lo que llevó a EE. UU. a establecer un grupo de trabajo de alto nivel para coordinar su respuesta. Incluso menos responderían tan fríamente. Para los líderes, los ataques cibernéticos “parecen ser mucho más personales [and] emocional” que otras crisis, según Michael Smets, profesor de administración en la Escuela de Negocios Saïd de Oxford.
Incluso un ataque fingido puede llevar a los ejecutivos al límite. La Cámara de Ciberseguridad de Luxemburgo realiza un intenso ejercicio de una hora para líderes empresariales, llamado Habitación #42, para promover la resiliencia ante las ciberamenazas. Dos veces, los ejecutivos han “perdido el control”, incluso gritando a sus colegas, dice Pascal Steichen, quien dirige la unidad de resiliencia cibernética.
Tales respuestas pueden reflejar un abismo expuesto en un informe reciente que Smets y otros prepararon para Istari, la empresa de gestión de riesgos cibernéticos propiedad de Temasek de Singapur. Los 37 directores ejecutivos entrevistados para el estudio dijeron que la responsabilidad se detuvo en la seguridad cibernética, pero casi las tres cuartas partes se sintieron incómodos al tomar decisiones al respecto.
Lo que es obvio es que la amenaza va en aumento. Desde el hackeo de SolarWinds de 2020, denominado Sunburst, los piratas informáticos lograron desconectar la red Colonial Pipeline con una demanda de ransomware, lo que provocó escasez de gasolina en partes de los EE. servicios postales internacionales. Este mes, USS, el mayor plan de pensiones del sector privado del Reino Unido, advirtió que los datos personales de unos 470.000 miembros podrían haber estado expuestos a un ataque cibernético contra el grupo de subcontratación Capita.
Como señalan los expertos, la piratería es una amenaza asimétrica. “Los atacantes solo tienen que hacerlo bien una vez”, dice Kelly Richdale, directora de la junta y asesora en seguridad cibernética. Steichen dice que el simulador de Luxemburgo, que buscará las fallas en los sistemas de una empresa, se basa en las salas de escape populares, excepto que «no puedes escapar, solo puedes fallar».
Los líderes senior se dan cuenta cada vez más de que si ningún sistema está completamente protegido contra intentos de infracciones, entonces no es suficiente centrarse solo en las respuestas tecnológicas. Los expertos dicen que los directores ejecutivos no deben transferir la responsabilidad a su director de seguridad de la información, ni siquiera a su comité de auditoría. En cambio, deberían tratar los ataques cibernéticos como un problema estratégico, que debe manejarse al más alto nivel. Si se aborda adecuadamente como un problema de gestión de riesgos, la amenaza también puede ser una oportunidad para identificar operaciones estratégicamente importantes e incluso para mejorar el negocio en su conjunto.
“Mejoras continuamente, pero nunca estás completamente seguro”, dice Ramakrishna de SolarWinds. “No se trabaja desde una posición de miedo, sino de constante aprendizaje y mejora constante.”
Los reguladores han ayudado a poner la seguridad cibernética firmemente en la agenda de la sala de juntas. La Comisión de Bolsa y Valores de EE. UU., el Banco de Inglaterra y el Banco Central Europeo se encuentran entre los reguladores que aumentaron su enfoque en la resiliencia cibernética en el último año. Por ejemplo, una propuesta de la SEC requeriría que las empresas públicas revelen la experiencia en seguridad cibernética de los directores «si la hay». “No todos [board] el miembro tiene que ser un experto en riesgo financiero, pero tiene que ser capaz de leer una hoja de cálculo o un P&L [profit and loss account]”, señala Richdale. Del mismo modo, «la junta debe estar versada en los conceptos básicos de los ataques cibernéticos y los conceptos digitales», un nivel de conocimiento que, según ella, falta en muchas empresas.
Alcanzar, o contratar, este nivel de experiencia es más fácil para las empresas más grandes, agrega Mitchell Scherr de la empresa de seguridad cibernética Assured Cyber Protection: “En las medianas empresas, la junta no sabe qué preguntas hacer y la gente de tecnología no sabe qué proporcionar a la junta”.
Esta brecha es particularmente peligrosa porque a menudo son las pequeñas y medianas empresas las que sin darse cuenta abren la puerta trasera de objetivos más grandes a los piratas informáticos, a través de los llamados «ataques de la cadena de suministro». Sunburst fue un ejemplo clásico, aunque particularmente sofisticado, porque el software de SolarWinds había sido instalado por muchos clientes (aunque la compañía estima que menos de 100 empresas privadas y nueve agencias federales fueron el objetivo). Otro fue el ataque del año pasado a la aseguradora de salud australiana Medibank. Allí, los piratas informáticos obtuvieron acceso a los datos de los clientes con un nombre de usuario y una contraseña robados y utilizados por un proveedor externo de servicios de tecnología de la información. Richdale dijo: “El perímetro de la cibernética [security] se ha expandido.»
Sudhakar Ramakrishna, quien comenzó su mandato como director ejecutivo de SolarWinds en medio de un ataque cibernético, dice que aprendió que «no puedes resolver todos los problemas por ti mismo» © Demetrius Freeman-Pool/Getty Images
Esto pone el problema directamente sobre el escritorio de los directores ejecutivos, cuyo papel es mantener una visión estratégica de los riesgos y oportunidades que cubra toda la red de suministro. Los directores ejecutivos y las juntas también están mejor posicionados para evaluar el riesgo reputacional. Los expertos advierten que los líderes están en una mejor posición que los CISO para identificar las «joyas de la corona»: activos u operaciones estratégicamente importantes que necesitan el más alto nivel de protección. Para un hotel, podrían ser los datos del pasaporte de los huéspedes; para un spa, podrían ser los datos de salud de los clientes; para un fabricante, podría ser propiedad intelectual. Scherr recuerda a una empresa china que hackeó el sistema de una empresa nueva con el pretexto de pedir sus productos. El atacante copió la técnica innovadora del objetivo y comenzó a fabricar y vender los mismos artículos a una cuarta parte del precio. Una vez que las empresas han abordado los principales riesgos, pueden pasar a cubrir cualquier riesgo residual con ciberseguros.
Manuel Hepfer de Istari dice que el impulso hacia una mayor resiliencia cibernética también puede ofrecer oportunidades para optimizar los procesos. “El CIO se presentó en una reunión ejecutiva y nos preguntó cuántos servidores creíamos que tenía la empresa”, dijo un director ejecutivo a Istari. “La estimación más baja en la sala era cuatro, la más alta 250. La realidad era más de 4.000. Eso fue un incentivo para que todos entendiéramos más. Nos dimos cuenta de que gastamos millones cada año en este tipo de tecnología, pero realmente no lo entendemos”.
Istari identificó una “paradoja de preparación”. Las empresas que dijeron que estaban mejor posicionadas para resistir un ataque cibernético tenían menos probabilidades de estar preparadas. Los líderes cuyas empresas habían sido pirateadas ya dijeron que habían podido reconstruir mejor, lo que Smets de Oxford compara con el arte japonés de kintsugireparando cerámica rota con oro.
Ramakrishna dice que ha reconstruido la cultura de SolarWinds sobre la base de la transparencia, la colaboración y la humildad. “No vas a ser capaz de resolver todos los problemas por ti mismo. Es posible que necesite la ayuda de la comunidad”, dice. Cuando se le pide que asesore a otras juntas, las insta a adoptar el mismo «sesgo de transparencia» que utiliza SolarWinds y a compartir el conocimiento de un ataque cibernético con su red más amplia.
Hasta qué punto colaborar con los rivales en una crisis es una decisión que solo el director ejecutivo y la junta pueden tomar. La mayoría yerra por el lado del secreto. Steichen de Luxemburgo dice que el 70 por ciento de las empresas que han ejecutado una simulación de Room#42 no buscan ayuda externa para manejar una crisis cibernética. “Nuestro lema general es: ‘No sufras en silencio’”, dice.
El mantra de SolarWinds es «seguro por diseño». Ramakrishna describe esto como un “proyecto para siempre”. ¿Podría volver a ocurrir un ataque al estilo Sunburst? Ramakrishna apunta a las recientes brechas de empresas «empapadas en seguridad», como Microsoft, cuyo programa de correo electrónico Exchange fue atacado por supuestos piratas informáticos chinos en 2021: «Le podría pasar a SolarWinds, a cualquier otra empresa, sin importar su tamaño, alcance, activos». ”, dice Ramakrishna. “Lo que podemos hacer es trabajar juntos para reducir la probabilidad”.