{"id":760786,"date":"2023-05-18T13:14:48","date_gmt":"2023-05-18T13:14:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-atacantes-solo-tienen-que-hacerlo-bien-una-vez-como-irrumpio-la-ciberseguridad-en-la-sala-de-juntas\/"},"modified":"2023-05-18T13:14:51","modified_gmt":"2023-05-18T13:14:51","slug":"los-atacantes-solo-tienen-que-hacerlo-bien-una-vez-como-irrumpio-la-ciberseguridad-en-la-sala-de-juntas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-atacantes-solo-tienen-que-hacerlo-bien-una-vez-como-irrumpio-la-ciberseguridad-en-la-sala-de-juntas\/","title":{"rendered":"‘Los atacantes solo tienen que hacerlo bien una vez’: c\u00f3mo irrumpi\u00f3 la ciberseguridad en la sala de juntas"},"content":{"rendered":"


\n<\/p>\n

\n

Tres d\u00edas despu\u00e9s de haber sido designado para dirigir el grupo de software estadounidense SolarWinds, Sudhakar Ramakrishna recibi\u00f3 una llamada que cualquier director ejecutivo temer\u00eda. <\/p>\n

El abogado general de la compa\u00f1\u00eda llam\u00f3 para advertirle que se hab\u00eda detectado malware en las actualizaciones enviadas a miles de clientes en los sectores p\u00fablico y privado. <\/p>\n

\u201cMi primera reacci\u00f3n fue realmente de curiosidad\u201d, recuerda el veterano ejecutivo de tecnolog\u00eda. \u201cEmpec\u00e9 a visualizar lo que podr\u00eda haber sucedido\u201d. <\/p>\n

Ramakrishna no deb\u00eda asumir el control hasta el mes siguiente pero, dada la gravedad del ataque, parte de una campa\u00f1a de ciberespionaje que el gobierno de EE. . En cuesti\u00f3n de d\u00edas, estaba revisando sus 10 principales prioridades para su nuevo trabajo para tener en cuenta las circunstancias radicalmente cambiadas.<\/p>\n

Pocos directores ejecutivos experimentan un ciberbautismo de fuego de este tipo, lo que llev\u00f3 a EE. UU. a establecer un grupo de trabajo de alto nivel para coordinar su respuesta. Incluso menos responder\u00edan tan fr\u00edamente. Para los l\u00edderes, los ataques cibern\u00e9ticos \u201cparecen ser mucho m\u00e1s personales [and] emocional\u201d que otras crisis, seg\u00fan Michael Smets, profesor de administraci\u00f3n en la Escuela de Negocios Sa\u00efd de Oxford.<\/p>\n

Incluso un ataque fingido puede llevar a los ejecutivos al l\u00edmite. La C\u00e1mara de Ciberseguridad de Luxemburgo realiza un intenso ejercicio de una hora para l\u00edderes empresariales, llamado Habitaci\u00f3n #42<\/a>, para promover la resiliencia ante las ciberamenazas. Dos veces, los ejecutivos han \u201cperdido el control\u201d, incluso gritando a sus colegas, dice Pascal Steichen, quien dirige la unidad de resiliencia cibern\u00e9tica.<\/p>\n

Tales respuestas pueden reflejar un abismo expuesto en un informe reciente<\/a> que Smets y otros prepararon para Istari, la empresa de gesti\u00f3n de riesgos cibern\u00e9ticos propiedad de Temasek de Singapur. Los 37 directores ejecutivos entrevistados para el estudio dijeron que la responsabilidad se detuvo en la seguridad cibern\u00e9tica, pero casi las tres cuartas partes se sintieron inc\u00f3modos al tomar decisiones al respecto.<\/p>\n

Lo que es obvio es que la amenaza va en aumento. Desde el hackeo de SolarWinds de 2020, denominado Sunburst, los piratas inform\u00e1ticos lograron desconectar la red Colonial Pipeline con una demanda de ransomware, lo que provoc\u00f3 escasez de gasolina en partes de los EE. servicios postales internacionales. Este mes, USS, el mayor plan de pensiones del sector privado del Reino Unido, advirti\u00f3 que los datos personales de unos 470.000 miembros podr\u00edan haber estado expuestos a un ataque cibern\u00e9tico contra el grupo de subcontrataci\u00f3n Capita.<\/p>\n

\n
\n

Mejoras continuamente, pero nunca est\u00e1s completamente seguro. No trabajas desde una posici\u00f3n de miedo, sino de constante aprendizaje y mejora constante.<\/p>\n<\/p><\/div>\n<\/blockquote>\n

Como se\u00f1alan los expertos, la pirater\u00eda es una amenaza asim\u00e9trica. \u201cLos atacantes solo tienen que hacerlo bien una vez\u201d, dice Kelly Richdale, directora de la junta y asesora en seguridad cibern\u00e9tica. Steichen dice que el simulador de Luxemburgo, que buscar\u00e1 las fallas en los sistemas de una empresa, se basa en las salas de escape populares, excepto que “no puedes escapar, solo puedes fallar”. <\/p>\n

Los l\u00edderes senior se dan cuenta cada vez m\u00e1s de que si ning\u00fan sistema est\u00e1 completamente protegido contra intentos de infracciones, entonces no es suficiente centrarse solo en las respuestas tecnol\u00f3gicas. Los expertos dicen que los directores ejecutivos no deben transferir la responsabilidad a su director de seguridad de la informaci\u00f3n, ni siquiera a su comit\u00e9 de auditor\u00eda. En cambio, deber\u00edan tratar los ataques cibern\u00e9ticos como un problema estrat\u00e9gico, que debe manejarse al m\u00e1s alto nivel. Si se aborda adecuadamente como un problema de gesti\u00f3n de riesgos, la amenaza tambi\u00e9n puede ser una oportunidad para identificar operaciones estrat\u00e9gicamente importantes e incluso para mejorar el negocio en su conjunto. <\/p>\n

\u201cMejoras continuamente, pero nunca est\u00e1s completamente seguro\u201d, dice Ramakrishna de SolarWinds. \u201cNo se trabaja desde una posici\u00f3n de miedo, sino de constante aprendizaje y mejora constante.\u201d <\/p>\n

Los reguladores han ayudado a poner la seguridad cibern\u00e9tica firmemente en la agenda de la sala de juntas. La Comisi\u00f3n de Bolsa y Valores de EE. UU., el Banco de Inglaterra y el Banco Central Europeo se encuentran entre los reguladores que aumentaron su enfoque en la resiliencia cibern\u00e9tica en el \u00faltimo a\u00f1o. Por ejemplo, una propuesta de la SEC requerir\u00eda que las empresas p\u00fablicas revelen la experiencia en seguridad cibern\u00e9tica de los directores “si la hay”. \u201cNo todos [board] el miembro tiene que ser un experto en riesgo financiero, pero tiene que ser capaz de leer una hoja de c\u00e1lculo o un P&L [profit and loss account]\u201d, se\u00f1ala Richdale. Del mismo modo, “la junta debe estar versada en los conceptos b\u00e1sicos de los ataques cibern\u00e9ticos y los conceptos digitales”, un nivel de conocimiento que, seg\u00fan ella, falta en muchas empresas.<\/p>\n

Alcanzar, o contratar, este nivel de experiencia es m\u00e1s f\u00e1cil para las empresas m\u00e1s grandes, agrega Mitchell Scherr de la empresa de seguridad cibern\u00e9tica Assured Cyber \u200b\u200bProtection: \u201cEn las medianas empresas, la junta no sabe qu\u00e9 preguntas hacer y la gente de tecnolog\u00eda no sabe qu\u00e9 proporcionar a la junta\u201d. <\/p>\n

Esta brecha es particularmente peligrosa porque a menudo son las peque\u00f1as y medianas empresas las que sin darse cuenta abren la puerta trasera de objetivos m\u00e1s grandes a los piratas inform\u00e1ticos, a trav\u00e9s de los llamados “ataques de la cadena de suministro”. Sunburst fue un ejemplo cl\u00e1sico, aunque particularmente sofisticado, porque el software de SolarWinds hab\u00eda sido instalado por muchos clientes (aunque la compa\u00f1\u00eda estima que menos de 100 empresas privadas y nueve agencias federales fueron el objetivo). Otro fue el ataque del a\u00f1o pasado a la aseguradora de salud australiana Medibank. All\u00ed, los piratas inform\u00e1ticos obtuvieron acceso a los datos de los clientes con un nombre de usuario y una contrase\u00f1a robados y utilizados por un proveedor externo de servicios de tecnolog\u00eda de la informaci\u00f3n. Richdale dijo: \u201cEl per\u00edmetro de la cibern\u00e9tica [security] se ha expandido.”<\/p>\n

\n\t\t\t\t<\/source><\/source><\/source><\/source><\/picture>
\n

\t\t\t\tSudhakar Ramakrishna, quien comenz\u00f3 su mandato como director ejecutivo de SolarWinds en medio de un ataque cibern\u00e9tico, dice que aprendi\u00f3 que “no puedes resolver todos los problemas por ti mismo” \u00a9 Demetrius Freeman-Pool\/Getty Images
\n\t\t\t<\/figcaption><\/figure>\n

Esto pone el problema directamente sobre el escritorio de los directores ejecutivos, cuyo papel es mantener una visi\u00f3n estrat\u00e9gica de los riesgos y oportunidades que cubra toda la red de suministro. Los directores ejecutivos y las juntas tambi\u00e9n est\u00e1n mejor posicionados para evaluar el riesgo reputacional. Los expertos advierten que los l\u00edderes est\u00e1n en una mejor posici\u00f3n que los CISO para identificar las “joyas de la corona”: activos u operaciones estrat\u00e9gicamente importantes que necesitan el m\u00e1s alto nivel de protecci\u00f3n. Para un hotel, podr\u00edan ser los datos del pasaporte de los hu\u00e9spedes; para un spa, podr\u00edan ser los datos de salud de los clientes; para un fabricante, podr\u00eda ser propiedad intelectual. Scherr recuerda a una empresa china que hacke\u00f3 el sistema de una empresa nueva con el pretexto de pedir sus productos. El atacante copi\u00f3 la t\u00e9cnica innovadora del objetivo y comenz\u00f3 a fabricar y vender los mismos art\u00edculos a una cuarta parte del precio. Una vez que las empresas han abordado los principales riesgos, pueden pasar a cubrir cualquier riesgo residual con ciberseguros.<\/p>\n

Manuel Hepfer de Istari dice que el impulso hacia una mayor resiliencia cibern\u00e9tica tambi\u00e9n puede ofrecer oportunidades para optimizar los procesos. \u201cEl CIO se present\u00f3 en una reuni\u00f3n ejecutiva y nos pregunt\u00f3 cu\u00e1ntos servidores cre\u00edamos que ten\u00eda la empresa\u201d, dijo un director ejecutivo a Istari. \u201cLa estimaci\u00f3n m\u00e1s baja en la sala era cuatro, la m\u00e1s alta 250. La realidad era m\u00e1s de 4.000. Eso fue un incentivo para que todos entendi\u00e9ramos m\u00e1s. Nos dimos cuenta de que gastamos millones cada a\u00f1o en este tipo de tecnolog\u00eda, pero realmente no lo entendemos\u201d.<\/p>\n

Istari identific\u00f3 una \u201cparadoja de preparaci\u00f3n\u201d. Las empresas que dijeron que estaban mejor posicionadas para resistir un ataque cibern\u00e9tico ten\u00edan menos probabilidades de estar preparadas. Los l\u00edderes cuyas empresas hab\u00edan sido pirateadas ya dijeron que hab\u00edan podido reconstruir mejor, lo que Smets de Oxford compara con el arte japon\u00e9s de kintsugi<\/em>reparando cer\u00e1mica rota con oro.<\/p>\n

Ramakrishna dice que ha reconstruido la cultura de SolarWinds sobre la base de la transparencia, la colaboraci\u00f3n y la humildad. \u201cNo vas a ser capaz de resolver todos los problemas por ti mismo. Es posible que necesite la ayuda de la comunidad\u201d, dice. Cuando se le pide que asesore a otras juntas, las insta a adoptar el mismo “sesgo de transparencia” que utiliza SolarWinds y a compartir el conocimiento de un ataque cibern\u00e9tico con su red m\u00e1s amplia.<\/p>\n

Hasta qu\u00e9 punto colaborar con los rivales en una crisis es una decisi\u00f3n que solo el director ejecutivo y la junta pueden tomar. La mayor\u00eda yerra por el lado del secreto. Steichen de Luxemburgo dice que el 70 por ciento de las empresas que han ejecutado una simulaci\u00f3n de Room#42 no buscan ayuda externa para manejar una crisis cibern\u00e9tica. \u201cNuestro lema general es: ‘No sufras en silencio’\u201d, dice.<\/p>\n

El mantra de SolarWinds es “seguro por dise\u00f1o”. Ramakrishna describe esto como un \u201cproyecto para siempre\u201d. \u00bfPodr\u00eda volver a ocurrir un ataque al estilo Sunburst? Ramakrishna apunta a las recientes brechas de empresas “empapadas en seguridad”, como Microsoft, cuyo programa de correo electr\u00f3nico Exchange fue atacado por supuestos piratas inform\u00e1ticos chinos en 2021: “Le podr\u00eda pasar a SolarWinds, a cualquier otra empresa, sin importar su tama\u00f1o, alcance, activos”. \u201d, dice Ramakrishna. \u201cLo que podemos hacer es trabajar juntos para reducir la probabilidad\u201d.<\/p>\n<\/div>\n


\n
ttn-es-56<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Tres d\u00edas despu\u00e9s de haber sido designado para dirigir el grupo de software estadounidense SolarWinds, Sudhakar Ramakrishna recibi\u00f3<\/p>\n","protected":false},"author":1,"featured_media":760787,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[18041,702,6370,440,3453,23127,6780,36,8224,2525,1956,158,979],"class_list":["post-760786","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-general","tag-atacantes","tag-bien","tag-ciberseguridad","tag-como","tag-hacerlo","tag-irrumpio","tag-juntas","tag-los","tag-sala","tag-solo","tag-tienen","tag-una","tag-vez"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/760786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=760786"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/760786\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/760787"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=760786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=760786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=760786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}