Cinco pasos para una supervisión y una acción cibernéticas más sólidas: Realización de ejercicios prácticos para su junta directiva

5 de diciembre de 2024•7 minutos de lectura

Realización de ejercicios prácticos sobre ciberseguridad para su junta directiva

Si un ciberataque dejara fuera de servicio sus operaciones, ¿qué tan sólido es su plan de continuidad comercial? ¿Está su equipo preparado para transmitir los mensajes correctos sobre el riesgo reputacional y la pérdida de ingresos?

Si un cibercriminal retiene datos de clientes o empleados para pedir un rescate, ¿cómo afectará una filtración al cumplimiento normativo? Y lo que es igualmente importante, ¿los planes de pago se ajustan a su póliza de seguro cibernético?

En el panorama actual de ciberseguridad, caracterizado por mayores riesgos y graves repercusiones, las juntas directivas suelen asumir la culpa de los errores y contratiempos. Es necesario estar preparado para cualquier cosa, y ahí es donde entran en juego los ejercicios prácticos.

Estas pruebas de estrés presenciales y de alta intensidad ofrecen una oportunidad para practicar los próximos pasos y la recuperación a corto plazo en un entorno libre de riesgos. Los debates que siguen revelan debilidades y brechas críticas para la resiliencia a largo plazo. Pueden orientar las decisiones estratégicas sobre la asignación de recursos y generar confianza en las partes interesadas al demostrar la seriedad con la que usted toma el riesgo, la seguridad de los datos y sus responsabilidades fiduciarias.

Los ejercicios de simulación son una inversión. Requieren el tiempo y la atención de algunas de las figuras más importantes de su organización. Sin embargo, los beneficios de realizar ejercicios de simulación con regularidad superan con creces los costos; si ocurre un incidente real, su empresa sabrá exactamente quién debe hacer qué y cuándo. Esta preparación puede ayudar a reducir la intensidad de una situación potencialmente catastrófica.

Los ejercicios prácticos en tiempo real brindan una perspectiva única y desde afuera sobre la ciberseguridad, lo que ayuda a las juntas directivas a detectar vulnerabilidades que de otro modo pasarían por alto. A continuación, se incluye una guía de cinco pasos para realizar ejercicios prácticos productivos.

Cinco pasos para una supervisión y una acción cibernéticas más sólidas: Realización de ejercicios prácticos para su junta directiva

1. Establecer el quién, dónde y cuándo

Cualquier ejercicio de mesa comienza con reunir a las personas adecuadas en la mesa.

Para probar la preparación de su organización en materia de ciberseguridad, su lista de invitados debe incluir al menos a estos actores clave:

  • El CISO que lidera la respuesta a incidentes
  • El CEO supervisa todo y mantiene informada a la junta.
  • Asesoría legal general y externa que garantiza que la organización cumpla con los requisitos legales, coordina con las autoridades y asesora sobre todas las comunicaciones.
  • Un CMO, un profesional de comunicaciones y/o un profesional de relaciones con inversores para gestionar las solicitudes de los medios y coordinar las comunicaciones.
  • Los miembros de la junta deben hacer preguntas, revisar informes y brindar supervisión, y en última instancia, brindar la respuesta de alto nivel de la organización al incidente.
  • El presidente de la junta directiva debe identificar el apetito de riesgo de la organización y aprobar las comunicaciones con los principales inversores, accionistas y clientes.

Jugadores de equipo de ciberseguridad para organizaciones impulsadas por una misión

Las organizaciones sin fines de lucro, las organizaciones benéficas, los gobiernos locales y las instituciones educativas incluirán funciones y responsabilidades similares en sus ejercicios prácticos, pero con títulos diferentes. Para asegurarse de que su organización tenga una representación integral, agregue lo siguiente a las listas de su equipo:

  • Miembro del consejo, secretario y administrador de la ciudad para juntas municipales
  • Superintendente, presidente, director y administrador de escuelas y distritos.
  • Fideicomisarios y miembros voluntarios de juntas directivas de organizaciones sin fines de lucro, fundaciones y organizaciones benéficas

Durante el ejercicio, estos participantes desempeñan sus funciones y responsabilidades habituales, analizando e iniciando acciones en respuesta a la emergencia simulada. Los facilitadores moderan las interacciones y desempeñan el papel de todas las fuerzas externas, respondiendo preguntas y proporcionando actualizaciones sobre la situación simulada. Los facilitadores también pueden traer expertos en la materia u observadores para brindar realismo y apoyo adicionales.

Un miembro vital del equipo, pero que a menudo se pasa por alto: los encargados de tomar notas. Deben estar equipados con lápiz y papel o una computadora portátil completamente cargada para documentar las discusiones y actividades para futuras referencias.

Una vez que haya decidido quién debe asistir, establezca una hora y un lugar. Reserve hasta dos horas, idealmente en una sola reunión, y preste atención a las zonas horarias de los participantes al programar la reunión. Prepare una sala de reuniones con las capacidades audiovisuales necesarias y conectividad de alta velocidad, y tenga en cuenta la accesibilidad tanto para los asistentes presenciales como para los virtuales.

Por último, reúna los materiales que necesitarán los participantes durante el ejercicio. Probablemente, estos incluyan una copia de la póliza de seguro cibernético de su organización, planes de respuesta a incidentes y continuidad comercial y plantillas para comunicaciones en situaciones de crisis.

2. Crea tu escenario

Ahora es el momento de diseñar el corazón del ejercicio: las amenazas simuladas a las que su junta directiva y sus líderes deberán responder.

El evento debe comenzar con una forma plausible de alerta de emergencia, que puede ser una llamada telefónica que informe sobre una filtración de datos o un correo electrónico que identifique una actividad inusual en la red. Piense en las amenazas probables y de tendencia en su sector y aproveche situaciones del mundo real y experiencias vividas, incluida la experiencia de las pymes.

Los elementos del ataque se desarrollan en fases, como probablemente ocurriría en una vulneración de la seguridad cibernética real. Las etapas más comunes incluyen:

  • El incidente en sí
  • La investigación
  • Evaluación del impacto: en el cumplimiento normativo, la reputación, los ingresos y más
  • “Inyecciones” de nuevos desarrollos, como una solicitud de rescate después de una violación de datos o una nueva preocupación de cumplimiento después de conocer la procedencia de su atacante (¿está la empresa o jurisdicción en una lista de sanciones?) o el tipo de datos que se filtraron
  • Respuesta y recuperación

Por último, incorpore “verificaciones de conocimientos” rápidas en todo el curso, como preguntas de opción múltiple o listas de verificación del tipo “seleccione todas las opciones que correspondan”. Estas evalúan el aprendizaje y el progreso.

Como señala Nathan Mains, director ejecutivo de la Asociación de la Junta Escolar de Pensilvania, “Es la capacidad de tener ahora un sistema… un enfoque muy consistente, y poder ir y reiniciar y volver atrás, y el sistema reaccionará de manera diferente a medida que aprendes como participante en la vida real, de modo que puedas ver cómo has aprendido a hacer esos cambios”.

3. Pon el ejercicio en acción

Una vez que el plan y los componentes están listos, ¡es hora de empezar! Aunque estos escenarios son ficticios, pida a los participantes que actúen como si los hechos estuvieran sucediendo realmente. Fomente la comunicación abierta y la participación activa: pida aclaraciones, cuestione suposiciones y más.

El encuadre es importante para el valor a largo plazo del ejercicio. Asegure a los participantes que se trata de una experiencia de aprendizaje, no de un juego de acusaciones. Deben estar preparados para cometer errores e identificar lagunas: para eso está esta experiencia y es mejor encontrarlas ahora en lugar de durante un incidente real.

4. Habla sobre cómo fue todo.

La revisión posterior a la acción es su oportunidad de analizar lo que salió bien, los desafíos que encontró y las áreas que necesitan mejoras. Algunas lecciones clave que su equipo podría extraer incluyen respuestas a las siguientes preguntas:

  • ¿La sesión informativa del CISO incluyó toda la información necesaria y los miembros de la junta formularon las preguntas correctas en respuesta?
  • ¿Qué tan bien se comunican y coordinan los departamentos durante todo el proceso de respuesta? ¿Faltan pasos en sus procesos o eslabones en la cadena de mando?
  • ¿Están actualizados y a la altura de los desafíos los planes de respuesta a incidentes, continuidad de negocios y comunicación? ¿Hay lagunas que llenar o modificaciones que hacer?

5. Pon en práctica tus aprendizajes

Con demasiada frecuencia, las organizaciones realizan un ejercicio de simulación y dejan enseñanzas valiosas en las notas del evento. Otras veces, no implementan los cambios necesarios en sus planes de respuesta, recuperación y comunicación hasta que es demasiado tarde.

Por este motivo, considere los ejercicios prácticos como un proceso continuo, no como una tarea única o un elemento independiente que debe tachar de su lista de tareas pendientes. Incorpore los hallazgos en sus políticas y procedimientos. Utilice la retroalimentación para orientar futuras inversiones y mejoras. Y actualice periódicamente sus escenarios para reflejar las amenazas y tecnologías en evolución.

Últimos noticias

La nueva edición 2024 ya está aquí con los temas más relevantes para líderes y especialistas.

¿Te gustaría volver a disfrutar de las charlas más destacadas del evento?
Escríbenos a: marketing@interop-la.com