Las organizaciones de hoy en día están compuestas por una malla de terceros e individuos, además de miles de dispositivos IoT, todos con diversos grados de acceso a datos y sistemas. El trabajo remoto se ha sumado a esta fragmentación, con una fuerza de trabajo dispersa que opera desde oficinas en el hogar geográficamente dispersas; un entorno muy diferente a la cómoda seguridad del bloque de oficinas corporativas.
Si un atacante malicioso en una parte del mundo puede cerrar una fábrica o un puerto a miles de kilómetros de distancia, o derribar el sitio web de un cliente de un banco global, entonces la seguridad cibernética debe adaptarse a estas amenazas. Abid Adam, director de Riesgos y Cumplimiento de Axiata, enfatiza que "se trata de algo más que su propia organización; el tejido de las naciones, de la sociedad en general, puede verse amenazado y socavado si una gran compañía de telecomunicaciones cae por un par de horas. Tenemos que integrar la seguridad mediante el diseño y lograr una mayor capacidad de recuperación".
Como demostró la pandemia, la resiliencia es un tema importante, y los CISO y sus equipos deben participar en la planificación de la respuesta y la continuidad del negocio, para ayudar a garantizar que las organizaciones puedan reaccionar y recuperarse ante los ciberincidentes, como parte de una estrategia integral y cohesiva.
Todo ello amplía las responsabilidades de la CISO a la capacidad de recuperación digital y operativa. Los datos se han convertido en el nuevo petróleo, posiblemente más valiosos que los activos físicos, como comenta Andy Powel, CISO de la naviera Maersk: “Necesitamos convertirnos en un negocio digital, un negocio digital que mueve cajas, en lugar de viceversa. Los mercados más grandes proceden de plataformas digitales orientadas al cliente”. Pero una dependencia cada vez mayor de los datos ejerce una presión adicional sobre los CISO para proteger este valioso recurso.
Mientras tanto, la regulación de la privacidad se está convirtiendo en una compleja red de obligaciones transnacionales, con regulaciones como el Reglamento General de Protección de Datos (GDPR) en Europa que establecen requisitos sobre cómo se maneja la información personal de las personas mucho más allá de esa geografía. Las fugas de información pueden afectar la reputación de una empresa, dar lugar a multas y otras sanciones, lo que requiere que el CISO trabaje en asociación con el Director de Datos (CDO) y el Director de Privacidad (CPO) para gestionar el riesgo de incumplimiento.
Es una historia similar con resiliencia. La propuesta de Ley Europea de Resiliencia Operativa Digital (DORA) obligará a las empresas de servicios financieros a demostrar su capacidad de mantener operaciones resistentes ante graves perturbaciones operativas.
Los equipos de seguridad cibernética deben centrarse en los problemas de datos y resiliencia. Incorpore los principios de privacidad y cultura de seguridad, y estarán bien situados para cumplir con las obligaciones de cumplimiento, ahora y en el futuro.
Desarrollo de nuevas habilidades y redes
Abordar el desafío
A medida que se amplía el alcance de su función, los CISO deben considerar cómo trabajan con otros ejecutivos de datos y resiliencia, y cómo se adaptan a sus nuevas responsabilidades —formal o informalmente.
Incorporación de la resiliencia digital
Hay una confluencia de las funciones de CISO, Director de Riesgos (CRO) y el Oficial Jefe de Seguridad. A medida que la seguridad cibernética madura, se espera que aumenten los controles técnicos de seguridad integrados en los procesos del CIO, y muchos CISO asumen un papel más estratégico que se ajusta menos cómodamente a su línea de informes tradicional para el CIO. Algunos de los CISOS con los que hablaron los profesionales de KPMG han asumido el rol emergente de Director de Resiliencia; Esta es una nueva posición corporativa que adopta una visión holística de la resiliencia de la organización a todas las formas de estrés o perturbación, maliciosa o accidental.
La resiliencia consiste en entablar una conversación sobre el impacto empresarial de una interrupción y cómo planificamos estos eventos. Esto se convierte en una conversación interesante, porque la redundancia cuesta dinero, así que ¿cuánto está dispuesto a invertir y vale la pena para evitar el tiempo de inactividad?
Este rol de resiliencia reúne diversas disciplinas como la continuidad del negocio, la recuperación ante desastres, la seguridad física y de la información, junto con la gestión de incidentes y crisis.
Otros consideran que esto es un paso demasiado lejos, ya que consideran que el papel diluye el enfoque necesario en la seguridad cibernética, con un papel combinado de CISO y Director de Resiliencia que es demasiado exigente para un solo individuo. Emma Smith, Directora global de ciberseguridad de Vodafone, está de acuerdo con este enfoque, diciendo: "Las áreas de riesgo cubiertas en seguridad, privacidad y resiliencia son amplias. Dirigir la estrategia y gestionar los aspectos operativos de todas estas funciones puede requerir diferentes enfoques y, a veces, estas áreas pueden entrar en conflicto. Creemos que hay beneficios comerciales de mantener las funciones organizacionalmente separadas, estratégicamente alineadas y con una verdadera colaboración".
Hay dos puntos en los que puedes intentar resolver un problema, antes o después de que ocurra, ¡y mi trabajo es resolverlo antes! Junto con esto, regularmente analizamos los peores escenarios y hacemos una evaluación de cuál sería el impacto en nuestra organización. Buscamos estar siempre preparados para riesgos extremos. Nuestro enfoque consiste en asumir que estos eventos ocurrirán y garantizar que SWIFT sea lo más resistente posible.
Protección de los datos
A medida que cada empresa se convierte en una empresa de datos, el debate continúa sobre los límites de la explotación de datos personales y la privacidad. Las empresas quieren aprovechar al máximo los datos, lo que significa ser libres de extraer y compartir información con terceros. Pero también tienen que preservar la integridad de los datos y cumplir con los estándares regulatorios. En empresas como Maersk, el CISO disfruta de una estrecha relación con el Chief Data Officer (CDO), donde este último establece estándares de datos y el CISO crea herramientas para ayudar a asegurar los datos, con el Chief Privacy Officer (CPO) o el Data Protection Officer (DPO) ayudando a asegurar el cumplimiento normativo.
Lucha contra el fraude y la delincuencia financiera
Los CISO pueden aportar información única a la mente del ciberdelincuente y las tácticas que emplean, así como sus propios contactos y relaciones con la seguridad cibernética nacional, la inteligencia de amenazas y los organismos de aplicación de la ley. Estas habilidades y conocimientos son vitales para la lucha contra el fraude, trabajando en estrecha colaboración con los equipos de prevención del fraude (otra asociación clave) para contrarrestar la delincuencia cibernética.
Mentalidad amplia y colaborativa
Pensamiento de KPMG
Con más en sus platos, muchos CISO se están convirtiendo en colaboradores, construyendo relaciones simbióticas con el CDO, CRO, CTO, CIO y otros. Pero para que estas relaciones sean efectivas — y para sacar las conversaciones de los silos — debe haber responsabilidades definidas y una estructura de gobierno clara para evitar la duplicación, junto con la voluntad de todas las partes de reconocer las fortalezas de cada una y su contribución única al éxito empresarial.
Un papel más amplio también requiere una mentalidad más amplia, para tratar de apreciar todo el impacto comercial de los incidentes cibernéticos. Los CISO se están moviendo más allá de proteger y detectar, para comprender cómo hacer que el negocio vuelva a funcionar rápidamente después de una crisis, así como para ayudar al CEO a preservar la confianza con los clientes, proveedores y reguladores.
Ya sea que asuman el papel de Director de Resiliencia o trabajen más estrechamente con esta persona, deben adoptar un enfoque pragmático y con mentalidad empresarial, conservando al mismo tiempo su propia integridad y profesionalismo. Muchas organizaciones poseen enormes cantidades de datos nuevos y heredados; la gestión de esto requiere una amplia colaboración entre el CISO, CDO, CTO y Chief Data Privacy Officer (CDPO), tanto para utilizar los datos para impulsar el crecimiento, como para mantenerlos seguros y privados.
Este es especialmente el caso de las empresas globales en un panorama regulatorio cada vez más fragmentado, con diferentes jurisdicciones que aplican reglas estrictas sobre el uso de datos que emanan dentro de sus fronteras o provienen de sus ciudadanos. Los CISO tienen un papel clave que desempeñar para ayudar a automatizar el cumplimiento normativo, adaptar los controles a los diferentes requisitos nacionales y racionalizar la presentación de informes. Por supuesto, también podemos esperar ver un crecimiento en el uso de la tecnología de supervisión (suptech) por parte de los reguladores también.
Las industrias están siendo interrumpidas y los CISO deben tener una visión del ecosistema cambiante, o de lo contrario enfrentarse a la obsolescencia. Las telecomunicaciones, por ejemplo, solían tratarse de obtener una conexión telefónica; ahora hay más preocupación por el fraude digital de las aplicaciones de banca en línea. Los profesionales de la seguridad cibernética deben adaptarse a estos y otros nuevos desafíos — como los datos y la resiliencia — para tener una visión de alto nivel de los riesgos en todo el negocio.
Explore more articles from this report
Contáctenos
- Encontrar ubicación de oficinas kpmg.findOfficeLocations
- kpmg.emailUs
- Redes sociales @ KPMG kpmg.socialMedia
El correo que ha ingresado está vinculado a una cuenta existente. Por favor, acceda.
Las publicaciones de KPMG siempre están disponibles para nuestros usuarios registrados
Las publicaciones de KPMG siempre están disponibles para nuestros usuarios registrados.
Si desea más información, no dude en contactarse con nosotros.
Por favor diligencie la siguiente información para acceder al contenido.