Cómo los CIO resilientes se preparan para el futuro y mitigan los riesgos

Este año surgieron riesgos derivados de la inteligencia artificial, interrupciones catastróficas como el incidente de CrowdStrike y la superación de las fragilidades de la cadena de suministro de software, así como el riesgo de que los ciberataques y la computación cuántica rompan los algoritmos de cifrado más avanzados de la actualidad. En el clima incierto actual, todas las empresas, independientemente de su tamaño, son propensas a sufrir interrupciones.

“Durante el último año, el enfoque en la gestión de riesgos ha evolucionado significativamente”, afirma Meerah Rajavel, CIO de Palo Alto Networks. “Con la creciente sofisticación de las amenazas cibernéticas y el ritmo acelerado de la transformación digital, las organizaciones deben ser más proactivas a la hora de identificar y mitigar los riesgos”.

Para responder a esta situación, los CIO están redoblando sus esfuerzos en pos de la resiliencia organizacional. “Es un imperativo empresarial”, afirma Juan Pérez, CIO de Salesforce. “Los CIO deben vincular las inversiones en resiliencia con resultados tangibles, como la protección de datos, el cumplimiento normativo y la preparación para la IA”. Los marcos de resiliencia tienen un retorno de la inversión medible, pero requieren un enfoque holístico basado en plataformas para reducir las amenazas y guiar el uso seguro de la IA, añade.

Otros coinciden en que el cambiante panorama de amenazas está llamando la atención y exigiendo tácticas novedosas. “La gestión de riesgos está recibiendo cada vez más atención de los directivos y los ejecutivos, e incluso los marcos de riesgo bastante modernos están demostrando ser inadecuados”, añade Ralph Loura, exdirector de Sistemas de Información y vicepresidente sénior de Lumentum, Hewlett-Packard y The Clorox Company, entre otros. “Los directores de Sistemas de Información y de Seguridad de la Información deben mantenerse hipervigilantes y agresivos a la hora de adoptar nuevos marcos y herramientas”.

Los CIO están afrontando estos desafíos de frente mediante el diseño de estrategias integradas de resiliencia para preparar a sus organizaciones para el futuro. Esto implica establecer barreras de contención en torno a la IA, realizar ejercicios de capacitación ante desastres, mitigar amenazas de terceros y más. Sin embargo, los CIO aún deben demostrar resultados mensurables y comunicar estos imperativos a la alta dirección para asegurar la inversión.

Por qué es vital la gestión de riesgos

Los riesgos en la TI empresarial han evolucionado significativamente durante el último año, lo que exige un énfasis en los planes de resiliencia a corto y largo plazo que abarcan múltiples áreas. De estos, la IA está en la mente de muchos CIO. “La IA es una herramienta poderosa que puede impulsar la innovación, mejorar la toma de decisiones y agilizar las operaciones”, dice Rajavel. “Sin embargo, como la IA está profundamente integrada en los procesos comerciales, también abre nuevas superficies de ataque y vulnerabilidades”. Reforzando esta afirmación, uno de cada cuatro ejecutivos de TI del Estudio de prioridades de IA de 2023 cree que su organización está avanzando demasiado rápido cuando se trata de implementar IA de última generación.

Después de todo, la IA conlleva nuevos riesgos, lo que requiere más evaluaciones y límites más claros para los agentes de IA. Según Pérez, de Salesforce, si bien la IA ofrece muchas oportunidades, también introduce complejidad para los CIO, incluidas consideraciones de seguridad, gobernanza y cumplimiento normativo. “El trabajo de un CIO es priorizar la privacidad y el uso ético de los datos, y garantizar que la innovación no supere las salvaguardas”, afirma. “Me recuerda a los primeros días de la ciberseguridad, cuando las evaluaciones rigurosas garantizaban que el software cumpliera con los estándares de la empresa. Las evaluaciones de IA seguirán su ejemplo”.

Otro factor innegable es la imprevisibilidad de los acontecimientos globales. “La pandemia ha subrayado aún más la importancia de la resiliencia, lo que ha llevado a los CIO a priorizar no solo la gestión de riesgos inmediata, sino también las estrategias de resiliencia a largo plazo”, afirma Rajavel. “Este cambio garantiza que las empresas puedan soportar las interrupciones y continuar con sus operaciones sin problemas, manteniendo la confianza y la estabilidad en tiempos de incertidumbre”.

Además, la cadena de suministro de software también se ve cada vez más amenazada. “Este año, los líderes en seguridad y tecnología han aumentado su atención a los riesgos asociados con proveedores externos y partes interesadas en la cadena de suministro”, afirma Dave Stapleton, CISO de ProcessUnity. Estos riesgos se derivan principalmente de códigos vulnerables e interrupciones originadas por dependencias de terceros.

En este sentido, el décimo informe anual sobre el estado de la cadena de suministro de software de Sonatype reveló un aumento del 156% en los paquetes maliciosos en comparación con el año anterior. Y, si bien el 99% de los paquetes tienen versiones actualizadas disponibles, el 80% de las dependencias de las aplicaciones permanecen sin actualizar durante más de un año. Probablemente, como resultado, se estima que los mercados de gestión de riesgos de terceros (TPRM) y gestión de riesgos de la cadena de suministro (SCRM) crecerán a una tasa compuesta anual de crecimiento (CAGR) del 10 al 15% en los próximos años.

Además de estos riesgos, las filtraciones de datos, los ataques de ransomware y las interrupciones globales inesperadas pueden causar graves daños a las iniciativas de misión crítica, sin importar el tamaño o el sector de la empresa, afirma Arvind Nithrakashyap, cofundador y director de Tecnología de la empresa de ciberseguridad Rubrik. “Para abordarlos, está claro que las organizaciones deben centrarse en la resiliencia cibernética”.

Prepararse para el futuro y mejorar la resiliencia

De la misma manera que se recomienda a los propietarios de viviendas que cuenten con un kit de preparación para desastres, las organizaciones también deberían planificar los desastres y practicar cómo responder ante ellos. “Si aún no lo han hecho, los CIO deberían priorizar la planificación de escenarios de desastres”, afirma Nithrakashyap. Parte de esto implica tener una estrategia de seguridad de datos sólida y protocolos de remediación cuando ocurre un incidente.

Cuando las organizaciones se enfrentan a tiempos de inactividad inesperados, los líderes de TI y de negocios deberían verlo como un ensayo general para un ciberataque a gran escala, agrega. “La conversación no debería centrarse solo en la prevención, sino en fomentar la resiliencia al contar con la tecnología y los procesos adecuados para limitar los daños cuando suceda lo inevitable”.

Para protegerse de los riesgos de la IA, los CIO consideran que es necesaria una estrategia de seguridad integrada para mejorar la solidez de la TI. “Teniendo en cuenta que más de la mitad de los proveedores de tecnología planean destinar I+D e inversiones a la IA y la automatización hasta 2026, es fundamental desarrollar la resiliencia de la TI”, afirma Rajavel. “Los CIO deben alinear las operaciones con estos nuevos casos de uso y, al mismo tiempo, garantizar que sus equipos puedan respaldar las transformaciones digitales en toda la empresa”.

La planificación de la resiliencia también requerirá mantenerse actualizado sobre los nuevos marcos de seguridad del NIST y mantener una colaboración continua con los líderes de seguridad. “Nadie tendrá éxito como lobo solitario en este aspecto”, afirma Loura, quien alienta a los CIO a establecer contactos con colegas y proveedores de seguridad y a abordar los cambios de manera proactiva a medida que evoluciona el panorama de amenazas.

Cómo están actuando los CIO

Los CIO están abogando por iniciativas específicas para mejorar la resiliencia dentro de sus organizaciones. Por ejemplo, el Consejo de IA interno de Salesforce, compuesto por líderes multifuncionales, se reúne para discutir las inversiones en IA y las consideraciones éticas. “El Consejo se reúne periódicamente para evaluar las necesidades de la empresa, y los empleados pueden presentar nuevas ideas de IA para su consideración”, afirma Pérez, quien añade que esto está ayudando a Salesforce a equilibrar la innovación con la adopción responsable de herramientas de IA.

Otros CIO han redoblado sus esfuerzos en la transformación de las operaciones de seguridad y las herramientas de prueba para mejorar la visibilidad de los riesgos potenciales. Rajavel comparte que Palo Alto Networks ha llevado a cabo una importante iniciativa centrada en la resiliencia al transformar su centro de operaciones de seguridad (SOC) con detección continua de amenazas reforzada por ML.

“Nuestro SOC se dedica a proteger a nuestros propios empleados e infraestructura, y es responsable de la monitorización de amenazas, la búsqueda de amenazas y la respuesta a incidentes, lo que protege a miles de usuarios, cientos de miles de puntos finales de servidores y una vasta infraestructura local y en la nube”, afirma Rajavel. Estas mejoras están ayudando a gestionar incidentes urgentes con alertas automatizadas y permiten a los analistas realizar una búsqueda de amenazas más proactiva.

Más allá de la detección de amenazas, es esencial sopesar el impacto de las posibles interrupciones. Stapleton comenta que ProcessUnity lleva a cabo revisiones anuales del impacto empresarial con equipos ejecutivos y de liderazgo sénior, que brindan información sobre procesos empresariales críticos, recursos humanos y tecnologías. “Este proceso nos obliga a explorar la probabilidad de diferentes tipos de interrupciones, su impacto potencial en nuestra organización y nuestros clientes, e identificar los pasos que podemos tomar para minimizar el riesgo resultante”, afirma.

En Rubrik, han adoptado una estrategia integral de seguridad de datos en la que supervisan y garantizan constantemente el cumplimiento de prácticas de codificación seguras y rastrean la información confidencial, así como el acceso a dicha información. “También hemos establecido procesos claros que debemos seguir si alguna vez sufrimos un ataque”, afirma Nithrakashyap.

Estrategias clave para la resiliencia

Un puñado de enfoques y tecnologías emergentes están ayudando a los CIO a ofrecer mejores medidas de mitigación de riesgos y resiliencia. Rajavel, de Palo Alto Networks, recomienda desarrollar una estrategia de seguridad integrada con una plataforma de seguridad consolidada y orientada a los resultados. “Adoptar un enfoque basado en plataformas reduce la complejidad, lo que permite a los CIO mantener una postura de seguridad sólida sin sacrificar la velocidad ni la agilidad”, afirma.

Nithrakashyap destaca la gestión de la postura de seguridad de datos (DSPM), que describe como un enfoque holístico para evaluar, monitorear y gestionar la preparación y la eficacia de la ciberseguridad de una empresa mediante la protección de sus activos de datos. “Al implementar DPSM, las organizaciones pueden centrarse en sus prioridades de datos, sabiendo dónde se encuentran todos sus datos y cómo protegerlos”, afirma. Esto puede ayudar a los CIO a abordar problemas de gobernanza de datos, añade.

Los CIO fomentan la supervisión constante y un enfoque siempre activo para mejorar las mejores prácticas de seguridad, especialmente cuando se trata de información confidencial. Según Loura, un área clave es garantizar la validación multifactorial y por parte de varias personas de los cambios importantes en ciertos registros confidenciales, como cuentas bancarias o direcciones. También recomienda técnicas específicas como el enmascaramiento de datos, la supervisión, la aplicación automática de parches, enfoques de defensa en profundidad y estrategias de recuperación.

Medición de los beneficios

Una estrategia de resiliencia sólida trae consigo una serie de beneficios, uno de los cuales es una mayor productividad, afirma Rajavel. “Al contar con planes de contingencia sólidos y sistemas de respaldo, las organizaciones pueden minimizar las interrupciones y mantener la productividad, lo que libera a los equipos para que se concentren en la innovación y el crecimiento”, afirma. La gestión proactiva de riesgos también ayuda a reducir la probabilidad de infracciones, añade, lo que ayuda a proteger la información confidencial e infundir confianza en los clientes y las partes interesadas.

Las tácticas de resiliencia también pueden correlacionar los fracasos individuales con repercusiones financieras directas. “Entre otras cosas, las prácticas de resiliencia ayudan a identificar puntos de falla únicos o concentrados, comprender los posibles impactos financieros relacionados con las interrupciones y los cortes de energía, y establecer y probar capacidades de recuperación”, dice Stapleton. La información obtenida de estas prácticas puede orientar las prioridades presupuestarias e influir en la planificación en torno a las alianzas comerciales y las trayectorias de los productos.

Los CIO también pueden medir los beneficios de la resiliencia de diversas maneras. Pérez destaca métricas como la reducción de incidentes de seguridad, el cumplimiento de las normas y las mejoras en la gobernanza de datos. Agrega que, al monitorear los patrones de acceso a los datos, los CIO pueden revelar si las políticas de gobernanza son efectivas o necesitan ser mejoradas. “Estas métricas no solo protegen las operaciones, sino que también permiten a las organizaciones adaptarse rápidamente, ya sea para responder a los cambios del mercado o para aprovechar las nuevas oportunidades de la IA”, afirma.

Elaboración del caso de negocio

Para promover las inversiones en resiliencia, es importante cuantificar los riesgos y demostrar por qué la resiliencia es fundamental para la estabilidad y el crecimiento a largo plazo. Aquí es donde el CIO puede tener un gran impacto. “Los CIO no solo deben participar en la decisión sobre la dirección estratégica de una empresa, sino también impulsar la conversación sobre cómo la resiliencia puede impulsar el crecimiento de la empresa y mejorar la experiencia de los empleados”, afirma Rajavel.

Por ejemplo, invertir en resiliencia optimiza el tiempo de detección y recuperación, lo que puede minimizar los tiempos de inactividad o evitar las interrupciones por completo. Rajavel recomienda específicamente centrarse en los posibles impactos de las interrupciones en las operaciones, los ingresos y la reputación, y demostrar claramente los costos ahorrados. “Mostrar beneficios tangibles, como la reducción del tiempo de inactividad, el ahorro de costes por las infracciones evitadas y el aumento de la eficiencia operativa, es un argumento convincente”.

Otros coinciden en que la defensa de la resiliencia depende de la cuantificación clara del retorno de la inversión asociado a la reducción de los costes. “Como ocurre con cualquier riesgo, hay que tener en cuenta la probabilidad de que se produzca, las estrategias para mitigarlo, aislarlo o limitar el radio de explosión cuando se producen los incidentes y, a continuación, se pueden estimar los posibles costes de impacto y utilizarlos como un marco para invertir”, afirma Loura. “Las inversiones que mejoran esos factores reducen los costos de impacto y, por lo tanto, se puede crear un retorno de la inversión”.

La inversión en resiliencia es una inversión en la continuidad del negocio. Por lo tanto, para defenderla, los CIO deben enfatizar lo que aporta a los esfuerzos de remediación. “Una empresa digitalmente resiliente debería poder recuperarse de un ciberataque o una interrupción del servicio en minutos, no en horas o días”, afirma Nithrakashyap. “Al hacer de la ciberresiliencia una prioridad, los líderes de TI y seguridad pueden mejorar sus tiempos de respuesta a incidentes, reducir las interrupciones generales del negocio y evitar un impacto en los resultados de la empresa”.

Por supuesto, el argumento a favor de la resiliencia es claro para las empresas que deben cumplir con las regulaciones. Stapleton cita la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) como un ejemplo. La regulación de la UE, que entrará en vigor a principios de 2025, incluye requisitos básicos de resiliencia como auditorías de la cadena de suministro, planificación de la continuidad empresarial, capacitación interna y pruebas contra amenazas comunes. Más allá del cumplimiento, destaca la posible pérdida de ingresos, los acuerdos de nivel de servicio basados ​​en interrupciones o incluso la pérdida de clientes, y la pérdida de reputación después de una interrupción mal gestionada como impulsores clave de las iniciativas de resiliencia para las empresas.

Preparándose para los peores escenarios

La resiliencia se centra en la formulación de medidas proactivas para gestionar el riesgo, lo que ayuda a predecir lo impredecible. “Una estrategia de resiliencia sólida ayuda a su equipo a adoptar una postura proactiva en lugar de reactiva”, afirma Rajavel. “Esto le permite a usted y a sus equipos mantenerse a la vanguardia de las amenazas potenciales, lo que garantiza la continuidad del negocio”.

En los estratos digitales interconectados de la actualidad, pequeñas interrupciones del servicio podrían tener consecuencias a gran escala. Por ello, contar con una respuesta bien aceitada para los peores escenarios es cada vez más importante para mantener las cosas en marcha. “Los líderes de TI y seguridad deben seguir trabajando juntos para generar confianza y confiabilidad en los sistemas digitales para prepararse para lo peor y poder hacer que sus negocios vuelvan a funcionar si ocurre lo peor”, afirma Nithrakashyap.