Establecer una cultura de gestión de riesgos

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

• Enumerar las preguntas que se considerarán para implementar un enfoque holístico de gestión de riesgos.
  
• Identificar las acciones para fomentar la colaboración.
  
• Describir cómo crear planes de ciberresiliencia que abarquen todo el ecosistema.
  

Continuemos explorando los principios de ciberresiliencia del Foro Económico Mundial (WEF) para la industria de petróleo y gas (OG).

Principio OG4: Gestión de riesgos holística

La junta de organizaciones de la industria de OG debe gestionar los riesgos cibernéticos en todo el ecosistema de OG mediante mandatos, fondos, recursos y rendición de cuentas adecuados para programas de ciberresiliencia. 

Las juntas directivas deben considerar estas preguntas al implementar la ciberresiliencia en sus organizaciones:

• ¿Qué riesgos plantean las partes internas y externas para la organización?
  
• ¿Qué recursos financieros y de personal son suficientes para lograr los objetivos adecuados de gestión holística de riesgos de ciberseguridad?
  
• ¿De qué modo se incorporan los riesgos cibernéticos de la cadena de suministros en el enfoque de gestión de riesgos actual?
  

Implementar un enfoque holístico de gestión de riesgos

Entre las actividades sugeridas para la implementación de la gestión de riesgos holística se incluyen las siguientes:

• Identificar los riesgos cibernéticos planteados dentro de las cadenas de suministros y de valor, y trabajar con los socios pertinentes para mitigar sus vulnerabilidades.
  
• Definir y cuantificar la tolerancia de riesgo cibernético en colaboración con otras unidades de negocio.
  
• Realizar una revisión de las dependencias de las cadenas de suministros y de valor, e identificar los puntos ciegos y altos riesgos relacionados con las amenazas cibernéticas.
  
• Garantizar que las acciones y herramientas de gestión de riesgos sigan un enfoque holístico coherente adoptado y aceptado en todo el ecosistema (por ejemplo, evaluaciones de seguridad, cuestionarios y auditorías).
  
• Adoptar un marco de trabajo de riesgo en común reconocido por la industria, como la serie 27000 de la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional (ISO/IEC), el Marco de Trabajo de Ciberseguridad (CSF) del Instituto Nacional de Normas y Tecnología (NIST) o el Modelo de Madurez en Ciberseguridad (C2M2).
  

Las métricas sugeridas pueden incluir:

• El porcentaje de proveedores y socios estratégicos evaluados (diligencia debida de ciberresiliencia) y con cláusulas de seguridad integradas en su contrato.
  
• La cantidad de riesgos sistémicos críticos (que afectan la industria en su totalidad) contemplada en el análisis de riesgos de la organización.
  
• La frecuencia de las evaluaciones de riesgos (el proceso general de identificación, análisis y evaluación de riesgos) realizadas con relación a los activos críticos del negocio, por ejemplo, en función de la información de análisis de repercusión de negocio.
  
• La cantidad de activos críticos contemplados en el proceso de gestión de riesgos.
  

Observemos un ejemplo.

Un proceso ampliable en aceptación de riesgo cibernético

Carolyn es directora corporativa en una compañía petrolera de servicio de campo. Su enfoque es documentar la gestión de riesgos cibernéticos y tratar las amenazas cibernéticas como un peligro para las operaciones de negocio. Para garantizar que la ciberseguridad sea una prioridad principal, Carolyn lidera revisiones internas y de seguridad de proveedores como parte del proceso de adquisición y seguridad de la compañía. 

Este proceso tiene cuatro pasos distintos: solicitar, evaluar, aprobar y rastrear. Cuando se realiza una solicitud, el equipo de Carolyn lleva a cabo una evaluación basada en riesgos según una biblioteca de controles estable, repetible y ampliable, y tiene en cuenta ciertos factores, como la clasificación de datos y la importancia crítica del proceso de negocio. Posteriormente, el proceso requiere la aprobación de los departamentos comercial, legal y de tecnología de la información (TI), con niveles definidos según el grado de riesgo. 

Por último, Carolyn usa informes ejecutivos habituales para rastrear amenazas cibernéticas, incluidas las medidas correctivas. Este proceso repetible y ampliable garantiza la aplicación consistente de los controles basados en riesgos, con responsabilidades claramente designadas para la evaluación de riesgos y la propiedad de riesgos entre funciones.

Principio OG5: Colaboración en todo el ecosistema

La junta de organizaciones en la industria de OG debe capacitar a su equipo de gestión para crear una cultura de colaboración a fin de supervisar, monitorear y controlar de forma eficaz los riesgos en todo el ecosistema. 

Las juntas directivas deben considerar estas preguntas al implementar la ciberresiliencia en sus organizaciones.

• ¿Cómo interactúa la organización con las plataformas de colaboración y los grupos de acción sobre ciberresiliencia?
  
• ¿Qué plan de acción de ciberresiliencia contempla el ecosistema de la organización?
  
• ¿Cómo se aprenden las lecciones de las actividades de colaboración utilizadas para fortalecer las prácticas de ciberresiliencia de la organización y del ecosistema, y de qué forma permiten nuevas oportunidades?
  

Observemos un ejemplo.

Establecer un enfoque que abarque todo el ecosistema 

Gregory es el jefe de TI en una compañía de energía, cuyo disperso ecosistema depende de distintas organizaciones, sociedades y asociaciones temporales de empresas, desde los niveles superiores hasta los niveles inferiores del negocio. Cada parte del ecosistema tiene sus normas operativas específicas del entorno y enfoques diversos propios en términos de ciberseguridad, que pueden ser difíciles de gestionar. 

Para reducir el riesgo cibernético, Gregory lanzó una iniciativa con el objetivo de cerrar la brecha entre estos distintos entornos operativos, y conectar los equipos de los niveles superiores e inferiores de tecnología operativa (TO). El grupo de TI financió un equipo centralizado para garantizar prácticas y enfoques de riesgo cibernético en común, implementó una infraestructura estándar y herramientas de inventario de activos consistentes, y alineó procesos para monitorear continuamente el entorno de TO. 

Por medio de este equipo centralizado, la compañía de Gregory puede mejorar de forma continua los controles y planes de ciberresiliencia colectivos entre las organizaciones de socios de los niveles superiores e inferiores.

Esta metodología equilibra la capacidad de preparación y la protección y, a la vez, mejora las capacidades de monitoreo y de respuesta. La colaboración y alineación en la adopción de enfoques y controles unificados mejoran el monitoreo y la visibilidad del entorno de TO, lo que reduce el tiempo de detección y de respuesta del control de versiones y de la aplicación de parches de software de TI/TO de días a minutos.

Implementar la colaboración en todo el ecosistema

Entre las actividades sugeridas para la implementación de los principios de colaboración en todo el ecosistema para las juntas directivas se incluyen las siguientes:

• Colaborar con los socios del ecosistema para desarrollar, mejorar y adoptar enfoques unificados en los que se contemplan marcos de trabajo, normas y herramientas del sector.
  
• Participar en la interacción con los responsables de políticas y las organizaciones de normas globales para simplificar la colaboración en todo el ecosistema, y generar informes al respecto.
  
• Participar o liderar en comunidades e iniciativas sobre ciberresiliencia (bajo la administración de organizaciones industriales, nacionales o internacionales) que promuevan el uso compartido de la información, fortalezcan la colaboración en todo el ecosistema e impulsen la acción colectiva.
  
• Colaborar con las partes interesadas del ecosistema y participar de forma activa en organismos de uso compartido de información sobre ciberseguridad en todo el sistema, por ejemplo, el Centro de Análisis y Uso Compartido de Información sobre Petróleo y Gas Natural (ONG-ISAC, por sus siglas en inglés), el Centro de Análisis y Uso Compartido de Información sobre Tecnología (OT-ISAC, por sus siglas en inglés), el Instituto Estadounidense del Petróleo (API, por sus siglas en inglés), la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés), etc.
  

Las métricas sugeridas pueden incluir:

• La frecuencia de los eventos y de las interacciones con los colegas de la industria y del ecosistema.
  
• La frecuencia de las reuniones con los funcionarios de seguridad y los expertos en respuesta cibernética, incluidos los responsables de políticas, los funcionarios de inteligencia y seguridad nacional, y los expertos legales y en respuesta cibernética del sector privado.
  
• La cantidad de resúmenes e informes de inteligencia sobre amenazas que se intercambian con los colegas en todo el ecosistema.
  

Principio OG6: Planes de ciberresiliencia que abarcan todo el ecosistema

La junta de organizaciones en la industria de OG debe recomendar a la gerencia que cree, implemente, pruebe y mejore los planes y controles de ciberresiliencia colectivos con otros miembros del ecosistema. 

Las juntas directivas deben considerar estas preguntas al implementar la ciberresiliencia en sus organizaciones.

• ¿Qué datos o información debemos proteger? ¿Qué actividades están incluidas en el plan de ciberresiliencia? ¿De qué modo el plan contempla los ecosistemas de la organización, incluidas la respuesta ante incidentes, las comunicaciones, la continuidad del negocio y la recuperación ante desastres? ¿El plan se prueba adecuadamente con la frecuencia correcta?
  
• ¿Qué plataformas de colaboración deben admitir las juntas directivas y los equipos de gestión para promover el desarrollo de planes de resiliencia colectivos?
  
• ¿De qué modo los planes de resiliencia colectivos reflejan y equilibran la capacidad de preparación con la respuesta y la recuperación en todo el ecosistema?
  

Observemos un ejemplo.

Una compañía de energía ayuda a proteger la cadena de valor

Rebecca es miembro de la junta directiva en una compañía de energía. Apoyó una iniciativa en la cual su compañía se asoció con un centro de investigación dedicado a la seguridad de la información para realizar una encuesta a gerentes y ejecutivos de la industria en compañías de OG globales a fin de evaluar la preparación en términos de ciberseguridad de las compañías. Los resultados de la encuesta revelaron que, en todo el sector, la mayoría de las organizaciones tienen dificultad para contratar personal de ciberseguridad con conocimientos profundos sobre los activos de energía conectados con TO necesarios para identificar y abordar los ciberataques antes de que ocurran.

La compañía de Rebecca reconoció que una manera de mejorar la ciberseguridad de todas las empresas de OG es garantizar que las organizaciones pequeñas y medianas puedan acceder a soluciones de detección y monitoreo basadas en inteligencia artificial (IA), lo que ayuda a fortalecer a los eslabones más débiles contra ciberataques en el ecosistema digital. Al combinar tecnologías de IA interoperables e independientes del fabricante, y aprovechar de manera eficiente la experiencia humana nativa en TO, las compañías de energía pequeñas y medianas pueden obtener acceso a capacidades de monitoreo, detección y prevención de ciberataques: un nivel de protección que antes solo se lograba dentro de compañías con los presupuestos adecuados.

Implementar planes de ciberresiliencia que abarcan todo el ecosistema

Entre las actividades sugeridas para la implementación de los principios de los planes de ciberresiliencia que abarcan todo el ecosistema se incluyen las siguientes:

• Desarrollar un plan de ciberresiliencia como una de las prioridades estratégicas de la organización, en cercana colaboración con todos los líderes de las unidades y funciones de negocio, e incorporar explícitamente la función de la junta directiva.
  
• Definir una cadencia regular de informes sobre planes de ciberresiliencia, para incluir actualizaciones críticas, frecuencia de las pruebas y resultados.
  
• Realizar ejercicios de ciberseguridad regulares y pruebas sobre ciberresiliencia que incluyan fallas sistémicas y la recuperación subsiguiente como un componente o enfoque del ejercicio.
  
• Verificar que el programa y la estrategia de ciberseguridad estén vinculados con las fuentes internas y externas, la gestión de incidentes, y las capacidades de respuesta y recuperación (desde una perspectiva humana, procesal y tecnológica).
  

Las métricas sugeridas pueden incluir:

• La cantidad de pruebas realizadas y de medidas correctivas adoptadas.
  
• La cantidad de horas de interrupción de los servicios esenciales del negocio, incluido el impacto financiero de las interrupciones.
  
• El porcentaje de acciones abiertas y cerradas críticas generadas a partir de los ejercicios de capacidad de preparación en ciberseguridad, incluidas las pruebas de fallas sistémicas como un componente o enfoque de los ejercicios.
  
• El porcentaje de sistemas críticos en los que se implementaron y probaron satisfactoriamente planes de contingencia y recuperación ante desastres este trimestre.
  

Resumen

En esta unidad, presentamos cómo implementar un enfoque holístico de gestión de riesgos en la industria de OG. Aprendió cómo fomentar la colaboración en todo el ecosistema, y la importancia de crear planes de ciberresiliencia que abarquen todo el ecosistema. 

A continuación, aprenderá más sobre cómo poner en práctica los principios de resiliencia cibernética en la industria de OG, y las medidas que las organizaciones del sector pueden tomar para permitir la adopción de políticas y principios cibernéticos nuevos. 

Recursos

• Sitio externo: Gestión de la Seguridad de la Información ISO/IEC 27001 
  
• Sitio externo: Marco de Ciberseguridad de NIST
  
• Sitio externo: Departamento de Energía de los Estados Unidos (EE. UU.) Modelo de Madurez en Ciberseguridad (C2M2)