En esta entrevista que realiza Help Net Security, Adnan Ahmed, CISO de Ornua, analiza cómo las organizaciones pueden desarrollar una estrategia de ciberseguridad alineada con sus objetivos de negocio. Explica por qué muchas empresas fracasan al centrarse en la tecnología antes de comprender el riesgo y comparte cómo la integración de la ciberseguridad en toda la empresa contribuye a fortalecer la resiliencia.
Ahmed también describe cómo una hoja de ruta madura debería integrar los principios de confianza cero, la resiliencia operativa y una cultura de seguridad tanto en los entornos de TI como de OT.
Cuando pensamos en la estrategia de ciberseguridad actual, ¿en qué suelen equivocarse la mayoría de las organizaciones desde el principio?
El mayor error que observo en las organizaciones es iniciar las iniciativas de ciberseguridad centrándose en la tecnología en lugar de priorizar la alineación entre el riesgo y el negocio. La ciberseguridad suele considerarse erróneamente un problema técnico, cuando en realidad es una función de gestión de riesgos empresariales . No establecer esta conexión desde el principio suele resultar en una toma de decisiones fragmentada y una escasa implicación de la dirección.
Las estrategias de ciberseguridad eficaces deben integrarse en los objetivos empresariales desde el principio. Esto requiere identificar los activos críticos de la empresa, evaluar las posibles amenazas y sus motivaciones, y analizar el impacto de que dichos activos se vean comprometidos. Con demasiada frecuencia, los CISO se lanzan directamente a adquirir herramientas de ciberseguridad sin abordar estas cuestiones.
Otro problema común reside en las personas y la cultura. El error humano sigue siendo el principal vector de los ciberataques; sin embargo, las organizaciones destinan recursos desproporcionados a la tecnología, descuidando la concienciación y la formación de sus empleados. Siempre digo que la seguridad empieza en casa: cuando los empleados saben cómo protegerse a sí mismos y a sus familias, trasladan esa mentalidad al trabajo.
El cumplimiento normativo, si bien es necesario, es otro elemento que se debe considerar de forma proactiva. Cumplir con los requisitos regulatorios es importante, pero no garantiza la resiliencia. A los atacantes no les importa si se han cumplido todos los requisitos; simplemente buscan vulnerabilidades y las explotan.
En sectores como la fabricación de alimentos , en el que opera Ornua, descuidar la seguridad de los sistemas operativos (TO) y de control industrial (SCI) supone un riesgo considerable. Un enfoque integral de defensa en profundidad debe abarcar tanto los sistemas de TI como los de TO.
Por último, no olvide la gestión de riesgos de terceros y la respuesta ante incidentes. Ante el aumento de los ataques a la cadena de suministro, las empresas deben evaluar la seguridad de sus proveedores. Los planes de respuesta ante incidentes deben someterse a pruebas operativas e incluir disposiciones para la continuidad del negocio y la recuperación ante desastres. Es fundamental que, cuando se produzca un incidente, el plan se ponga a prueba, no solo se documente.
En resumen, comience por gestionar los riesgos, fomente una cultura de seguridad, proteja la tecnología operativa, gestione a los proveedores y prepárese para lo peor. El éxito depende de la colaboración interdepartamental, el cumplimiento de los principios de confianza cero y una cultura que considere la seguridad como un facilitador del negocio, no como un obstáculo.
¿Ha cambiado tu forma de pensar sobre la estrategia con el tiempo? Y si es así, ¿qué motivó ese cambio?
Sí, mi forma de pensar ha evolucionado con los años. Al principio, me centraba en proteger los sistemas informáticos y reducir el riesgo de forma aislada. No estaba vinculado a objetivos empresariales más amplios, y esa era una laguna que no percibía entonces.
Dos cosas me hicieron cambiar de opinión. Primero, el panorama de amenazas cambió drásticamente. Hoy en día, los ciberataques se dirigen a los sistemas operativos (OT) y de control industrial (ICS). En la industria alimentaria, estos sistemas gestionan las líneas de producción, la refrigeración y los procesos de seguridad. Un ciberataque en estas áreas va más allá de la pérdida de datos; puede interrumpir la producción e incluso comprometer la seguridad alimentaria, lo que introduce un nivel de riesgo mucho más complejo.
En segundo lugar, me quedó claro que la ciberseguridad no puede operar de forma aislada. Debe respaldar e impulsar las operaciones y el crecimiento del negocio. Hoy en día, mi enfoque se basa en el riesgo y está alineado con nuestras prioridades comerciales, manteniendo los principios de confianza cero . Nos centramos en la resiliencia, no solo en el cumplimiento, y la seguridad de la tecnología operativa (TO) es un pilar fundamental de esta estrategia. En definitiva, proteger estos entornos es crucial para mantener la continuidad del negocio y garantizar la seguridad de nuestros clientes.
¿Cuál es la forma más eficaz para que los líderes de seguridad conecten la estrategia de ciberseguridad con los objetivos comerciales principales?
En mi experiencia, la forma más eficaz de alinear la ciberseguridad con los objetivos empresariales es hablar el idioma del negocio. Con demasiada frecuencia, los responsables de seguridad se centran directamente en jerga técnica: cortafuegos, parches, MFA , cifrado, pero eso no es lo que preocupa a los directivos. Les importa que el negocio siga funcionando, proteger los ingresos y mantener la reputación.
Es fundamental presentar la ciberseguridad como un facilitador del negocio, no como un coste. Por ejemplo, en lugar de decir «necesitamos MFA», explique cómo la MFA ayuda a reducir el riesgo de fraude y protege la confianza del cliente, lo que repercute directamente en el valor de la marca. También vinculo las métricas de seguridad con los KPI del negocio, como el tiempo de actividad de los sistemas de producción o la evaluación de la postura de ciberseguridad de los proveedores para fortalecer la resiliencia de la cadena de suministro y cumplir con los requisitos normativos.
En definitiva, se trata de cómo la seguridad protege lo más importante: las operaciones, los ingresos y la reputación. Al aplicar este concepto, la ciberseguridad se convierte en parte de la conversación empresarial, y no solo en un proyecto de TI.
¿Qué amenazas emergentes cree que están subestimadas actualmente y cómo deberían prepararse los equipos?
Una de las amenazas más subestimadas en ciberseguridad actualmente es la convergencia de los entornos de TI y OT. En industrias como la alimentaria, los atacantes ya no solo se centran en las redes corporativas, sino que también atacan la tecnología operativa y los sistemas de control industrial. Un ataque de ransomware que paralice la producción o interrumpa la refrigeración no solo es un inconveniente, sino que puede ser devastador económicamente y tener graves consecuencias para la seguridad.
Otro aspecto que suele pasarse por alto es el riesgo en la cadena de suministro . Observamos que los atacantes explotan a proveedores externos y actualizaciones de software, ya que saben que estos canales suelen tener controles más débiles y permiten el acceso simultáneo a numerosas organizaciones. Además, los ataques impulsados por IA evolucionan rápidamente mediante deepfakes , phishing de voz y campañas de ingeniería social altamente convincentes , cada vez más difíciles de detectar.
En mi opinión, los ataques a la tecnología operativa (TO) y a la cadena de suministro son los asesinos silenciosos. La mayoría de los equipos los subestiman hasta que la producción se detiene o se rompe la confianza. Es hora de actuar: adoptar la política de confianza cero tanto en TI como en TO, fortalecer la gestión de riesgos de los proveedores e integrar la resiliencia en cada nivel del negocio.
Si hoy tuvieras que asesorar a un CISO que estuviera elaborando una hoja de ruta a tres años, ¿cuáles serían tus tres principales prioridades?
Me centraría en tres prioridades fundamentales que marcan la diferencia.
Comience por identificar y priorizar los activos más críticos de su organización, incluidos los entornos OT e ICS y las dependencias de la cadena de suministro. Las inversiones en seguridad deben estar alineadas con estos riesgos. Con demasiada frecuencia, las estrategias comienzan con la compra de herramientas en lugar de evaluar el riesgo , y eso es un error.
Los principios de confianza cero deben aplicarse tanto en entornos de TI como de OT. En sectores como la fabricación de alimentos, proteger la OT es tan importante como proteger los datos. Las capacidades básicas, como la visibilidad de los activos, la segmentación de la red , el acceso remoto seguro, la autenticación y la monitorización continua, deben considerarse componentes esenciales.
Si bien el cumplimiento normativo es necesario, resulta insuficiente ante incidentes cibernéticos reales; el cumplimiento por sí solo no le salvará cuando algo falle. Las organizaciones deben desarrollar y probar periódicamente planes de respuesta ante incidentes , garantizar la continuidad del negocio y fomentar una cultura de seguridad. La tecnología fallará en algún momento, y la capacidad de detectar, responder y recuperarse rápidamente es lo que mantiene la actividad empresarial.
En resumen, una estrategia de ciberseguridad eficaz debe comenzar con la alineación de riesgos, incorporar principios de confianza cero en TI y OT, y priorizar la resiliencia más allá del cumplimiento normativo. La ciberseguridad no es solo una medida defensiva, sino fundamental para la continuidad de las operaciones comerciales.
Fuente y redacción: helpnetsecurity.com / Mirko Zorz