5 lecciones de ciberseguridad para tu CEO

Las medidas de seguridad de la información son más eficaces cuando reciben el apoyo de la alta directiva. ¿Cómo puedes conseguirlo?

La seguridad de la información es un campo muy estresante: la búsqueda constante de posibles incidentes y las largas horas de dedicación se ven agravadas por la batalla interminable con otros departamentos que conciben la ciberseguridad como una molestia innecesaria.

En el mejor de los casos, intentan pasarla por alto, pero hay situaciones peores en las que directamente evitan todo lo que tenga que ver ella. Como resultado, el 62 % de los altos directivos encuestados por Kaspersky admiten que los malentendidos entre las empresas y los departamentos de seguridad de la información han generado graves ciberincidentes.

Para cambiar la actitud de una organización hacia la seguridad de la información, es de vital importancia conseguir el apoyo de las altas esferas, como lo es la junta directiva. Por tanto, ¿qué decirle al CEO o presidente que siempre está ocupado y seguramente sin tiempo ni ganas para pensar en la seguridad de la información? A continuación, te dejamos con 5 fundamentos simples y digeribles que puedes ir repitiendo en las reuniones hasta que la dirección capte el mensaje.

Forma a tus empleados en materia de ciberseguridad, empezando por los directivos

En cualquier formación es necesario confiar en el profesor, lo que puede resultar difícil si el estudiante es el CEO. Establecer un puente interpersonal y ganar credibilidad será mucho más sencillo si empiezas sin estrategia, sino tratando la ciberseguridad personal de la directiva, que afecta directamente a la seguridad de toda la compañía, dado que los datos personales y contraseñas del CEO suelen ser objetivo de los atacantes.

Por ejemplo, ¿recuerdas el escándalo del pasado 2022 en Estados unidos cuando unos atacantes penetraron en la red social InfraGard, utilizada por el FBI para informar confidencialmente a los CEO de las grandes empresas de las ciberamenazas más graves? Los ciberdelincuentes robaron una base de datos con los correos electrónicos y números de teléfono de más de 80000 miembros y los pusieron a la venta por 50000 dólares. Con esta información de contacto, quienes la compraron podían ganar la confianza de los CEO afectados o utilizarla en ataques BEC.

Esto destaca la importancia de que la directiva utilice la autenticación en dos pasos con un USB o tokens NFC en todos los dispositivos, genere contraseñas largas y únicas en todas las cuentas corporativas, proteja todos los dispositivos personales y corporativos con el software apropiado y separen el mundo digital personal del corporativo. Básicamente estos consejos valdrían para cualquier usuario, solo que en su caso deben conocer los costes de un posible error. Por esto mismo es importante que comprueben minuciosamente todos los correos electrónicos y archivos adjuntos que reciban.

Una vez que la directiva haya realizado sus lecciones básicas de seguridad, debes guiarlos en la siguiente decisión estratégica: las formaciones periódicas en materia de seguridad de la información para todos los empleados.

Hay diferentes requisitos de conocimiento para cada nivel de empleados. Todos, incluidos los empleados de primera línea, deben asimilar las reglas de ciberhigiene ya mencionadas, además de los consejos sobre cómo responder a situaciones sospechosas o fueras de lo común.

Los directivos, sobre todos los de IT, se beneficiarían de una información ampliada sobre cómo se integra la seguridad en el desarrollo de producto y en el ciclo de vida de uso, qué políticas de seguridad adoptar en sus departamentos y cómo puede afectar al rendimiento empresarial.

Por su parte, los empleados de la seguridad de la información deberían estudiar los procesos empresariales en la compañía para hacerse una mejor idea sobre cómo integrar los mecanismos de protección de la forma menos agresiva posible.

Integra la ciberseguridad en la estrategia y los procesos de la compañía

A medida que la economía se digitaliza, el panorama de la ciberdelincuencia se hace cada vez más complejo y la regulación se intensifica, de hecho, la gestión de los riesgos cibernéticos se está convirtiendo en una tarea completa a nivel de la directiva. Hay toda una serie de aspectos tecnológicos, humanos, financieros, legales y organizacionales al respecto, por lo que los líderes de todas las áreas deben estar involucrados en la adaptación de la estrategia y procesos de la compañía.

¿Cómo podemos minimizar los riesgos en el caso de que un proveedor o contratista reciba un ataque, dado que podríamos convertirnos en un objetivo secundario? ¿Qué leyes regulan la industria el almacenamiento y la trasferencia de datos sensibles como la información personal de los clientes? ¿Cuál sería el impacto de un ataque de ransomware que bloquee y borre todos los ordenadores y cuánto tiempo llevaría la restauración de las copias de seguridad? ¿Pueden los daños reputacionales medirse en dinero cuando el público y los socios se han enterado del ataque recibido? ¿Qué medidas de seguridad adicionales se pueden tomar para proteger a los empleados en remoto? Estas son las cuestiones que deben abordar los servicios de seguridad de la información y los expertos de otros departamentos, apoyándose en medidas organizativas y técnicas.

Es importante recordar a la directiva que “comprar este [o aquel] sistema de protección” no es una solución milagrosa para cualquiera de estos problemas, ya que, según las estimaciones, entre el 46 y el 77 % de todos los incidentes están relacionados con el factor humano: desde el incumplimiento de las regulaciones y los intrusos maliciosos, hasta la falta de transparencia TI por parte de los contratistas.

A pesar de todo, los problemas de la seguridad de la información siempre giran en torno al presupuesto.

Invierte correctamente

La inversión en la seguridad de la información siempre se queda corta, mientras que los problemas que hay que resolver parecen infinitos. Es importante priorizar en consecuencia con los requerimientos de la industria en cuestión y con las amenazas más relevantes y que puedan causar más daño en tu organización. Esto es posible prácticamente en todas las áreas, desde el cierre de vulnerabilidades hasta la formación del personal. No se puede ignorar ninguna y cada una tendrá sus propias prioridades y orden de precedencia. Trabajando dentro del presupuesto asignado, eliminamos los riesgos principales y, después, procedemos a los menos probables. Pero clasificar las probabilidades de riesgo por tu cuenta es una tarea casi imposible, para lo que deberías estudiar los informes del panorama de amenazas en tu industria y analizar los vectores de ataque típicos.

Evidentemente, las cosas se ponen más interesantes cuando hay que elevar el presupuesto. La estrategia más madura para la elaboración del presupuesto es aquella basada en los riesgos y el coste respectivo de su actualización y minimización, pero también es más laboriosa. Los ejemplos reales, sobre todo las experiencias de la competencia, juegan un papel importante es las reuniones de las juntas directivas. Dicho esto, no son fáciles de encontrar, por lo que es común recurrir a puntos de referencia que brinden presupuestos promedio para un sector comercial y país en particular.

Ten en cuenta todos los tipos de riesgo

Los debates sobre la seguridad de la información se suelen centrar en los ciberdelincuentes y las soluciones de software para combatirlos. Pero las operaciones diarias de muchas organizaciones se enfrentan a otros riesgos que también están relacionados con la seguridad de la información.

Sin duda alguna, uno de los riesgos más relevantes en los últimos años ha sido el de la violación de normas en el almacenamiento y uso de datos personales, como el RGPD, CCPA, etc. La práctica actual de las fuerzas policiales muestra que ignorar estas leyes no es una opción: tarde o temprano te pondrán una multa y en muchos casos, sobre todo en Europa, hablamos de cuantías considerables. Una perspectiva aún más alarmante que se avecina para las empresas es la imposición de multas basándose en el volumen de filtraciones o gestión inadecuado de datos personales, por lo que una auditoría integral de los sistemas y procesos de información con el objetivo de eliminar paso a paso estas violaciones sería de lo más oportuna.

Varias industrias tienen sus propios criterios, incluso más estrictos, en concreto los sectores financiero, sanitario y de telecomunicaciones, así como los operadores de infraestructuras críticas. Debe ser una tarea supervisada regularmente por los gerentes de estas áreas para mejorar el cumplimiento de los requisitos normativos en sus departamentos.

Responde correctamente

Lamentablemente, a pesar de los esfuerzos, los incidentes de ciberseguridad son prácticamente inevitables. Si la escala de un ataque es lo suficientemente grande como para atraer la atención de la sala de juntas, lo más seguro es que haya supuesto una interrupción de las operaciones o una filtración de datos importantes. No solo la seguridad de la información, sino también las unidades de negocio deben estar listas para responder, a poder ser después de haber realizado una serie de simulacros. Como mínimo, la alta directiva debe conocer y seguir los procedimientos de respuesta para no reducir las posibilidades de un resultado favorable. Estos son los tres pasos fundamentales que debe seguir el CEO:

  1. Notificar de inmediato a las partes clave sobre el incidente; dependiendo del contexto: departamentos financieros y legales, aseguradoras, reguladores de la industria, reguladores de protección de datos, fuerzas policiales, clientes afectados. En muchos casos, el plazo para dicha notificación está establecido por la ley, pero si no, debe establecerse en el reglamento interno. El sentido común dicta que la notificación sea rápida pero informativa; es decir, antes de notificar se debe recabar información sobre la naturaleza del incidente, incluyendo una evaluación inicial de la escala y las medidas de primera respuesta tomadas.
  2. Investigar el incidente. Es importante tomar diversas medidas para poder evaluar correctamente la escala y las ramificaciones del ataque. Además de las medidas puramente técnicas, realizar encuestas a los empleados también puede aportar relevancia, por ejemplo. Durante la investigación, es de vital importancia no dañar las pruebas digitales del ataque u otros artefactos. En muchos casos, tiene sentido traer [IR placeholder]expertos externos[/IR placeholder] para investigar y limpiar el incidente.
  3. Elaborar un programa de comunicaciones. Un error típico que cometen las empresas es tratar de ocultar o restar importancia a un incidente. Tarde o temprano, la verdadera escala del problema saldrá a la luz, prolongando y ampliando los daños, desde la reputación hasta el financiero. Por lo tanto, las comunicaciones externas e internas deben ser periódicas y sistemáticas, entregando información consistente y de uso práctico para clientes y empleados. Deben informar claramente sobre qué acciones tomar ahora y qué esperar en el futuro. Sería una buena idea centralizar las comunicaciones; es decir, nombrar portavoces internos y externos y prohibir que cualquier otra persona desempeñe esta función.

Comunicar los asuntos de seguridad de la información a la alta directiva es una tarea que requiere mucho tiempo y no siempre es gratificante, por lo que es poco probable que estos cinco mensajes se transmitan y se tomen en serio en solo una o dos reuniones. La interacción entre la empresa y la seguridad de la información es un proceso continuo que requiere un esfuerzo mutuo para entenderse mejor. Solo con una estrategia sistemática, paso a paso, llevada a cabo de forma regular y que involucre a prácticamente todos los ejecutivos, tu empresa puede ganar ventaja sobre la competencia en la navegación por el ciberespacio actual.

Consejos