5 lecciones de ciberseguridad para CEO

Las medidas de seguridad de la información son más eficaces cuando reciben el apoyo de los directivos. ¿Cómo puedes conseguirlo?

La seguridad de la información es un campo muy estresante: buscar constantemente posibles incidentes y largas jornadas de dedicación que se ponen peor con la interminable batalla con otros departamentos que ven la ciberseguridad como una molestia innecesaria. En el mejor de los casos, tratan de ignorarle, pero hay casos más graves en los que evitan directamente todo lo que tenga que ver ella. Como resultado, el 62 % de los altos directivos encuestados por Kaspersky admiten que los malentendidos entre las empresas y los departamentos de seguridad de la información han generado graves ciberincidentes. Para cambiar la actitud de una organización hacia la seguridad de la información, es muy importante conseguir el apoyo de los altos mandos, o sea, la junta directiva. Por ende, ¿qué decirle al CEO o presidente que siempre está ocupado y seguramente sin tiempo ni ganas de pensar en la seguridad de la información? Te dejamos aquí 5 fundamentos simples y digeribles que puedes repetir en las juntas para que dirección capte el mensaje.

Forma a tus empleados en materia de ciberseguridad y comienza por los directivos

En toda formación hay que confiar en quien enseña, lo que puede complicarse si quien aprende es el CEO. Establecer un puente interpersonal y ganar credibilidad será mucho más fácil si empiezas sin estrategia, sino tratando la ciberseguridad personal de la dirección, la cual afecta directamente a la seguridad de toda la compañía, ya que los datos personales y contraseñas del CEO suelen ser el objetivo de los atacantes.

Por ejemplo, ¿recuerdas el escándalo del 2022 en Estados unidos cuando unos atacantes entraron en la red social InfraGard, usada por el FBI para informar confidencialmente a los CEO de las grandes empresas de las ciberamenazas más graves? Los ciberdelincuentes robaron una base de datos con los correos electrónicos y números de teléfono de más de 80,000 miembros y los pusieron a la venta por 50,000 dólares. Quienes compraron dicha información podían ganar la confianza de los CEO afectados o utilizarla en ataques BEC.

Esto destaca la importancia de que la dirección use la autenticación en dos pasos con un USB o tokens NFC en todos sus dispositivos, genere contraseñas largas y únicas en todas las cuentas corporativas, proteja todos sus dispositivos personales y corporativos con un software apropiado y separen su mundo digital personal del corporativo. Básicamente estos consejos bastarían para cualquier usuario, solo que en su caso deben conocer el precio de un posible error. Por ello es importante que comprueben minuciosamente todos los correos electrónicos y archivos adjuntos que reciban.

Una vez que la directiva haya tomado sus lecciones básicas de seguridad, hay que guiarlos en la próxima decisión estratégica: formaciones periódicas en materia de seguridad de la información para todos los empleados. Y para cada nivel de empleados hay diferentes requisitos de conocimiento. Todos, hasta los empleados de primera línea, deben asimilar las reglas de ciberhigiene ya mencionadas, además de los consejos sobre cómo responder a situaciones sospechosas o fueras de lo normal. Los directivos, sobre todos los de IT, se beneficiarían de una información ampliada sobre cómo se integra la seguridad en el desarrollo de producto y en el ciclo de vida de uso, qué políticas de seguridad adoptar en sus departamentos y cómo puede afectar al rendimiento empresarial. Por su lado, los empleados de la seguridad de la información deberían estudiar los procesos empresariales en la compañía para tener una imagen completa sobre cómo integrar los mecanismos de protección de la forma menos agresiva posible.

Integra la ciberseguridad en la estrategia y los procesos de la compañía

Conforme se digitaliza la economía, el panorama de la ciberdelincuencia se vuelve cada vez más complejo y la regulación se intensifica, de hecho, la gestión de los riesgos cibernéticos comienza a ser una tarea completa a nivel de le dirección. Hay toda una serie de aspectos tecnológicos, humanos, financieros, legales y organizacionales al respecto, por lo que los líderes de todas las áreas deben involucrarse en la adaptación de la estrategia y procesos de la compañía.

¿Cómo disminuir los riesgos cuando un proveedor o contratista recibe un ataque, ya que podríamos volvernos un objetivo secundario? ¿Qué leyes regulan el almacenamiento y la trasferencia de datos sensibles, como la información personal de los clientes, en la industria? ¿Cuál podría ser el impacto de un ataque de ransomware que bloquee y borre todas las computadoras y cuánto tardaría la restauración de las copias de seguridad? ¿Los daños reputacionales pueden medirse en dinero cuando el público y los socios se enteren del ataque recibido? ¿Qué medidas adicionales se pueden tomar para proteger a los empleados en home office? Los servicios de seguridad de la información y los expertos de otros departamentos deben abordar todas estas cuestiones, apoyándose en medidas organizativas y técnicas.

Hay que recordarle a los directivos que “comprar este [o aquel] sistema de protección” no es una solución milagrosa para todos estos problemas, ya que, según las estimaciones, entre el 46 y el 77 % de todos los incidentes se relacionan con el factor humano: desde el incumplimiento de las regulaciones y los intrusos maliciosos, hasta la falta de transparencia TI por parte de los contratistas.

A pesar de esto, los problemas de la seguridad de la información suelen girar en torno al presupuesto.

Invierte correctamente

La inversión en la seguridad de la información siempre se queda corta, mientras que los problemas que hay que resolver parecen infinitos. Es importante priorizar de acuerdo con los requerimientos de la industria en cuestión y con las amenazas más relevantes y que puedan dañar a la organización. Esto es posible prácticamente en todas las áreas, desde el cierre de vulnerabilidades hasta la formación del personal. No se puede ignorar ninguna y cada una tendrá sus propias prioridades y orden de precedencia. Trabajando dentro del presupuesto asignado, eliminamos los principales riesgos y ya luego procedemos a los menos probables. Pero clasificar las probabilidades de riesgo por tu cuenta es una tarea casi imposible, para lo que deberías estudiar los informes del panorama de amenazas en tu industria y analizar los típicos vectores de ataque.

Claro que cuando hay que elevar el presupuesto las cosas se ponen más interesantes. La estrategia más madura para la elaboración del presupuesto es la que se basa en los riesgos y el coste respectivo de su actualización y minimización, pero también es más laboriosa. Los ejemplos reales, en especial las experiencias de la competencia, juegan un papel principal en las juntas directivas. Dicho esto, no son fáciles de encontrar, por lo que es común recurrir a puntos de referencia que brinden presupuestos estimados para un sector comercial y país en particular.

Toma en cuenta los riesgos de todo tipo

Los debates sobre la seguridad de la información suelen centrarse en los ciberdelincuentes y los softwares para combatirlos. Pero el día a día de muchas organizaciones se enfrentan a otros riesgos que se relacionan también con la seguridad de la información.

No hay duda de que uno de los riesgos más importante en años recientes es el de la violación de normas en el almacenamiento y uso de datos personales, como el RGPD, CCPA, etc. La práctica actual de las fuerzas policiales muestra que ignorar dichas leyes no es una opción: tarde o temprano te pondrán una multa y en muchos casos, principalmente en Europa, hablamos de costos considerables. Una perspectiva todavía más alarmante que se avecina para las empresas es la imposición de multas basadas en el volumen de filtraciones o gestión inadecuado de datos personales, por lo que una auditoría integral de los sistemas y procesos de información con el objetivo de eliminar paso a paso estas violaciones puede ser sumamente oportuna.

Varias industrias tienen sus propios criterios, incluso más estrictos, principalmente los sectores financiero, sanitario y de telecomunicaciones, así como los operadores de infraestructuras críticas. Esta tarea debe supervisarse regularmente por los gerentes de estas áreas para mejorar el cumplimiento de los requisitos normativos en sus departamentos.

Responde correctamente

Tristemente, los incidentes de ciberseguridad son prácticamente inevitables a pesar de los esfuerzos. Si la escala de un ataque es lo suficientemente grande como para atraer la atención de la sala de juntas, es probable que ya signifique una interrupción de las operaciones o una filtración de datos importantes. No solo la seguridad de la información, sino también las unidades de negocio deben prepararse para responder, tras de haber realizado una serie de simulacros. Como mínimo, los altos mandos deben conocer y seguir los procedimientos de respuesta para no reducir las posibilidades de un resultado favorable. Estos son los tres pasos fundamentales que el CEO debe seguir:

  1. Avisar cuanto antes; dependiendo del contexto: departamentos financieros y legales, aseguradoras, reguladores de la industria, reguladores de protección de datos, fuerzas policiales, clientes afectados. En muchos casos, el plazo para dicha notificación se establece por la ley, pero si no, debe asentarse en el reglamento interno. El sentido común dicta que la notificación sea rápida pero informativa; o sea, antes de avisar debe recabarse información sobre la naturaleza del incidente, incluyendo una evaluación inicial de la escala y las medidas de primera respuesta tomadas.
  2. Investigar el incidente. Es importante tomar diversas medidas para poder evaluar la escala y las ramificaciones del ataque de forma correcta. Además de las medidas meramente técnicas, realizar encuestas a los empleados también puede aportar relevancia, por ejemplo. Durante la investigación, es muy importante no dañar las pruebas digitales del ataque u otros artefactos. En muchos casos, tiene sentido contratar expertos externos para investigar y limpiar el incidente.
  3. Elaborar un programa de comunicaciones. Un error usual que las empresas cometen es tratar de ocultar o minimizar la importancia de un incidente. Tarde o temprano, la escala real del problema saldrá a la luz, prolongando y ampliando los daños, desde la reputación hasta en lo financiero. Por ende, las comunicaciones externas e internas deben ser periódicas y sistemáticas, proporcionando información consistente y de uso práctico para clientes y empleados. Deben informar claramente sobre qué acciones tomar ahora y qué esperar en el futuro. Sería una buena idea centralizar las comunicaciones; o sea, nombrar portavoces internos y externos y prohibir que cualquier otra persona lleve a cabo esta función.

Comunicar los asuntos de seguridad de la información a la dirección es una tarea que necesita mucho tiempo y no siempre es gratificante, por lo que es poco probable que estos cinco mensajes se transmitan y se tomen en serio en solo una o dos reuniones. La interacción entre la empresa y la seguridad de la información es un proceso continuo que necesita de un esfuerzo mutuo para entenderse mejor. Solo con una estrategia sistemática, paso a paso, con regularidad y que involucre a prácticamente todos los ejecutivos, tu empresa puede ganar ventaja sobre la competencia en la navegación por el ciberespacio actual.

Consejos