{"id":25847,"date":"2023-02-05T23:29:31","date_gmt":"2023-02-06T05:29:31","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25847"},"modified":"2023-02-05T23:29:31","modified_gmt":"2023-02-06T05:29:31","slug":"5-cybersecurity-lessons-ceo","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/25847\/","title":{"rendered":"5 lecciones de ciberseguridad para CEO"},"content":{"rendered":"

La seguridad de la informaci\u00f3n es un campo muy estresante: buscar constantemente posibles incidentes y largas jornadas de dedicaci\u00f3n que se ponen peor con la interminable batalla con otros departamentos que ven la ciberseguridad como una molestia innecesaria. En el mejor de los casos, tratan de ignorarle, pero hay casos m\u00e1s graves en los que evitan directamente todo lo que tenga que ver ella. Como resultado, el 62 % de los altos directivos encuestados<\/a> por Kaspersky admiten que los malentendidos entre las empresas y los departamentos de seguridad de la informaci\u00f3n han generado graves ciberincidentes. Para cambiar la actitud de una organizaci\u00f3n hacia la seguridad de la informaci\u00f3n, es muy importante conseguir el apoyo de los altos mandos, o sea, la junta directiva. Por ende, \u00bfqu\u00e9 decirle al CEO o presidente que siempre est\u00e1 ocupado y seguramente sin tiempo ni ganas de pensar en la seguridad de la informaci\u00f3n? Te dejamos aqu\u00ed 5 fundamentos simples y digeribles que puedes repetir en las juntas para que direcci\u00f3n capte el mensaje.<\/p>\n

Forma a tus empleados en materia de ciberseguridad y comienza por los directivos<\/h2>\n

En toda formaci\u00f3n hay que confiar en quien ense\u00f1a, lo que puede complicarse si quien aprende es el CEO. Establecer un puente interpersonal y ganar credibilidad ser\u00e1 mucho m\u00e1s f\u00e1cil si empiezas sin estrategia, sino tratando la ciberseguridad personal de la direcci\u00f3n, la cual afecta directamente a la seguridad de toda la compa\u00f1\u00eda, ya que los datos personales y contrase\u00f1as del CEO suelen ser el objetivo de los atacantes.<\/p>\n

Por ejemplo, \u00bfrecuerdas el esc\u00e1ndalo del 2022 en Estados unidos cuando unos atacantes entraron en la red social InfraGard<\/a>, usada por el FBI para informar confidencialmente a los CEO de las grandes empresas de las ciberamenazas m\u00e1s graves? Los ciberdelincuentes robaron una base de datos con los correos electr\u00f3nicos y n\u00fameros de tel\u00e9fono de m\u00e1s de 80,000 miembros y los pusieron a la venta por 50,000 d\u00f3lares. Quienes compraron dicha informaci\u00f3n pod\u00edan ganar la confianza de los CEO afectados o utilizarla en ataques BEC<\/a>.<\/p>\n

Esto destaca la importancia de que la direcci\u00f3n use la autenticaci\u00f3n en dos pasos<\/a> con un USB o tokens NFC en todos sus dispositivos, genere contrase\u00f1as largas y \u00fanicas en todas las cuentas corporativas, proteja todos sus dispositivos personales y corporativos con un software apropiado y separen su mundo digital personal del corporativo. B\u00e1sicamente estos consejos bastar\u00edan para cualquier usuario, solo que en su caso deben conocer el precio de un posible error. Por ello es importante que comprueben minuciosamente todos los correos electr\u00f3nicos y archivos adjuntos que reciban.<\/p>\n

Una vez que la directiva haya tomado sus lecciones b\u00e1sicas de seguridad, hay que guiarlos en la pr\u00f3xima decisi\u00f3n estrat\u00e9gica: formaciones peri\u00f3dicas en materia de seguridad de la informaci\u00f3n para todos los empleados. Y para cada nivel de empleados hay diferentes requisitos de conocimiento. Todos, hasta los empleados de primera l\u00ednea, deben asimilar las reglas de ciberhigiene ya mencionadas, adem\u00e1s de los consejos sobre c\u00f3mo responder a situaciones sospechosas o fueras de lo normal. Los directivos, sobre todos los de IT, se beneficiar\u00edan de una informaci\u00f3n ampliada sobre c\u00f3mo se integra la seguridad en el desarrollo de producto y en el ciclo de vida de uso, qu\u00e9 pol\u00edticas de seguridad adoptar en sus departamentos y c\u00f3mo puede afectar al rendimiento empresarial. Por su lado, los empleados de la seguridad de la informaci\u00f3n deber\u00edan estudiar los procesos empresariales en la compa\u00f1\u00eda para tener una imagen completa sobre c\u00f3mo integrar los mecanismos de protecci\u00f3n de la forma menos agresiva posible.<\/p>\n

Integra la ciberseguridad en la estrategia y los procesos de la compa\u00f1\u00eda<\/h2>\n

Conforme se digitaliza la econom\u00eda, el panorama de la ciberdelincuencia se vuelve cada vez m\u00e1s complejo y la regulaci\u00f3n se intensifica, de hecho, la gesti\u00f3n de los riesgos cibern\u00e9ticos comienza a ser una tarea completa a nivel de le direcci\u00f3n. Hay toda una serie de aspectos tecnol\u00f3gicos, humanos, financieros, legales y organizacionales al respecto, por lo que los l\u00edderes de todas las \u00e1reas deben involucrarse en la adaptaci\u00f3n de la estrategia y procesos de la compa\u00f1\u00eda.<\/p>\n

\u00bfC\u00f3mo disminuir los riesgos cuando un proveedor o contratista recibe un ataque, ya que podr\u00edamos volvernos un objetivo secundario? \u00bfQu\u00e9 leyes regulan el almacenamiento y la trasferencia de datos sensibles, como la informaci\u00f3n personal de los clientes, en la industria? \u00bfCu\u00e1l podr\u00eda ser el impacto de un ataque de ransomware<\/em> que bloquee y borre todas las computadoras y cu\u00e1nto tardar\u00eda la restauraci\u00f3n de las copias de seguridad? \u00bfLos da\u00f1os reputacionales pueden medirse en dinero cuando el p\u00fablico y los socios se enteren del ataque recibido? \u00bfQu\u00e9 medidas adicionales se pueden tomar para proteger a los empleados en home office<\/em>? Los servicios de seguridad de la informaci\u00f3n y los expertos de otros departamentos deben abordar todas estas cuestiones, apoy\u00e1ndose en medidas organizativas y t\u00e9cnicas.<\/p>\n

Hay que recordarle a los directivos que \u201ccomprar este [o aquel] sistema de protecci\u00f3n\u201d no es una soluci\u00f3n milagrosa para todos estos problemas, ya que, seg\u00fan las estimaciones, entre el 46<\/a> y el 77 %<\/a> de todos los incidentes se relacionan con el factor humano: desde el incumplimiento de las regulaciones y los intrusos maliciosos, hasta la falta de transparencia TI por parte de los contratistas.<\/p>\n

A pesar de esto, los problemas de la seguridad de la informaci\u00f3n suelen girar en torno al presupuesto.<\/p>\n

Invierte correctamente<\/h2>\n

La inversi\u00f3n en la seguridad de la informaci\u00f3n siempre se queda corta, mientras que los problemas que hay que resolver parecen infinitos. Es importante priorizar de acuerdo con los requerimientos de la industria en cuesti\u00f3n y con las amenazas m\u00e1s relevantes y que puedan da\u00f1ar a la organizaci\u00f3n. Esto es posible pr\u00e1cticamente en todas las \u00e1reas, desde el cierre de vulnerabilidades hasta la formaci\u00f3n del personal. No se puede ignorar ninguna y cada una tendr\u00e1 sus propias prioridades y orden de precedencia. Trabajando dentro del presupuesto asignado, eliminamos los principales riesgos y ya luego procedemos a los menos probables. Pero clasificar las probabilidades de riesgo por tu cuenta es una tarea casi imposible, para lo que deber\u00edas estudiar los informes del panorama de amenazas<\/a> en tu industria y analizar los t\u00edpicos vectores de ataque.<\/p>\n

Claro que cuando hay que elevar el presupuesto las cosas se ponen m\u00e1s interesantes. La estrategia m\u00e1s madura para la elaboraci\u00f3n del presupuesto es la que se basa en los riesgos y el coste respectivo de su actualizaci\u00f3n y minimizaci\u00f3n, pero tambi\u00e9n es m\u00e1s laboriosa. Los ejemplos reales, en especial las experiencias de la competencia, juegan un papel principal en las juntas directivas. Dicho esto, no son f\u00e1ciles de encontrar, por lo que es com\u00fan recurrir a puntos de referencia que brinden presupuestos estimados para un sector comercial y pa\u00eds en particular<\/a>.<\/p>\n

Toma en cuenta los riesgos de todo tipo<\/h2>\n

Los debates sobre la seguridad de la informaci\u00f3n suelen centrarse en los ciberdelincuentes y los softwares para combatirlos. Pero el d\u00eda a d\u00eda de muchas organizaciones se enfrentan a otros riesgos que se relacionan tambi\u00e9n con la seguridad de la informaci\u00f3n.<\/p>\n

No hay duda de que uno de los riesgos m\u00e1s importante en a\u00f1os recientes es el de la violaci\u00f3n de normas en el almacenamiento y uso de datos personales, como el RGPD, CCPA, etc. La pr\u00e1ctica actual de las fuerzas policiales muestra que ignorar dichas leyes no es una opci\u00f3n: tarde o temprano te pondr\u00e1n una multa y en muchos casos, principalmente en Europa, hablamos de costos considerables. Una perspectiva todav\u00eda m\u00e1s alarmante que se avecina para las empresas es la imposici\u00f3n de multas basadas en el volumen de filtraciones o gesti\u00f3n inadecuado de datos personales, por lo que una auditor\u00eda integral de los sistemas y procesos de informaci\u00f3n con el objetivo de eliminar paso a paso estas violaciones puede ser sumamente oportuna.<\/p>\n

Varias industrias tienen sus propios criterios, incluso m\u00e1s estrictos, principalmente los sectores financiero, sanitario y de telecomunicaciones, as\u00ed como los operadores de infraestructuras cr\u00edticas. Esta tarea debe supervisarse regularmente por los gerentes de estas \u00e1reas para mejorar el cumplimiento de los requisitos normativos en sus departamentos.<\/p>\n

Responde correctamente<\/h2>\n

Tristemente, los incidentes de ciberseguridad son pr\u00e1cticamente inevitables a pesar de los esfuerzos. Si la escala de un ataque es lo suficientemente grande como para atraer la atenci\u00f3n de la sala de juntas, es probable que ya signifique una interrupci\u00f3n de las operaciones o una filtraci\u00f3n de datos importantes. No solo la seguridad de la informaci\u00f3n, sino tambi\u00e9n las unidades de negocio deben prepararse para responder, tras de haber realizado una serie de simulacros. Como m\u00ednimo, los altos mandos deben conocer y seguir los procedimientos de respuesta para no reducir las posibilidades de un resultado favorable. Estos son los tres pasos fundamentales que el CEO debe seguir:<\/p>\n

    \n
  1. Avisar cuanto antes; dependiendo del contexto: departamentos financieros y legales, aseguradoras, reguladores de la industria, reguladores de protecci\u00f3n de datos, fuerzas policiales, clientes afectados. En muchos casos, el plazo para dicha notificaci\u00f3n se establece por la ley, pero si no, debe asentarse en el reglamento interno. El sentido com\u00fan dicta que la notificaci\u00f3n sea r\u00e1pida pero informativa; o sea, antes de avisar debe recabarse informaci\u00f3n sobre la naturaleza del incidente, incluyendo una evaluaci\u00f3n inicial de la escala y las medidas de primera respuesta tomadas.<\/li>\n
  2. Investigar el incidente. Es importante tomar diversas medidas para poder evaluar la escala y las ramificaciones del ataque de forma correcta. Adem\u00e1s de las medidas meramente t\u00e9cnicas, realizar encuestas a los empleados tambi\u00e9n puede aportar relevancia, por ejemplo. Durante la investigaci\u00f3n, es muy importante no da\u00f1ar las pruebas digitales del ataque u otros artefactos. En muchos casos, tiene sentido contratar expertos externos<\/a> para investigar y limpiar el incidente.<\/li>\n
  3. Elaborar un programa de comunicaciones. Un error usual que las empresas cometen es tratar de ocultar o minimizar la importancia de un incidente. Tarde o temprano, la escala real del problema saldr\u00e1 a la luz, prolongando y ampliando los da\u00f1os, desde la reputaci\u00f3n hasta en lo financiero. Por ende, las comunicaciones externas e internas deben ser peri\u00f3dicas y sistem\u00e1ticas<\/a>, proporcionando informaci\u00f3n consistente y de uso pr\u00e1ctico para clientes y empleados. Deben informar claramente sobre qu\u00e9 acciones tomar ahora y qu\u00e9 esperar en el futuro. Ser\u00eda una buena idea centralizar las comunicaciones; o sea, nombrar portavoces internos y externos y prohibir que cualquier otra persona lleve a cabo esta funci\u00f3n.<\/li>\n<\/ol>\n

    Comunicar los asuntos de seguridad de la informaci\u00f3n a la direcci\u00f3n es una tarea que necesita mucho tiempo y no siempre es gratificante, por lo que es poco probable que estos cinco mensajes se transmitan y se tomen en serio en solo una o dos reuniones. La interacci\u00f3n entre la empresa y la seguridad de la informaci\u00f3n es un proceso continuo que necesita de un esfuerzo mutuo para entenderse mejor. Solo con una estrategia sistem\u00e1tica, paso a paso, con regularidad y que involucre a pr\u00e1cticamente todos los ejecutivos, tu empresa puede ganar ventaja sobre la competencia en la navegaci\u00f3n por el ciberespacio actual.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Las medidas de seguridad de la informaci\u00f3n son m\u00e1s eficaces cuando reciben el apoyo de los directivos. \u00bfC\u00f3mo puedes conseguirlo? <\/p>\n","protected":false},"author":2722,"featured_media":25848,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[427,874,3012,4575,31,472,614],"class_list":{"0":"post-25847","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataques","11":"tag-empresas","12":"tag-formacion","13":"tag-incidentes","14":"tag-phishing","15":"tag-ransomware","16":"tag-riesgos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/25847\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/5-cybersecurity-lessons-ceo\/25132\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/20627\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/27759\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/5-cybersecurity-lessons-ceo\/25465\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/5-cybersecurity-lessons-ceo\/28364\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/5-cybersecurity-lessons-ceo\/34613\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/47030\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/5-cybersecurity-lessons-ceo\/20086\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/5-cybersecurity-lessons-ceo\/20717\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/5-cybersecurity-lessons-ceo\/29720\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/5-cybersecurity-lessons-ceo\/33197\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/5-cybersecurity-lessons-ceo\/25825\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/5-cybersecurity-lessons-ceo\/31504\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/5-cybersecurity-lessons-ceo\/31218\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/empresas\/","name":"empresas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25847","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25847"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25847\/revisions"}],"predecessor-version":[{"id":25851,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25847\/revisions\/25851"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25848"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25847"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25847"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25847"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}