lunes, 11 de julio de 2022

Ciberseguridad para directivos: Riesgos, control y eficiencia de las tecnologías de la información

Estimad@s amig@s

Sinopsis

Los ciberataques a organizaciones de todo tipo han aumentado exponencialmente. Todos los días leemos noticias de empresas y entidades públicas que han sufrido pérdidas importantes, incluso devastadoras, por la acción de ciberdelincuentes.

¿Estamos entrando en un negocio demasiado peligroso?, ¿Son predecibles los riesgos digitales?, ¿Tenemos que vivir instalados en el miedo a un incidente de ciberseguridad?, ¿Cómo debemos actuar ante un ataque de este tipo?

La mayoría de los directivos están muy bien capacitados y ejercitados para gestionar los riesgos tradicionales de las compañías, pero tienen dudas al enfrentarse a estos nuevos retos digitales debido a que no tienen formación en esta área o es todavía incipiente y los ataques son cada vez más silenciosos, inteligentes y sofisticados.

Ciberseguridad para directivos permite a los responsables de empresas y equipos que no provengan del campo de la seguridad o de la tecnología de la información gestionar los tres pilares fundamentales de la ciberseguridad: identificar los riesgos devenidos, establecer controles y poner en práctica los procesos y la organización necesarios para hacerlo de forma eficiente.

Con un lenguaje sencillo y un enfoque práctico, el libro incluye, además, casos reales y numerosos estudios para facilitar la explicación de las cuestiones complejas y ejemplos de la historia, estableciendo analogías con los retos que plantea la era digital.

 

«La conciencia del peligro es ya la mitad

 de la seguridad y de la salvación»

Ramón J. Sénder

 

Introducción

En la actualidad cada vez son más las empresas víctimas de ciberataques que generan graves daños para el negocio y ponen en entredicho la reputación y la confianza en ellas, reduciendo considerablemente su valor. Ser vulnerable o tener una brecha de seguridad es algo que ninguna organización de cualquier tamaño se puede permitir pues en cuestión de minutos un incidente de este tipo puede bloquear su actividad, afectando incluso a clientes, proveedores o comunidades, provocando un impacto en ocasiones devastador para la organización o dificultando gravemente su recuperación (…)

(…) los activos físicos se transforman en activos digitales y aparecen nuevos activos intangibles que hay que proteger (software, datos, etc.).

 

(…) administrar la seguridad equivale a administrar los riesgos que amenazan sus recursos, sean estos personas, materiales o intangibles, como la propiedad intelectual, la reputación o la marca (…)

 

Nadie nos ha preparado para la protección de activos digitales como líneas de código de software, datos de usuarios, billeteras virtuales o criptomonedas (…)

 

(…) podemos mejorar la ciberseguridad en un orden de magnitud con grandes inversiones y un alto coste operacional, pero al precio de privar de recursos a la organización en áreas donde son necesarios para crecer y desarrollarse (…) la ciberseguridad (…) en la mayoría de las compañías es un proceso de soporte, no forma parte del proceso central (…)

 

«Proteger a un servidor es muy distinto

 a proteger un negocio»

John Delk

 

¿Resistiría tu empresa una simulación de ataque de Ransomware?, ¿Sabe la alta dirección de la compañía qué es?, ¿Cómo debemos actuar en caso de ser atacados?, ¿Qué responsabilidad tiene el órgano de administración?

 

¿Estoy utilizando “marketing del miedo” como diría Victor Eduardo Deutsch? Puede que sí, pero mi intención es evangelizar sobre la necesidad que tiene la alta dirección de la compañía de entender la ciberseguridad.

 

Hace poco hablamos de libros como finanzas para directivos... Todo directivo que se precie debe conocer los rasgos generales de la finanzas, conocer el lenguaje, saber hacer preguntas, manejar la información que se nos pone a disposición... ¿Deben los directivos de nuestra compañía saber los principales riesgos que conlleva obviar la ciberseguridad? En caso afirmativo, compartirás la opinión de la necesidad que tenemos en la compañías de una cultura de ciberseguridad.

 

¿Por dónde empezar? Fomentar el conocimiento en materia de prevención, realizar una auditoría ¿dónde estamos?, ¿Dónde deberíamos estar?, ¿Quién nos puede ayudar?

 

La ciberseguridad no tiene que ser un coste para la compañía, debemos asumirla como una inversión. Tenemos que tener claro que como altos directivos debe estar en nuestra agenda chequear periódicamente, actualizar procesos, formarnos, dar ejemplo a nuestro equipo.

 

Los malos no descansan, tampoco lo hagamos nosotros, comprometámonos en hacer de nuestras empresas espacios ciberseguros.  

 

«La eficiencia es hacer las cosas bien;

 la efectividad es hacer las cosas correctas»

Peter F Drucker

 

(…) muchos de los informes, noticias y reportajes referidos a los riesgos de ciberseguridad que leemos (…) pueden darnos la sensación de estar ante campañas de marketing del miedo[i] (…)

• “El 75% de las organizaciones se encuentran en alto riesgo de sufrir un ciberataque, según un estudio”[ii]

• “Un gran número de empresas se encuentra en un estado de alto riesgo frente a cualquier tipo de ciberataque”[iii]

• “Los ciberataques mueven ya más dinero que el narcotráfico”[iv]


Palabras como phishing[v], spoofing[vi] o code infection[vii] forman parte de la jerga habitual de los especialistas en ciberseguridad y son inteligibles para la mayoría (…)

 

(…) para entender cómo se desarrollan los incidentes de ciberseguridad (…)

1.   Los incidentes de ciberseguridad no se producen por un único punto de fallo, sino por una condición de factores (…)

2.   Los incidentes intencionales se originan por los mismos motivos de carácter humano que los que ocurren en el mundo físico (…)

 

(…) los posibles daños económicos a la empresa se resumir en dos (…)

1.   Pérdidas patrimoniales, que pueden afectar a activos tangibles[viii] e intangibles[ix]

 

¿Cuántas vulnerabilidades puede haber entre miles de líneas de código? (…)


2.   Pérdidas por fraude o extorsión.

2.1.     Fraude del Ceo

2.2.     Fraude de Recursos Humanos

2.3.     Ataque de suplantación de proveedores

 

Formas de extorsión

Ransomware

Sextorsión

• Ataque de denegación de servicio[x]

 

(…) ¿Qué podemos hacer cómo gestores para evitar estas situaciones?

(…) la concienciación de los empleados y el diseño de procesos de control efectivos (…)

 

No todos los incidentes de ciberseguridad ponen en peligro el patrimonio de la empresa (…) alteran su capacidad operativa para desarrollar el negocio de la forma habitual, interrumpiendo total o parcialmente las operaciones (…)

1.   Gastos extraordinarios o lucro cesante.

1.1.     Ataques de denegación de servicio[xi]

1.2.     Ataques centrados en la capa superficial de los sitios webs.

1.3.     Ataques dirigidos que buscan producir daño al equipo o la destrucción de datos.

2.   Mayores costes.

 

(…) la forma en la que gestionemos la crisis puede hacer que tenga más o menos consecuencias. Nuestra diligencia, capacidad de reacción y entrenamiento previo son fundamentales para minimizar las consecuencias (…)

 

(…) ¿Cuál es la forma adecuada de gestionar una situación imprevista? (…)

 

(…) ante una crisis, se puede reaccionar de diferentes maneras: maldecir a la mala suerte y quedarse quieto o intentar gestionar la situación con los recursos disponibles; preparar un discurso de justificación para cuando la crisis ocurra o enfrentarse a ella con todas las herramientas disponibles.

Una buena gestión de la crisis puede reforzar a la compañía, minimizar las perdidas (…)

 

(…) políticas para un programa de seguridad corporativo:

• Analizar y clasificar los datos según sensibilidad.

• Dar acceso a datos sensibles solo al personal imprescindible.

• Seleccionar al personal adecuadamente.

• Depurar /eliminar todo dato sensible.

• Establecer mecanismos sensibles de doble autenticación para el acceso a datos y procesos críticos.

• Cambiar las claves con frecuencia.

• Borrado remoto.

• Antivirus /Antimalware.

•  Políticas de descarga de aplicaciones.

 

(…) eslabones de la cadena de ciberseguridad

• Dispositivo,

• Autorizaciones de acceso,

• Componentes del software,

• Seguridad de los datos.

 

En el nuevo paradigma hay un elemento inalterable: las personas (…) la concienciación de los empleados y de terceras partes constituye una responsabilidad indelegable. De nada sirve establecer unos exigentes estándares de ciberseguridad si descuidamos el factor humano.

 

Si queremos tener una visión completa de la ciberseguridad en la compañía, debemos desgranar todos estos procesos, servicios y productos digitalizados en un inventario (…)

 

(…) quizás la función más importante de la empresa, incluso más que tener controlados los procesos de negocio y el código de las aplicaciones, es construir dentro de la organización una cultura de ciberseguridad. De nada sirven los mejores programas e infraestructuras si los empleados son propensos a caer en el “fraude del CEO” u otros similares.

 

(…) el proceso de análisis y corrección de vulnerabilidades tiene que ser continuo, con independencia de la frecuencia con la que evolucionen las aplicaciones (…)

 

(…) el CISO debe transformarse en algo más que un centinela a la espera del ataque al perímetro; debe ser un agente activo que ayude a diseñar procesos de negocio seguros desde el origen, anticipando las posibles amenazas y definiendo las tecnologías apropiadas para abordarlas (…)

El CISO del futuro tendrá que ser una persona con mayor conocimiento del negocio que de la tecnología, capaz de analizar los flujos de fondos, los riesgos y la experiencia del cliente; además, habrá de saber correlacionar hechos que se producen en el mundo virtual (…) y el mundo físico (…) monitorizar a gente o procesos, no dispositivos.

 

(…) lo que debe saber un directivo para gestionar la identidad digital de la forma más eficiente (…)

• La mejor defensa contra una suplantación es compartimentar la información, o sea, analizar la criticidad de los datos y controlar el acceso a lo estrictamente necesario para el trabajo de cada empleado, colaborador o cliente.

• Las personas que deben tener acceso a información sensible han de contar con un método de autenticación con mayor nivel de fiabilidad (…)

 

«Todo el mundo está de acuerdo en que todo

 lo que las soluciones a los grandes problemas...

nunca puede estar sin algún elemento de la educación»

Negroponte

 

Conclusiones

La ciberseguridad es uno de los tantos riesgos que debe gestionarse en la compañía. Que tenga más o menos peso depende de la naturaleza de los negocios de la organización y de la evolución tecnológica (…)

(…) un directivo no necesita ser un especialista en todos los factores de riesgo que ha de gestionar (…)

(…) el administrador [no] tiene que desligarse de las decisiones estratégicas en materia de ciberseguridad. Un directivo de la era digital tiene que saber valorar las posibles alternativas de solución a las diferentes amenazas en términos de las posibles consecuencias para el patrimonio tangible o intangible de la organización y poner metas altas para alcanzar los objetivos de máxima eficiencia.

 

(…) el directivo puede hacer muchas cosas para establecer un marco seguro en el que los profesionales de la ciberseguridad y la empresa en general puedan desenvolverse de manera eficaz y eficiente (…)

 

«La imprudencia suele preceder

 a la calamidad»

Apiano

 

Ciberseguridad para directivos

Riesgos, control y eficiencia de las tecnologías de la información

Victor Eduardo Deutsch Franco

LID editorial

 

Link de interés

INCIBE

Liderar personas con inteligencia artificial: Cambio y digitalización

Ética para máquinas

 

«Todo el mundo tiene un plan

hasta que le doy un puñetazo»

Mike Tyson

 

ABRAZOTES


[i] Fear-based-marketing

[ii] La Razón

[iii] ABC

[iv] Computing

[v] Estafa que tiene como objetivo obtener a través de Internet datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios.

[vi] Usurpar una identidad electrónica para ocultar la propia identidad y así cometer delitos en Internet.

[vii] Tipo de ataque que inserta código fuente en una aplicación con fines maliciosos.

[viii] Daños materiales.

[ix] Afectan sobre todo a la propiedad intelectual.

[x] DoS [Denial of Service] o DDoS [Distributed Denial of Service].

[xi] DoS o DDoS

No hay comentarios: