Estimad@s amig@s
Sinopsis
Los ciberataques a
organizaciones de todo tipo han aumentado exponencialmente. Todos los días
leemos noticias de empresas y entidades públicas que han sufrido pérdidas
importantes, incluso devastadoras, por la acción de ciberdelincuentes.
¿Estamos entrando en un
negocio demasiado peligroso?, ¿Son predecibles los
riesgos digitales?, ¿Tenemos que vivir instalados en el miedo a un
incidente de ciberseguridad?, ¿Cómo debemos actuar ante un ataque de
este tipo?
La mayoría de los directivos
están muy bien capacitados y ejercitados para gestionar los riesgos
tradicionales de las compañías, pero tienen dudas al enfrentarse a estos nuevos
retos digitales debido a que no tienen formación en esta área o es todavía
incipiente y los ataques son cada vez más silenciosos, inteligentes y
sofisticados.
Ciberseguridad
para directivos permite a los responsables de empresas y
equipos que no provengan del campo de la seguridad o de la tecnología de la
información gestionar los tres pilares fundamentales de la ciberseguridad:
identificar los riesgos devenidos, establecer controles y poner en práctica los
procesos y la organización necesarios para hacerlo de forma eficiente.
Con un lenguaje sencillo y
un enfoque práctico, el libro
incluye, además, casos reales y numerosos estudios para facilitar la
explicación de las cuestiones complejas y ejemplos de la historia,
estableciendo analogías con los retos que plantea la era digital.
«La conciencia del
peligro es ya la mitad
de la seguridad y de la salvación»
Ramón
J. Sénder
Introducción
En la actualidad cada vez
son más las empresas víctimas de ciberataques que generan graves daños para el
negocio y ponen en entredicho la reputación y la confianza en ellas, reduciendo
considerablemente su valor. Ser vulnerable o tener una brecha de seguridad es
algo que ninguna organización de cualquier tamaño se puede permitir pues en
cuestión de minutos un incidente de este tipo puede bloquear su actividad,
afectando incluso a clientes, proveedores o comunidades, provocando un impacto
en ocasiones devastador para la organización o dificultando gravemente su
recuperación (…)
(…) los activos físicos se
transforman en activos digitales y aparecen nuevos activos intangibles que hay que
proteger (software, datos, etc.).
(…) administrar la seguridad
equivale a administrar los riesgos que amenazan sus recursos, sean estos
personas, materiales o intangibles, como la propiedad intelectual, la
reputación o la marca (…)
Nadie nos ha preparado para
la protección de activos digitales como líneas de código de software, datos de
usuarios, billeteras virtuales o criptomonedas (…)
(…) podemos mejorar la
ciberseguridad en un orden de magnitud con grandes inversiones y un alto coste
operacional, pero al precio de privar de recursos a la organización en áreas
donde son necesarios para crecer y desarrollarse (…) la ciberseguridad (…) en
la mayoría de las compañías es un proceso de soporte, no forma parte del proceso
central (…)
«Proteger a un
servidor es muy distinto
a proteger un negocio»
John
Delk
¿Resistiría tu empresa una
simulación de ataque de Ransomware?, ¿Sabe la alta
dirección de la compañía qué es?, ¿Cómo debemos actuar en caso de ser
atacados?, ¿Qué responsabilidad tiene el órgano de administración?
¿Estoy utilizando “marketing
del miedo” como diría Victor
Eduardo Deutsch? Puede que sí, pero mi
intención es evangelizar sobre la necesidad que tiene la alta dirección de la
compañía de entender la ciberseguridad.
Hace poco hablamos de libros
como finanzas
para directivos... Todo directivo que se precie debe
conocer los rasgos generales de la finanzas, conocer el lenguaje, saber hacer
preguntas, manejar la información que se nos pone a disposición... ¿Deben
los directivos de nuestra compañía saber los principales riesgos que conlleva
obviar la ciberseguridad? En caso afirmativo, compartirás la opinión de la
necesidad que tenemos en la compañías de una cultura de ciberseguridad.
¿Por dónde empezar? Fomentar
el conocimiento en materia de prevención, realizar una auditoría ¿dónde
estamos?, ¿Dónde deberíamos estar?, ¿Quién nos puede ayudar?
La ciberseguridad no tiene
que ser un coste para la compañía, debemos asumirla como una inversión. Tenemos
que tener claro que como altos directivos debe estar en nuestra agenda chequear
periódicamente, actualizar procesos, formarnos, dar ejemplo a nuestro equipo.
Los malos no descansan,
tampoco lo hagamos nosotros, comprometámonos en hacer de nuestras empresas
espacios ciberseguros.
«La eficiencia es
hacer las cosas bien;
la efectividad es hacer las cosas correctas»
Peter
F Drucker
(…) muchos de los informes,
noticias y reportajes referidos a los riesgos de ciberseguridad que leemos (…)
pueden darnos la sensación de estar ante campañas de marketing del miedo[i]
(…)
• “El 75% de las
organizaciones se encuentran en alto riesgo de sufrir un ciberataque, según un
estudio”[ii]
• “Un gran número de
empresas se encuentra en un estado de alto riesgo frente a cualquier tipo de
ciberataque”[iii]
• “Los ciberataques mueven
ya más dinero que el narcotráfico”[iv]
Palabras como phishing[v], spoofing[vi] o code infection[vii] forman parte de la jerga habitual de los especialistas en ciberseguridad y son inteligibles para la mayoría (…)
(…) para entender cómo se desarrollan los incidentes de ciberseguridad (…)
1. Los incidentes de ciberseguridad no se producen por un único punto de fallo, sino por una condición de factores (…)
2. Los incidentes intencionales se originan por los mismos motivos de carácter humano que los que ocurren en el mundo físico (…)
(…) los posibles daños económicos a la empresa se resumir en dos (…)
1. Pérdidas patrimoniales, que pueden afectar a activos tangibles[viii] e intangibles[ix]
¿Cuántas vulnerabilidades puede haber entre miles de líneas de código? (…)
2. Pérdidas por fraude o extorsión.
2.1.
Fraude del Ceo
2.2.
Fraude de Recursos Humanos
2.3.
Ataque de suplantación de proveedores
Formas de extorsión
• Ransomware
• Sextorsión
• Ataque de denegación de
servicio[x]
(…) ¿Qué podemos hacer cómo
gestores para evitar estas situaciones?
(…) la concienciación de los
empleados y el diseño de procesos de control efectivos (…)
No todos los incidentes de ciberseguridad ponen en peligro el patrimonio de la empresa (…) alteran su capacidad operativa para desarrollar el negocio de la forma habitual, interrumpiendo total o parcialmente las operaciones (…)
1. Gastos extraordinarios o lucro cesante.
1.1.
Ataques de denegación de servicio[xi]
1.2.
Ataques centrados en la capa superficial de
los sitios webs.
1.3. Ataques dirigidos que buscan producir daño al equipo o la destrucción de datos.
2. Mayores costes.
(…) la forma en la que
gestionemos la crisis puede hacer que tenga más o menos consecuencias. Nuestra
diligencia, capacidad de reacción y entrenamiento previo son fundamentales para
minimizar las consecuencias (…)
(…) ¿Cuál es la forma adecuada
de gestionar una situación imprevista? (…)
(…) ante una crisis, se
puede reaccionar de diferentes maneras: maldecir a la mala suerte y quedarse
quieto o intentar gestionar la situación con los recursos disponibles; preparar
un discurso de justificación para cuando la crisis ocurra o enfrentarse a ella
con todas las herramientas disponibles.
Una buena gestión de la
crisis puede reforzar a la compañía, minimizar las perdidas (…)
(…) políticas para un
programa de seguridad corporativo:
• Analizar y clasificar los
datos según sensibilidad.
• Dar acceso a datos
sensibles solo al personal imprescindible.
• Seleccionar al personal
adecuadamente.
• Depurar /eliminar todo
dato sensible.
• Establecer mecanismos
sensibles de doble autenticación para el acceso a datos y procesos críticos.
• Cambiar las claves con
frecuencia.
• Borrado remoto.
• Antivirus /Antimalware.
• Políticas de descarga de aplicaciones.
(…) eslabones de la cadena
de ciberseguridad
• Dispositivo,
• Autorizaciones de acceso,
• Componentes del software,
• Seguridad de los datos.
En el nuevo paradigma hay un
elemento inalterable: las personas (…) la concienciación de los empleados y de
terceras partes constituye una responsabilidad indelegable. De nada sirve
establecer unos exigentes estándares de ciberseguridad si descuidamos el factor
humano.
Si queremos tener una visión
completa de la ciberseguridad en la compañía, debemos desgranar todos estos
procesos, servicios y productos digitalizados en un inventario (…)
(…) quizás la función más
importante de la empresa, incluso más que tener controlados los procesos de
negocio y el código de las aplicaciones, es construir dentro de la organización
una cultura de ciberseguridad. De nada sirven los mejores programas e
infraestructuras si los empleados son propensos a caer en el “fraude
del CEO” u otros similares.
(…) el proceso de análisis y
corrección de vulnerabilidades tiene que ser continuo, con independencia de la
frecuencia con la que evolucionen las aplicaciones (…)
(…) el CISO debe
transformarse en algo más que un centinela a la espera del ataque al perímetro;
debe ser un agente activo que ayude a diseñar procesos de negocio seguros desde
el origen, anticipando las posibles amenazas y definiendo las tecnologías
apropiadas para abordarlas (…)
El CISO del futuro
tendrá que ser una persona con mayor conocimiento del negocio que de la
tecnología, capaz de analizar los flujos de fondos, los riesgos y la
experiencia del cliente; además, habrá de saber correlacionar hechos que se
producen en el mundo virtual (…) y el mundo físico (…) monitorizar a gente o
procesos, no dispositivos.
(…) lo que debe saber un
directivo para gestionar la identidad digital de la forma más eficiente (…)
• La mejor defensa contra
una suplantación es compartimentar la información, o sea, analizar la
criticidad de los datos y controlar el acceso a lo estrictamente necesario para
el trabajo de cada empleado, colaborador o cliente.
• Las personas que deben
tener acceso a información sensible han de contar con un método de
autenticación con mayor nivel de fiabilidad (…)
«Todo el mundo está
de acuerdo en que todo
lo que las soluciones a los grandes
problemas...
nunca puede estar sin
algún elemento de la educación»
Negroponte
Conclusiones
La ciberseguridad es uno de
los tantos riesgos que debe gestionarse en la compañía. Que tenga más o menos
peso depende de la naturaleza de los negocios de la organización y de la
evolución tecnológica (…)
(…) un directivo no necesita
ser un especialista en todos los factores de riesgo que ha de gestionar (…)
(…) el administrador [no] tiene
que desligarse de las decisiones estratégicas en materia de ciberseguridad. Un
directivo de la era digital tiene que saber valorar las posibles alternativas
de solución a las diferentes amenazas en términos de las posibles consecuencias
para el patrimonio tangible o intangible de la organización y poner metas altas
para alcanzar los objetivos de máxima eficiencia.
(…) el directivo puede hacer
muchas cosas para establecer un marco seguro en el que los profesionales de la
ciberseguridad y la empresa en general puedan desenvolverse de manera eficaz y
eficiente (…)
«La imprudencia suele
preceder
a la calamidad»
Ciberseguridad
para directivos
Riesgos,
control y eficiencia de las tecnologías de la información
Link de interés
• INCIBE
• Liderar personas
con inteligencia artificial: Cambio y digitalización
«Todo el mundo tiene un plan
hasta que le doy un puñetazo»
Mike
Tyson
ABRAZOTES
[i] Fear-based-marketing
[ii] La Razón
[iii] ABC
[iv] Computing
[v] Estafa que tiene como objetivo
obtener a través de Internet datos privados de los usuarios, especialmente para
acceder a sus cuentas o datos bancarios.
[vi] Usurpar una identidad electrónica
para ocultar la propia identidad y así cometer delitos en Internet.
[vii] Tipo de ataque que inserta código fuente
en una aplicación con fines maliciosos.
[viii] Daños materiales.
[ix] Afectan sobre todo a la propiedad
intelectual.
[x] DoS [Denial of Service]
o DDoS [Distributed Denial of Service].
[xi] DoS o DDoS
No hay comentarios:
Publicar un comentario