Competencias Básicas de Ciberseguridad Para Gerenciales

Competencias Básicas de Ciberseguridad Para Gerenciales

En julio de 2017, uno de los incidentes más devastadores en la historia de los ciberataques ocurrió cuando un grupo de hackers de élite pirateó Equifax, una de las oficinas de crédito más grandes del mundo y robó datos privados, incluidos números de seguridad social, tarjetas de crédito, etc. de alrededor de 145 millones de clientes.

Tal información en las manos equivocadas se puede utilizar para tergiversación o robo de identidad. Este ejemplo, por lo tanto, sirve para mostrarle la importancia de tomar en serio la ciberseguridad, ya que un ciberataque puede dañar terriblemente la reputación de una organización e incluso disminuir la calidad del servicio o producto que ofrece. Esto se extiende al lado financiero a medida que los ingresos disminuyen y se incurre en pérdidas.

Ciberseguridad: Un Riesgo Estratégico Empresarial

Para muchas organizaciones, la ciberseguridad está lejos de ser una competencia central. La mayoría de los especialistas en TI, directores de juntas y ejecutivos de empresas no están demasiado familiarizados con asuntos relacionados con la seguridad de la información. Esto significa que, si ocurriera un ataque, estarían indefensos en sus intentos de proteger datos cruciales contra el robo. Es esta falta de información adecuada la que produce evasión o indecisión en lo que respecta a la ciberseguridad, y en un escenario más serio, un reconocimiento resignado de que los ciberataques son inevitables.

En el pasado, la seguridad de la información de una empresa era algo que se delegaba al departamento de TI y el tema rara vez se planteaba en las reuniones de la junta. Ese fue el período cuando el Internet todavía estaba en su infancia. Esto ya no sucede porque, a lo largo de los años, el cibercrimen se ha vuelto cada vez más desenfrenado.

Actualmente, en las reuniones de la junta, una de las agendas más importantes a la que se le da prioridad en la discusión es la ciberseguridad. ¿Por qué? Los directores y ejecutivos de la junta están más interesados que nunca en comprender cómo las amenazas planteadas por los delitos del mundo digital pueden afectar su línea de negocio.

Ahora, cada vez más empresas están elevando su seguridad cibernética de un mero problema informático a un riesgo empresarial estratégico. Este mayor interés en asegurar la información ha llevado a la creciente demanda del miembro más nuevo en la suite ejecutiva; CISO (Oficial Principal de Seguridad de la Información). Este es un ejecutivo de alto nivel dentro de una organización cuyo trabajo es mantener y establecer el programa, la estrategia y la visión de la empresa para garantizar que todas las tecnologías de la información y los activos estén lo suficientemente protegidos de los piratas informáticos y los crackers.

Este nuevo desarrollo contribuirá en gran medida a mejorar el perfil comercial de las operaciones de seguridad de la información. Además, la mentalidad entre las partes interesadas y los empleados de que la seguridad de la información es un problema de TI está desapareciendo lentamente.

Prácticas Que Deberían Implementarse en las Organizaciones Para Garantizar un Manejo Eficaz del Riesgo Cibernético

Las siguientes pautas están destinadas a reforzar los programas de seguridad de una organización, en forma de un plan de continuidad del negocio (BCP), un plan de recuperación de desastres (DRP) y un programa de concientización del empleado al señalar las competencias básicas de seguridad cibernética y asignar cada una al nivel de gestión adecuado. Como miembro del ejecutivo de la alta gerencia, depende de usted incluir todo lo siguiente:

  • Suponga que el sistema de información de su compañía puede ser intervenido ilícitamente en algún momento en el futuro. Con esto en mente, debe evaluar su capacidad para identificar y reaccionar a las amenazas dentro de la red. Esto significa que las iniciativas de seguridad que deben implementarse deben enfocarse en cómo disminuir el tiempo que lleva realizar, contener y remediar actividades sospechosas en el sistema de información. Para hacer esto, las compañías deben considerar usar métodos de detección de amenazas nuevos y adicionales. Por ejemplo, los ciberdelincuentes a menudo establecen canales de control y comando para que puedan iniciar ataques. Si encontraras estos canales lo suficientemente temprano, sería fácil identificar y detener esos ataques incluso antes de que comiencen.
  • Un ataque ransomware es una forma de ataque cibernético que implica apuntar al sistema operativo de una computadora encriptando datos en ella y luego exigiendo pagos de rescate en forma de criptomoneda. Tales son cada vez más comunes y el ataque WannaCry ransomware que ocurrió en mayo de 2017 es un ejemplo clásico. Para contrarrestar este problema del ransomware, los especialistas en TI deben tener una estrategia de respaldo adecuada para ayudar a atenuar el impacto de dichos ataques. Si en el caso de tal ataque se pierden algunos datos valiosos, entonces las copias de resguardo de seguridad ayudarían a restaurar lo que se perdió sin tener que pagar ningún rescate a los criminales. Los datos de la copia de resguardo de seguridad deben almacenarse en una ubicación segura (generalmente, fuera de las instalaciones físicas) para asegurarse de que tampoco estén encriptados en caso de un ataque de ransomware. La estrategia de respaldo, por lo tanto, tiene que ser parte del Plan de Respuesta a Incidentes de una compañía y debe describir en detalle qué se debe hacer para “detener” los datos y luego recuperarse de un ataque de ransomware.
  • La automatización es también otra estrategia que se puede utilizar en procesos operativos para que los equipos de seguridad puedan maximizar lo que pueden hacer con los recursos a su disposición. Los profesionales de ciberseguridad necesitan tanto contexto y contenido como sea posible para determinar si una amenaza es genuina o no. El contenido puede ser datos externos o internos, con un buen ejemplo es la “inteligencia de amenazas” que se utiliza para proporcionar un contexto más amplio sobre los procedimientos, tácticas y herramientas del grupo de ataque.
  • Las organizaciones deben presentar un enfoque estratégico para implementar una defensa cibernética que les permita enfrentar la posibilidad de ataques cibernéticos. Esta estrategia debe lograr el equilibrio apropiado entre procesos, personas y herramientas. No hay una solución simple cuando se trata de proteger activos importantes. Si bien está muy bien tener la última y mejor tecnología, su sistema de información seguirá siendo vulnerable si no tiene personas equipadas con el conjunto de habilidades para operar dicha tecnología. Además, debe definir claramente y expresar los procedimientos operativos para utilizar esa tecnología en particular al máximo. En el caso de los profesionales de la ciberseguridad, deben estar equipados con el ancho de banda necesario para aumentar el umbral de alerta e investigar las alertas.
  • Eduque a los profesionales de TI, a los miembros de la alta gerencia y a todos los empleados sobre por qué deberían comprender la exposición cibernética de su empresa y cómo los ciberdelincuentes explotan los datos que se recopilan desde que se investiga hasta los ataques dirigidos por el autor intelectual. Este ejercicio debe ser lo más práctico posible en lugar de utilizar un enfoque completamente teórico. Puede usar ejemplos de la vida real, como la información de la cuenta y las credenciales de un inicio de sesión de un cliente. Es este tipo de información la que pueden aprovechar los ciberdelincuentes para falsificar tarjetas de identidad y / o credenciales del sistema, que se utilizan para llevar a cabo crímenes cibernéticos. Lea “Cómo Crear Una Cultura de Conciencia de Ciberseguridad” para obtener más información y un ejemplo real de cómo implementé un programa de concientización para todos los niveles de empleados.
  • Todos los miembros de la alta gerencia deberían incluirse en los ejercicios de mesa para la respuesta a incidentes para que todos puedan aprender completamente sus respectivos roles y los costos probables que puede costar un ciberataque. Si la gerencia experimentara cómo se siente un ataque, incluso si es a través de la simulación, esto aseguraría que se les haga conscientes de las graves consecuencias de un ataque y, por lo tanto, no tendrían más remedio que inculcar desde abajo una cultura impulsada por la ciberseguridad. Inculcar este tipo de cultura en cualquier organización es crucial para poner en práctica la ciberseguridad a lo largo del tiempo. Es tarea de la junta de directores asegurarse de que los ejecutivos estén alentando y ejemplificando esta cultura. Si los principales líderes de la organización establecen un buen precedente, sin duda se filtrará al resto de la organización.
  • Además, la junta de directores no solo deberían dejar en claro, sino que también deben promover los incentivos del cumplimiento en lo que respecta a la ciberseguridad. Esto puede hacerse reteniendo y reclutando personal de alto rendimiento, ingresando en nuevos mercados, mejorando la calidad del servicio, reduciendo los costos de operación y aumentando los ingresos de sus ventas, etc.
  • Los colegios y universidades que ofrecen importantes programas de MBA (Maestría en Administración de Empresas) deberían incluir la ciberseguridad en su plan de estudios. Esto garantizaría que los futuros ejecutivos recién graduados dediquen menos tiempo a tratar de dominar los detalles técnicos de seguridad cibernética cuando comiencen sus carreras en mercadeo o ventas. Actualmente, muy pocos programas de MBA tienen ese currículo de seguridad cibernética y es en parte por lo que muchos intentos de implementar prácticas de TI adecuadas en muchas organizaciones han fracasado miserablemente.
  • El gobierno es un componente crítico en cualquier organización cuya tarea es establecer los parámetros necesarios para que la organización se mantenga en cumplimiento y segura. Dichos parámetros deben ser bien priorizados, mesurables, consistentes y estar claramente definidos. Además, deben definirse de una manera que tenga como objetivo proteger lo que la organización percibe como sus activos más sensibles. Depende de los ejecutivos definir dichos parámetros para que puedan ser evaluados y aprobados por la junta.

Conclusión

Es importante seguir llevando recomendaciones y conversaciones sobre seguridad cibernética a la junta de directores para garantizar que cada miembro de la junta se base en roles, se enfoque en el riesgo y sea relevante; esto hará que la gestión de seguridad cibernética sea relativamente fácil porque los altos ejecutivos están involucrados en el proceso. En mi experiencia, también es importante recordar que los ejecutivos responden bien a los estudios de casos. Siempre que los esté asesorando sobre algún tema, recuerde contextualizar la información que está presentando utilizando estudios de casos e historias de noticias relevantes.

Las pautas anteriores también han abordado las responsabilidades de la junta y la administración para proporcionar a la empresa los cimientos de una organización fuerte y centrada en la ciberseguridad.

by Edgar Vera, MS Cybersecurity

No Comments, Be The First!

Your email address will not be published.