The Cybersecurity Playbook | Resumen y notas

Imagina que hace un minuto, alguien desconocido obtuvo acceso completo a las cuentas bancarias de tu negocio, de tu computador personal o a los datos personales de los empleados.

O a tus secretos comerciales clave. ¡¿Qué hacer?!

Y si esto aún no ha sucedido, el riesgo de un ciberataque sigue siendo muy alto; basta con compartir detalles confidenciales en una respuesta email que supuestamente envió algun colega o amigo tuyo.

¿Estás seguro de que tu empresa está protegida de forma segura? Esto depende no solo de la vigilancia de la gente de TI, si no de muchoas más actores.

Allison Cerra explica lo que cada empleado de la empresa debe entender y hacer para no comprometer la ciberseguridad

Contenidos ocultar
1 Sobre la autora
2 Tres motivos de preocupación
2.1 Ciberseguridad para toda la empresa
2.2 10 mejores ideas

Sobre la autora

Allison Cerra es vicepresidenta sénior de McAfee y directora de marketing de McAfee.

Tres motivos de preocupación

La vida se mueve cada vez más en línea, lo que significa que corremos cada vez más riesgo de convertirnos en víctimas de los piratas informáticos de sombrero negro.

Cualquier introducción de tecnología, ya sea un servicio en la nube o Internet de las cosas, les abre posibles lagunas.

Cada vez hay más amenazas por tres razones.

1. Las acciones de los piratas informáticos de sombrero negro, son cada vez más insidiosas y diversas: desde la introducción de virus ransomware hasta el envío de correos electrónicos falsos.

2. La demanda de profesionales de ciberseguridad supera con creces la oferta en el mercado laboral mundial: en 2021, hay 3,5 millones de vacantes sin cubrir. Los productos de software cada vez más complejos pueden reemplazar a los especialistas en este campo, pero estos últimos a menudo se combinan mal entre sí o no se implementan en absoluto debido a dificultades organizativas y técnicas.

Además, las empresas son cautelosas y no se apresuran a comprar las últimas tecnologías de seguridad, esperando que otros las prueben. Por desgracia, los piratas informáticos también están alerta: tienen tiempo suficiente para eludir la protección.

3. La razón principal: la ciberseguridad de la empresa no es responsabilidad exclusiva del departamento de ciberseguridad. Cuanto más fuerte es este departamento, más empleados entienden su importancia y saben qué hacer.

Aquí hay consejos para los representantes de todos los departamentos de la empresa.

Ciberseguridad para toda la empresa

Lo que el CEO y la Junta Directiva deben saber

1.Haga de la ciberseguridad un tema habitual en las reuniones de la junta. Si no tiene idea de la situación actual en esta área, vale la pena dedicar al menos una hora y media a este tema: durante este tiempo, el jefe de seguridad de la información debe cubrir todos los temas clave.

Es importante tener una comprensión de la vulnerabilidad de cada activo en orden descendente de su importancia estratégica. 

Activos estratégicamente importantes, que resultaron ser los más vulnerables, requieren una redistribución inmediata del presupuesto. La evaluación de riesgos debe actualizarse constantemente (para ello, el departamento de seguridad de la información debe organizar ejercicios periódicos que simulen ataques de piratas informáticos a su empresa).

2.Haga que el CIO se convierta en un miembro regular de la junta (tal vez designe a alguien con experiencia en seguridad cibernética como miembro de la junta directiva; esto ampliará el pensamiento corporativo). En cada una de esas reuniones, dedique al menos media hora al tema de la ciberseguridad. 

Darle la oportunidad al CIO de hacer una reunión donde pueda justificar la idea de destinar más recursos a la ciberseguridad: que el CIO sea un gestor.

Lo que un desarrollador de productos debe saber

Ahora los hackers nos atacan no solo a través de teléfonos y portátiles, sino también a través del software de los vehículos eléctricos y los electrodomésticos. Esto aumenta enormemente los requisitos para los desarrolladores de productos.

  1. En las etapas iniciales del desarrollo del producto, la participación del cliente es necesaria: cuantas más preguntas aclaratorias le haga sobre las complejidades del uso futuro del producto, mejor. La seguridad debe ser un requisito obligatorio para la funcionalidad mínima requerida de su producto, y no una función que se finaliza después de otras.
  2. Defina cuidadosamente los principios de privacidad de los datos de los clientes con los que está asociado su producto. ¿Cómo, durante cuánto tiempo y dónde se utilizarán estos datos? ¿Está preparado para correr el riesgo de ser pirateado mientras conserva estos datos? ¡Obviamente no! Esto eleva los requisitos para los estándares de productos.
  3. La seguridad debe mantenerse en cada etapa del ciclo de vida de su producto. El jefe de cada departamento de su empresa debe certificar que se cumplen los requisitos de seguridad del producto dentro de su área de responsabilidad, por supuesto, incluso antes de que el producto sea introducido al mercado. Asigne claramente la responsabilidad de la seguridad: quién es responsable del mantenimiento, quién es responsable de actualizar el producto y quién es responsable de resolver los problemas después de una infracción.
  4. Si existen dudas sobre la seguridad de un producto, se debe detener su producción, e inmediatamente, en cualquier etapa. Cada empleado debe recordar el derecho a «detener el transportador», no solo no se condena, sino que se recompensa. Por lo tanto, deja en claro que su empresa se preocupa por la seguridad no menos que por la calidad; además, la seguridad es una parte integral de la calidad.

Lo que un especialista en recursos humanos debe saber

El hecho de que la demanda de profesionales de ciberseguridad supere la oferta es solo la mitad del problema. Los especialistas contratados son deprimentemente monótonos: las mujeres y las minorías ocupan muy pocos puestos. Una tarea urgente es ampliar las oportunidades para atraer especialistas talentosos.

  1. Durante mucho tiempo, los empleadores se han centrado en el enfoque STEM (ciencia, tecnología, ingeniería, matemáticas). Pero la ciberseguridad requiere una variedad de habilidades, incluido el pensamiento creativo. El antiguo enfoque debería extenderse a STEAM: ciencia, tecnología, ingeniería, matemáticas, arte. En este sentido, revise el conjunto de habilidades requeridas de los candidatos.
  2. Revise las preguntas realizadas en las entrevistas: ¿limitan los requisitos para el candidato? A menudo, los entrevistadores solo están interesados en la experiencia del solicitante («Háblame de un momento en que…»), pero los estudios han demostrado que tales preguntas predicen el éxito de un futuro empleado solo un 12 % mejor que una moneda al aire. Lo que importa no es el pasado del candidato, sino cómo piensa. Invítelo a resolver el problema: mejorar el trabajo del departamento, hablar sobre cómo planea adaptarse al trabajo de la empresa.
  3. Permita que varios entrevistadores participen en la entrevista. Es mejor si uno de ellos es una mujer o un representante de las minorías.Google practica la «Regla de los cuatro»: cuatro entrevistas con candidatos para un puesto, y este modelo ha logrado establecerse.
  4. Atraer trabajadores con habilidades técnicas de áreas relacionadas, por ejemplo, telecomunicaciones. Por un lado, pueden volver a aprender rápidamente. Por otro lado, traerán una nueva visión.
  5. Los valores de su empresa deben incluir la palabra «seguridad». Fomenta un comportamiento vigilante de los empleados que fortalezca la ciberseguridad de tu empresa, como etiquetar a quienes plantean inquietudes sobre la seguridad de un producto que se está creando o llamar la atención sobre el comportamiento sospechoso de los compañeros (en este último caso, por supuesto, es necesario cuidar la confidencialidad). ).
  6. Reconoce los logros de tu equipo de ciberseguridad y comunícalos al círculo más amplio posible de empleados.
  7. Junto con el director de seguridad de la información, controlar el acceso a los activos más valiosos de la empresa. Para ello, determine cuál de los empleados tiene el acceso más completo a ellos. Revise esta lista periódicamente. Los cambios en el estado de los empleados le permiten restringir su acceso y evitar así una posible fuga de datos.
  8. Defina al menos un indicador clave de rendimiento (KPI) de ciberseguridad para cada miembro del liderazgo. Él, a su vez, dará las instrucciones adecuadas a su equipo. Así las ideas de ciberseguridad penetrarán en todos los rincones de la empresa, se convertirán en escenarios familiares.

Lo que un especialista en comunicaciones debe saber

Como cualquier problema, los ataques de piratas informáticos son más baratos de prevenir que de lidiar con sus consecuencias. Sin embargo, suceden, y entonces el tiempo comienza a jugar en contra de la empresa. Se debe desarrollar un plan de acción mucho antes del ataque.

1. Cree un plan de comunicación con la gerencia. Junto con el director de seguridad de la información, decidir sobre los riesgos y amenazas más graves para la empresa (comprometer a los clientes, piratear el sitio, etc.). Determinar el procedimiento para cada caso:

  • A quién y cuándo notificará sobre el robo (mejor dentro de una hora después del incidente).
  • Qué informar sin tener información completa (y esto sucede con mayor frecuencia).
  • ¿Notificará al público si la ley no lo requiere? Y si su empresa no es directamente responsable del ataque.
  • ¿Qué compensación ofrecen a las víctimas?

2. Que cada escenario de este plan tenga plantillas de mensajes preparados con anticipación y cuidadosamente coordinados con los abogados. Comunicados de prensa, publicaciones en redes sociales, correos electrónicos, todo esto entrará en acción cuando ocurra un ataque. Cíñete al siguiente patrón en tus plantillas:

  • ¿Quién resultó herido?
  • ¿Qué fue robado?
  • ¿Cuándo fue hackeado el sistema?
  • ¿Qué precauciones deben tomar las partes interesadas?
  • ¿Qué está haciendo la empresa para solucionar el problema?

La plantilla debe estar claramente estructurada, pero no sin alma. Elija las palabras correctas de simpatía: la falsedad enojará aún más a los clientes.

3. Cada escenario se basa en un cronograma detallado (preferiblemente minuto a minuto): quién, cuándo y cómo intervendrá tan pronto como se conozca la infracción.

4. No mantenga a los empleados al tanto de la situación, incluso si no están directamente afectados. De lo contrario, los rumores y las especulaciones son inevitables, y esto es lo último que necesitas.

5. Al igual que los CIO, realice un simulacro de crisis (al menos una vez al año). Simule hablar con los medios. Asegúrese de que las personas asignadas para interactuar con la prensa estén listas para ello.

Lo que los profesionales financieros deben saber

¿Qué tienen en común los departamentos de finanzas y los departamentos de seguridad de la información? Más de lo que parece. Los financieros ayudan a los jefes de seguridad de la información a encontrar contacto con la junta directiva. 

Los líderes de seguridad ayudan a los financiadores a comprender mejor los pormenores de la ciberseguridad en lo que respecta a la adquisición y verificación de terceros.

1. El valor de invertir en seguridad cibernética para la junta a veces no es obvio: después de todo, los desastres evitados permanecen invisibles y parece que el dinero para la protección no podría haberse gastado. Se trata de cambiar su perspectiva: invertir en ciberseguridad no es una cuestión de recuperación, sino una cuestión de reducción de riesgos. El CIO y el CFO deben trabajar juntos en los temas que se presentarán a la junta directiva:

  • ¿Qué activos están en riesgo?
  • ¿Cuál es el valor estratégico de tales activos?
  • ¿Qué tan vulnerables son estos activos en este momento?
  • ¿Cuáles serán las consecuencias de un ataque hacker?

Preparada cuidadosamente sobre la base de dicho plan, la presentación del director de seguridad de la información ante la junta será mucho más convincente.

2. Los CFO deben comunicarse con los jefes de otros departamentos para obtener información sobre:

  • ¿Cómo afectarán las innovaciones planificadas (productos, tecnologías, etc.) la vulnerabilidad de la empresa?
  • ¿Cómo afectarán las innovaciones a los activos estratégicos clave de la empresa?
  • ¿Se necesitan inversiones adicionales para mitigar los riesgos (y estas inversiones están incluidas en el análisis de ROI)?

3. A su vez, el director de seguridad de la información deberá dar respuesta a los financiadores a las siguientes preguntas:

  • ¿Cuánto se gastó en software que no se usó? ¿Está previsto su lanzamiento?
  • ¿Cuándo fue la última vez que auditó la configuración correcta de sus productos de seguridad? ¿Y la última formación en ciberseguridad para todos los empleados? ¿Cuáles son sus resultados?
  • ¿Cuándo fue el último ejercicio y cuáles fueron los resultados?

4. Estar muy atentos a la hora de contratar a terceros. Por desgracia, solo el 34% de las organizaciones están preocupadas por controlar las empresas de terceros, prestando atención a:

  • cómo sus socios actualizan los permisos de sus empleados;
  • qué tan oportunamente brindan información actualizada en el campo de la ciberseguridad;
  • cómo los socios cifran los datos en varios estados (en tránsito, en reposo, en uso);
  • cuáles son los principios para almacenar, usar y eliminar todos los datos transferidos entre su empresa y un tercero (por ejemplo, si los discos duros que no funcionan se limpian a fondo antes de desecharlos);
  • cuál es el plan de continuidad del negocio y recuperación ante desastres en caso de incumplimiento, con qué frecuencia se prueba dicho sistema;
  • ¿Cuáles son los principios de control de cambios para nuevos usuarios/nuevo software (por ejemplo, cómo se rastreará el software que no es de confianza en sus sistemas)?

Sí, requiere tiempo y esfuerzo. Pero una vez aprobado, el protocolo de verificación se puede utilizar para analizar cualquier nueva empresa que quiera cooperar con usted . Vale la pena revisar anualmente la seguridad de sus proveedores clave.

5. Asegúrese cuidadosamente de que la política de información del tercero no entre en conflicto con los estándares de seguridad cibernética de su empresa (supongamos que un tercero coloca voluntariamente logotipos de socios en su sitio y usted ve esto como una pista para los piratas informáticos: aquí hay una puerta trasera desde la cual puede puede entrar en su empresa).

Lo que un profesional de la ciberseguridad debe saber

1. Mantener constantemente la ciberhigiene en la empresa:

  • Revise el plan para notificar a los administradores sobre vulnerabilidades. ¿Están incluidos todos los interesados?
  • Realice una auditoría de los servidores no utilizados. Hasta el 30% de todos los servidores virtuales de las empresas están en coma, es como zombis durmiendo a la espera de los piratas informáticos.
  • Trate con el software que todavía está «acumulando polvo en los estantes». ¿Por qué no se instaló: desactualizado o no alcanzado? Si la segunda opción es correcta, instálelos, pero tenga cuidado con una configuración de protección competente, de lo contrario, abrirá una laguna para los piratas informáticos.
  • Realice una copia de seguridad de sus datos para salvarse de las exigencias del ransomware y poder recuperar sus datos en el menor tiempo posible en caso de pérdida. Utilice el cifrado para copias de seguridad seguras. Verifique su sistema de respaldo regularmente.

2. La relación entre el departamento de seguridad de la información y el departamento de tecnología de la información (TI) suele ser tensa. Por ejemplo, un CIO puede ralentizar la adopción de una nueva tecnología porque expone a la empresa al riesgo de ser pirateada. Las funciones y responsabilidades de los departamentos, así como sus presupuestos, deben alinearse cuidadosamente. Por lo tanto, todo proyecto de TI debe tener en cuenta el gasto en ciberseguridad.

3. Invierta en tecnologías que agreguen valor a su negocio y engañen a los piratas informáticos (incluidos los corredores de acceso seguro a la nube de CASB y tecnologías engañosas que distraen a los atacantes de sus objetivos reales). Utilice la inteligencia artificial para identificar las amenazas más complejas.

Sin embargo, recuerde que esta tecnología está plagada de falsos positivos frecuentes, y no son menos dañinos que un resultado de prueba falso negativo: toman tiempo y distraen la atención de las amenazas reales. La IA novedosa es más efectiva cuando se combina con tecnologías tradicionales (firmas, etc.).

4. Difundir la cultura de la ciberseguridad tanto verticalmente (cooperando con el departamento financiero y hablando en la junta directiva) como horizontalmente entre los empleados de la organización: realizando capacitaciones especiales que aumenten la alfabetización cibernética de los empleados, organizando campañas que implementen los principios de ciberseguridad (esto puede requerir la contratación de un Oficial de Comunicaciones especialista, que trabajará con Recursos Humanos y Marketing).

Lo que todo empleado debe saber

Los estudios muestran que los empleados son directa o indirectamente responsables de una cuarta parte de todos los ataques. Al mismo tiempo, en el 60% de los casos, el asunto está simplemente en la indiferencia de los empleados.

Es especialmente importante que comprendan que el objetivo de los piratas informáticos no son solo las empresas, sino también cada uno de nosotros.

1. A los piratas informáticos les encanta jugar con confianza: envían cartas en nombre de marcas populares, bancos y mensajes privados en nombre de colegas. Esto se denomina phishing, su finalidad es acceder a nuestros datos personales. El phishing está diseñado para la falta de atención.

  • Busque signos de un correo electrónico malicioso, como verificar la dirección del remitente.
  • No siga enlaces sospechosos.
  • Informe correos electrónicos extraños y otros intentos de piratería a la seguridad de inmediato.

2. Asegúrese de que sus dispositivos estén actualizados y no se queje del departamento de TI que lanza una actualización durante el horario comercial que reduce el rendimiento de sus dispositivos.

3. Asegúrese de que sus contraseñas sean lo suficientemente difíciles de descifrar. Utilice generadores automáticos de contraseñas. No permita que los sitios guarden automáticamente las contraseñas.

Y no los almacene en su propio teléfono inteligente y computadora portátil. En este caso, a un hacker no le cuesta nada ingresar a su dispositivo, robar credenciales, obtener acceso a cuentas y enviar correos electrónicos de phishing a sus familiares y colegas.

4. El 25% de los empleados de empresas americanas, al salir de casa al final de la jornada laboral, dejan su ordenador encendido y desbloqueado. No seas como ellos.

5. Evite los dispositivos USB sin cifrar. El ciberataque que permitió al gobierno de EE. UU. frenar el programa nuclear de Irán se llevó a cabo precisamente a través de un dispositivo USB comprometido.

6. Cuando trabaje con datos confidenciales, tenga cuidado con las redes Wi-Fi públicas: use solo la VPN de su empresa. El consejo se vuelve más relevante a medida que más empleados se vuelven remotos.

10 mejores ideas

1. La ciberprotección es asunto de todos los empleados de la empresa.

2. Que el director de seguridad de la información se convierta en un participante habitual de las reuniones de directorio con derecho a voto.

3. Decide qué activos de tu empresa son más vulnerables en el espacio virtual. Activos estratégicamente importantes, que resultaron ser los más vulnerables, requieren una redistribución inmediata del presupuesto.

4. Tenga siempre un plan de comunicación detallado y coherente en caso de incumplimiento.

5. Utilizar la inteligencia artificial para identificar las amenazas más complejas. Sin embargo, está plagado de frecuentes falsos positivos. La IA es más efectiva cuando se combina con tecnologías tradicionales.

6. No espere a que otros prueben las nuevas tecnologías de seguridad : cuanto más recientes sean, más eficaces serán.

7. Asegúrese de que sus contraseñas sean lo suficientemente difíciles de descifrar. No permita que los sitios guarden automáticamente las contraseñas. Y no los almacene en su propio teléfono inteligente.

8. Cuando trabaje con datos confidenciales, tenga cuidado con las redes Wi-Fi públicas: use solo la VPN de su empresa.

9. Fomenta un comportamiento vigilante de los empleados que fortalezca la ciberseguridad de tu empresa.

10. Mejora tus requisitos para contratar profesionales de ciberseguridad. Cuidado con el chovinismo. Atraer trabajadores de campos afines.

error: Alerta: Contenido protegido !!