Así pueden los CISO gestionar la seguridad de los altos ejecutivos
Los dispositivos personales de estos directivos son un punto de entrada importante y protegerlos requiere un enfoque holístico.
Los directivos de alto nivel suelen tener acceso a información confidencial, lo que los convierte en objetivos principales para los ciberdelincuentes que buscan entrar en sus sistemas corporativos. Sus dispositivos personales, entre otros puntos débiles, se han vuelto vectores de ataque evidentes. Y, como saben los CISO, los incidentes incluyen, con demasiada frecuencia, el componente humano, y estos ejecutivos, cómo no, lo son. Según un informe de Verizon, el 82% de las brechas involucran a al menos un elemento relacionado con las personas. Y, es que, la mayoría de ellas se produce por un ataque de phishing, compromiso de correo electrónico (BEC, de sus siglas inglesas) y contraseñas robadas.
El hogar es la nueva superficie de ataque
Impulsado por numerosos factores, está surgiendo una nueva clase de riesgo que se dirige a estos rangos altos. El mensaje para los CISO es que la vida digital de un ejecutivo podría ser el eslabón más débil de la cadena de la ciberseguridad. Y no solo en cuanto a sus dispositivos y cuentas corporativas, sino también respecto a sus servidores domésticos, el equipo de seguridad doméstico, dispositivos familiares e incluso sus interacciones en redes sociales. “Esto significa que el hogar es la nueva superficie de ataque”, dice Chris Pierson, director ejecutivo de BlackCloak. “Es muy difícil administrar los riesgos externos que no se pueden controlar fácilmente. La vida digital del equipo de liderazgo puede resultar una bomba de relojería”.
Según la experiencia de Pierson, el 39% de los altos directivos tiene una vida digital que se ha visto comprometida en algún momento. Cuando las esferas laborales y personales se conectan siempre hay problemas para los CISO, que se encuentran en una batalla en un escenario fuera de su control. Los factores de riesgo incluyen el nuevo contexto de trabajo híbrido, las complejas tensiones geopolíticas, las oportunidades para el ‘hacktivismo’, particularmente en cierto tipo de industrias, y la posibilidad de obtener ganancias financieras.
Una empresa grande, especialmente si cotiza en Bolsa y con presencia en medios y redes sociales, puede ser un pararrayos para la atención de los malos. “Algunos delincuentes de poca monta de han dado cuenta de la realidad de poder obtener ganancias monetarias utilizando malware o ransomware fácil de comprar en Internet y simplemente desplegándolo entre este tipo de perfiles”, expresa Gergana Winzer, socia de servicios cibernéticos en KPMG Australia.
Cuando la intromisión personal conduce a un ataque empresarial
Esta clase de riesgos personales puede tomar muchas formas diferentes, asevera Pierson, quien cree que uno de los mayores es la propiedad intelectual: la pérdida de documentos corporativos de los dispositivos personales o cuentas donde hay poco o ningún control. “Los ejecutivos tienden a tener complejos sistemas domésticos inteligentes con cámaras de seguridad y servidores que alojan una multitud de aparatos y servicios, y estos presentan puntos de entrada potenciales”.
Además, prosigue, tienen un alto patrimonio neto, y pueden ser más atractivos que un banco o una institución financiea. Vemos que sus correos electrónicos personales se violan en ataques comprometidos de correo electrónico comercial, vemos que sus dispositivos personales se violan a través de malware, así como otras estafas de ingeniería social todo el tiempo. Como resultado, el dinero es un gran motivador para muchos de estos ataques. .”
Luego están los ataques profundamente personales con intenciones maliciosas. El doxing personal (la exposición de nombres, direcciones, números de teléfono e incluso fotos y videos personales) viola la privacidad y deja a los ejecutivos expuestos a la explotación. “Estas cosas se utilizan como medio de extorsión, pero también pueden tener un daño reputacional muy impactante e incluso intimidación”, agrega Pierson.
Según los expertos, abordar estas complejas consideraciones de seguridad no debe crear fricciones adicionales entre los ejecutivos, sus familias y sus interacciones con la tecnología. Más bien, la superficie de ataque para esos tipos de cuentas, servicios y dispositivos debe reducirse y debe existir la garantía de que los riesgos pueden mitigarse, dice Pierson.
Cómo los CISO pueden mitigar los riesgos para los ejecutivos
Garantizar que los ejecutivos estén protegidos fuera del entorno de la oficina y el hardware puede ser difícil cuando los CISO no pueden intervenir directamente en su vida digital personal. “Quieren mantener la iglesia y el estado separados”, dice Pierson. “Quieren esa división de privacidad, pero solo quieren que los riesgos estén cubiertos y saber a un alto nivel lo que se está haciendo”.
Pierson dice que los CISO deben comprender con precisión cómo y dónde se cruzan los dos entornos de riesgo, corporativo y personal. “Mire su página de liderazgo 'Acerca de nosotros'. Ahí es donde comienza. Comprenda qué tan profundo es eso en términos de las siguientes capas y luego descubra los mayores riesgos que esas personas pueden enfrentar en sus vidas personales y qué puede hacer el CISO para tratar de reducirlos o mitigarlos".
Es posible que los ataques cibernéticos sofisticados y bien coordinados no comiencen en los sistemas de la empresa, sino que comiencen por comprometer a un ejecutivo y luego se propaguen desde allí, dice Winzer. Como medida de precaución, los CISO deben estar atentos a los cambios en los perfiles de riesgo del liderazgo y del equipo ejecutivo, lo que significa permanecer curiosos y estar constantemente interesados ??en encontrar los puntos ciegos. Y esos puntos ciegos pueden ser enormes: un director ejecutivo que hace apariciones frecuentes en los medios, tiene tratos en el mercado de valores que están abiertos al escrutinio público o simplemente es lo suficientemente conocido como para ser incluido en las conversaciones de las redes sociales está enviando una llamarada a los piratas informáticos potenciales. “Como CISO, debo ser consciente de las amenazas que pueden dañar potencialmente a esa persona y su capacidad para hacer su trabajo dentro de la organización”, dice.
Proteger las “joyas de la corona” corporativas
Para abordar las posibles vulnerabilidades que pueden pasar de lo personal a lo corporativo, Winzer recomienda que los CISO realicen una evaluación de riesgos que incluya la identificación de las "joyas de la corona" de la empresa que deben protegerse. Esto debe incluir una evaluación de los riesgos potenciales, incluso a través de ataques personales, y el desarrollo de estrategias de mitigación.
Winzer dice que esto significa asegurarse de que se documenten y se tengan en cuenta tantas amenazas o vulnerabilidades como sea posible, lo que ayuda a evaluar la probabilidad y el impacto de cualquier violación personal. “Calcule lo que significa la amenaza para los ejecutivos de nivel C y los miembros de la junta y luego tome medidas a partir de ahí, pero debe basarse en el apetito por el riesgo y lo que la empresa cree que es importante proteger”, dice.
Las estrategias de mitigación podrían incluir políticas sobre qué y cuánta información estos ejecutivos pueden divulgar públicamente sobre sí mismos, según Winzer. “Es realmente importante obtener la mayor cantidad de información posible para evaluar la amenaza, ponerla en su registro de riesgos y luego hacer algo al respecto, en lugar de ignorarla. Porque eso es todo en cibernética: cada vez que hemos ignorado algo, ha venido y nos ha golpeado”.
Asegúrese de que los ejecutivos de alto nivel reciban capacitación en seguridad cibernética
Además de las estrategias de evaluación y mitigación de riesgos, la educación interna también puede ayudar a asegurar la huella digital de un ejecutivo. Steven Sim, miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA, dice que los altos ejecutivos, como todo el personal, deben asistir a una capacitación de concientización personalizada que incluye ejercicios de simulación de phishing y ejercicios de simulación. “Estos ejercicios también deben contar con la participación del C-suite y, cuando sea posible, de la junta directiva en la toma de decisiones durante una simulación de una crisis organizacional provocada por un incidente cibernético”, dice.
“Estos deberían ser parte de un programa de mejora de la seguridad de varios años, si aún no se han implementado como de costumbre, que deberían abarcar personas, procesos y tecnologías”, dice Sim. Y con el espectro de multas regulatorias y daños a la reputación, debe extenderse a través de la cadena de suministro digital y comercial y el ecosistema de inteligencia de la comunidad de seguridad.
Sim recomienda que el registro de riesgos tanto para los ejecutivos de C-suite como para sus empresas se actualice constantemente, ya que el panorama de amenazas cibernéticas evoluciona rápidamente con nuevas tácticas o técnicas. Las métricas de seguridad, los indicadores clave de riesgo y los indicadores clave de rendimiento de las iniciativas y proyectos de seguridad cibernética deben medirse continuamente para garantizar la entrega de un programa exitoso de mejora de la seguridad cibernética. “Esto ayuda a una empresa a cumplir con su apetito de riesgo actual y también mirar hacia el futuro para allanar el camino a prueba de futuras amenazas contra los ejecutivos de C-suite y la empresa”, dice.
Considere la cultura corporativa
La cultura es otro elemento importante que no debe pasarse por alto en la gestión del riesgo ejecutivo, según Winzer, que debería garantizar que todos asuman responsabilidades compartidas en lo que respecta a la ciberseguridad. En la práctica, esto significa que el CISO adopta un enfoque holístico, en lugar de depender de parches o programas educativos. Si bien muchos CISO han estado haciendo esto durante años, ella recomienda que para mejorar realmente la cultura cibernética se requiere un enfoque de colaboración sólido en todo el C-suite. “El CISO, el CFO y el CEO deben trabajar juntos para garantizar que la cultura [de responsabilidad compartida] se propague en toda la organización”, dice.
Sobre todo, la responsabilidad compartida es entender que existe un riesgo compartido. “Si un CEO se ve afectado y se filtran datos y archivos personales, incluida información confidencial sobre su estado o las cosas que saben sobre la empresa, secretos comerciales y similares, entonces se convierte en un problema del CISO. Ya no es solo un problema privado del CEO”.
