Llegamos a ustedes gracias a:



Reportajes y análisis

Cinco cosas que necesita saber sobre la protección ejecutiva

[22/08/2017] Hoy en día, proteger a los ejecutivos es mucho más que protegerlos físicamente del peligro. Los riesgos de seguridad cibernética son más altos que nunca, y las organizaciones necesitan asegurarse de que la red y el acceso a los datos que muchos ejecutivos de alto nivel tienen, no se convierta en un punto de entrada fácil para los atacantes.

Los CSOs y CISOs deben hacer que la protección ejecutiva sea una gran prioridad para la organización. Aquí presentamos cinco fundamentos que los líderes de seguridad deben tener en cuenta.

1. Realizar un análisis de riesgos

El primer paso que deben tomar los CSOs y CISOs es llevar a cabo un análisis de riesgos exhaustivo. Esto incluye identificar a los individuos de la organización que son críticos para el negocio y los posibles objetivos, y evaluar el impacto en la organización si fuesen víctimas de ataques.

Algunas preguntas para hacer como parte del análisis: ¿Ha habido un historial de amenazas contra alguno de estos ejecutivos? ¿Viajan regularmente a lugares peligrosos? ¿A qué tipos de ataques son más vulnerables?

Una vez que haya determinado qué individuos necesitan protección, aprenda sobre sus estilos de vida públicos y privados -en la medida en que tenga sentido y pueda ayudar a reducir el factor de riesgo. Este paso requiere la plena cooperación del ejecutivo, pues necesitará saber todo sobre el trabajo y la vida familiar de la persona. Averigüe qué tan fácil es para alguien conseguir información sobre el ejecutivo y su familia.

Basándose en lo aprendido acerca de los ejecutivos, obtendrá una idea más clara de los tipos de riesgos que enfrenta, y qué medidas de seguridad tendrá que tomar. Es importante tener en cuenta que los riesgos siempre cambian, por lo que es necesario establecer un nivel básico de seguridad para los ejecutivos que se pueda reforzar según sea necesario.

"El análisis de riesgos debe comenzar con su vida familiar, dónde viven, el clima de crimen actual en la zona, si tienen o no un sistema de seguridad en el hogar", señala Robert Siciliano, consultor de seguridad y experto en robos de identidad. "Aquí, un factor importante es determinar la 'importancia' del individuo y si es o no considerado objetivo de alto valor".

2. Insistir en la importancia de la protección, incluso si los ejecutivos se resisten

Algunos ejecutivos, sin duda, estarán descontentos por tener bajo escrutinio su trabajo y vida personal, pero eso es parte del precio de lograr el éxito en los negocios y tener muchas responsabilidades. Para que todo sea más simple para los involucrados, los CSOs y CISOs deben demostrar a los ejecutivos por qué la seguridad es tan importante. Una forma de llevarlo a cabo es hacer que los ejecutivos presten atención a lo que ven cuando realizan búsquedas sencillas de sus nombres en Google.

"Las búsquedas periódicas de ego les demuestran que son un blanco", anota Jason Taule, CSO de FEI Systems, proveedor de tecnología relacionada con la salud. Una vez que lo han hecho, pueden ver cómo un hacker podría encontrar fácilmente todo tipo de información sobre el ejecutivo y lanzar un ataque aprovechando el conocimiento.

Otra forma de demostrarle a los ejecutivos que son objetivos, es hacer que busquen en sus filtros de spam de correo electrónico para ver cuántos correos de phishing han recibido, anota Taule. Afortunadamente, estos mensajes no llegaron a la bandeja de entrada y desencadenaron un ataque, pero el gran volumen de estos intentos debería hacerlos entender.

La mejor y más efectiva manera de defender la seguridad es poner un reto, añade Siciliano. "La mayoría de las personas, especialmente los estadounidenses, piensan 'no me puede suceder a mí', una norma social basada en mitos que estas cosas solo le pasan a otras personas en otros lugares", señala. "Desafiar a ese ejecutivo para determinar sus debilidades -y mostrar lo vulnerable que es esa persona, tanto en su entorno físico como virtual- atraerá su atención".

3. Asegurar que los dispositivos de trabajo y personales de los ejecutivos estén seguros

Actualmente, muchas operaciones e interacciones de negocios se llevan a cabo a través de dispositivos móviles, y lo más probable es que muchos ejecutivos utilizan los mismos dispositivos por razones personales y de trabajo. Es ideal que utilicen diferentes dispositivos, como smartphones, para el trabajo y el hogar, pero muchas veces los ejecutivos no lo aceptan, anota Taule. Es posible que desee considerar una política empresarial donde se dicta cuántos y qué dispositivos pueden tener para el trabajo y cómo deben ser utilizados.

En cualquier caso, es imprescindible que cualquier dispositivo utilizado por ejecutivos para el negocio, sea altamente seguro y cuente con las últimas protecciones. Todos los datos sensibles deben ser cifrados, y los dispositivos deben ser protegidos a través de una plataforma de gestión de movilidad empresarial (EMM).

Parte de garantizar la seguridad de los dispositivos móviles incluye la evaluación no solo de los dispositivos utilizados por los ejecutivos, sino también los de sus familiares inmediatos dentro de la casa, señala Siciliano. Eso significa determinar si cada uno de los dispositivos tiene protección por contraseña, sistemas operativos actualizados, software de antivirus actualizado, etc.

"Es importante tener en cuenta qué dispositivos son 'compartidos'; es decir, si un niño está compartiendo el mismo dispositivo que el ejecutivo y en qué tipo de problemas podría meter el niño al ejecutivo", añade Siciliano.

4. Educar a los ejecutivos sobre ataques como el phishing

Los ejecutivos de negocios están entre los principales objetivos de los ataques de phishing y whaling, en gran parte debido a su alto nivel nivel de acceso a datos importantes. Es vital que los ejecutivos sepan qué buscar para identificar tal ataque.

"Esto comienza con una capacitación de sensibilización sobre la seguridad y la realización de entrenamientos con simulaciones de phishing", indica Siciliano. "Cualquier aplicación de terceros girando en torno a la encriptación y el aislamiento de las comunicaciones por correo electrónico es indispensable".

Otra forma de abordar estas amenazas es hacer que los asistentes ejecutivos investiguen los mensajes de correo electrónico para detectar indicadores de phishing; eliminando la carga a los propios ejecutivos, anota Taule.

En general, es una buena idea que los ejecutivos estén atentos sobre cómo manejan los correos electrónicos. "Un gran conjunto de estafas es ahora el 'phishing de CEO', cuando un adversario envía un correo pretendiendo ser el CEO que trabaja en un acuerdo clandestino, que necesita asistencia", comenta Andrew Ellis, CSO de Akamai Technologies, proveedor de servicios de red de entrega de contenidos.

"Cuanto más se parezca su correo normal a esto, más fácil será para los adversarios hacer que su compañía se comporte de manera inapropiada", añade Ellis. "Los clientes modernos de correo electrónico pueden hacer que sea difícil identificar si un mensaje proviene de fuera de la organización, pero no todos lo dificultan. Considere la posibilidad de asesorar a su empresa para etiquetar, o cambiar los colores, de todos los mensajes ajenos a la empresa.

5. Crear y hacer cumplir reglas para viajes ejecutivos

La mayoría de los ejecutivos están a menudo de viaje, para eventos de la industria, compromisos para ofrecer conferencias, o visitas a los clientes. Esto los pone en riesgo, especialmente si los planes de viaje son conocidos con bastante anticipación.

Es importante tener en marcha y hacer cumplir las políticas sobre lo que está y no está permitido durante el viaje. Esto podría incluir no permitir que los ejecutivos clave, viajen juntos al mismo tiempo y por el mismo medio de transporte, anota Taule.

La política de viajes debe cubrir el uso de dispositivos móviles durante el viaje. Por ejemplo, a los ejecutivos no se les debería permitir llevar su laptop de trabajo principal en un viaje de negocios, sino un dispositivo de préstamo sin datos confidenciales almacenados.