Llegamos a ustedes gracias a:



Reportajes y análisis

Salvaguardando su mayor objetivo en la seguridad: Los ejecutivos

[23/02/2018] Los altos ejecutivos se encuentran entre los objetivos preferidos de los hackers malintencionados y otros malos actores, en parte porque es más probable que tengan información valiosa o que tengan un alto nivel de acceso a dichos datos.

Por eso es tan importante para las organizaciones asegurarse de que la alta gerencia y otros altos ejecutivos se adhieran a los más estrictos estándares de protección de datos y que usen las tecnologías de seguridad apropiadas siempre que sea posible, incluso cuando viajan a ubicaciones de alto riesgo.

"Los ejecutivos son un blanco debido a sus niveles de acceso e influencia dentro de las organizaciones, especialmente aquellos cuyo alcance incluye datos financieros confidenciales o información de identificación personal, afirma Wayne Lee, arquitecto jefe de seguridad cibernética de West Monroe Partners, una consultora de negocios y tecnología.

Prácticamente cualquier persona que tenga acceso a información de valor potencial corre el riesgo de sufrir un ataque cibernético, afirma Steve Durbin, director general de Information Security Forum, una organización independiente dedicada a investigar y resolver problemas clave en seguridad de la información y gestión de riesgos.

"Por supuesto, esto incluirá a los sospechosos habituales de la alta gerencia, pero esto ya no se restringe al directorio, afirma Durbin. "Los asistentes personales, el personal de administración de sistemas, casi cualquier persona que tenga la capacidad de proporcionarle acceso a un cibercriminal determinado que busque información valiosa ahora está en juego.

Estos son algunos pasos que las organizaciones pueden tomar para proteger a los ejecutivos y sus asociados inmediatos de ser el punto de entrada en una irrupción significativa para la seguridad.

Deje en claro a los ejecutivos que serán un blanco

Los ejecutivos ocupados no quieren preocuparse de la posibilidad de ser el próximo blanco de un ataque cibernético. Pero esto es algo en lo que tienen que pensar.

"Los ejecutivos necesitan internalizar que son objetivos, afirma Bill Thirsk, vicepresidente de TI y CIO en Marist College. "Los atacantes cibernéticos se toman el tiempo de observar, planificar, practicar, perfeccionar y fortalecer su arte antes de perseguir un objetivo de alto valor. Los atacantes tienen el lujo del sigilo, tiempo, duplicidad y múltiples plataformas para ataques aleatorios designados -todos los cuales funcionan en base al comportamiento humano normal, la curiosidad y la necesidad de conexión.

La "huella digital de un ejecutivo debe ser entendida y las brechas deben cerrarse como una cuestión de práctica, afirma Thirsk. Las cuentas sociales deben registrarse, confirmarse y monitorearse, afirma.

Pero lograr que ejecutivos adopten la protección es un desafío. "Cada estadística que he visto muestra que los ejecutivos son los menos propensos a cumplir las políticas que esperan que todos los demás sigan, afirma Paul Boulanger, vicepresidente y consultor de seguridad de SoCal Privacy Consultants. "En parte, esto se debe a que son las personas más dispuestas a sacrificar la seguridad por la comodidad.

Las organizaciones deben asegurarse de que los controles tecnológicos estén funcionando en vez de esperar que los ejecutivos operen de manera segura. "Por ejemplo, el servidor de correo necesita obligar a los teléfonos inteligentes a tener activado el cifrado y el bloqueo de contraseña para que se permita el acceso al correo electrónico corporativo, afirma Boulanger. "Si el ejecutivo, o cualquier otro usuario, desactiva el bloqueo de la contraseña, el acceso al correo electrónico se elimina automáticamente.

En algunos casos, las limitaciones no funcionarán con los ejecutivos. "Hemos encontrado que, para nuestros ejecutivos con educación superior, colocar límites digitales de cualquier tipo no funciona, afirma Thirsk. Comprometerse con todo tipo de personas requiere contacto y atención, "entonces la restricción no está en el léxico del ejecutivo, afirma.

La única forma de mantenerse a la vanguardia de las amenazas es a través de modificaciones conductuales informadas, inteligentes y principalmente autoimpuestas, diseñadas para garantizar la seguridad en línea. Los ejecutivos no pueden depender únicamente de otra persona para protegerlos más. "Deben ser capaces de discernir fácilmente las direcciones de correo electrónico falsas, los enlaces nefastos u otros contextos 'indecentes' reveladores, afirma Thirsk.

Tome las amenazas en serio y eduque a los ejecutivos sobre los ataques

Los ataques de phishing, y más recientemente el ransomware, son formas comunes de lograr que los ejecutivos proporcionen información crítica que los hackers necesitan para robar datos. "Al pensar en las recientes amenazas que destruyeron a los líderes y sus organizaciones, los ataques de phishing y ransomware no reciben la prensa que merecen, afirma Thirsk. "Ciertamente no se discuten con seriedad y regularidad en la mesa directiva.

Es natural que los ejecutivos quieran estar conectados a un flujo rápido de información actualizada, y debido a esta necesidad, a veces están demasiado ansiosos por hacer clic en lo que parece ser un mensaje importante o intrigante, afirma Thirsk.

Al mismo tiempo, los ejecutivos exigen tener un dispositivo conectado a todos sus canales de información (comerciales y personales). "Combinar diferentes requisitos de seguridad en un solo dispositivo es una bomba de tiempo, afirma Thirsk.

Depende de los líderes de TI y seguridad convencer a los altos ejecutivos sobre la gravedad de este tipo de ataques y hacer algo al respecto antes de que ocurra un incidente. "Esto solo se puede lograr cuando la alta dirección está convencida de que la defensa cibernética personal y operativa debe debatirse detenidamente, con seriedad e intención de cambiar el comportamiento, afirma Thirsk.

El phishing puede adoptar diversas formas diseñadas para ejecutivos de alto nivel.

"Hay un aumento en la sofisticación de los 'ataques de whaling' que se dirigen a la recolección de información de credenciales o solicitan una transferencia bancaria desde las cuentas de la compañía, afirma Lee. El whaling se usa para describir los ataques de phishing que se dirigen específicamente a ejecutivos de alto nivel, celebridades y personajes públicos.

"Históricamente, estos ataques tienen una alta tasa de éxito, afirma Lee. "Existen muchas historias sobre el ejecutivo que se enamoró del ataque de phishing basado en una recompensa de viaje, aquel que le solicitó privilegios especiales en su computadora. Cada una de estas historias generalmente termina con el ejecutivo convirtiéndose en víctima de algún tipo de ataque cibernético, y en algunos casos resulta en el perjuicio de datos a nivel de la compañía.

Es importante tener en cuenta que los hackers pueden usar información pública en sitios de redes sociales como LinkedIn, Instagram, Facebook y otros sitios para crear perfiles de objetivos, afirma Lee. Este perfil se puede utilizar para adaptar un ataque de phishing o coaccionar al objetivo, afirma.

Haga que el uso seguro del correo electrónico sea una prioridad

Tenga en cuenta que el correo electrónico es una de las fuentes más comunes de ataques contra ejecutivos. "Nos encontramos con ataques de correo electrónico frecuentes y cada vez más sofisticados contra los ejecutivos y el departamento de contabilidad, afirma Barr Snyderwine, director de sistemas de información y tecnología de Hargrove, una proveedora de servicios de eventos.

"Es el típico ataque de suplantación engañosa que intenta engañar a alguien para que pague lo que parece ser un sitio o banco legítimo, afirma Snyderwine. "Recientemente se han comunicado por teléfono con el departamento de AP (cuentas por pagar) y suplantan un correo electrónico del ejecutivo para enviar el pago. Es interesante ya que hablar por teléfono lleva mucho tiempo. Los ejecutivos también reciben los correos electrónicos de los atacantes falsificando a otros ejecutivos para enviar pagos.

Un buen procedimiento es usar protección de terminal para eliminar los archivos adjuntos de malware, afirma Snyderwine. "Actualizamos con frecuencia, afirma. "El parchado también es crítico; todo se parcha automáticamente.

Además, tenga políticas vigentes para que cualquier correo electrónico sea verificado con el remitente, ya sea cara a cara o por teléfono, y obtenga la confirmación de otro ejecutivo. "El entrenamiento ha sido muy exitoso, afirma Snyderwine. "Ahora nuestros ejecutivos identifican los correos falsos.

Además, evalúe a los ejecutivos y a otros miembros del personal varias veces al año para asegurarse de que cumplan con la política relacionada al correo electrónico.

Protecciones cuando los ejecutivos viajan por negocios

Los ejecutivos pueden ser víctimas de ataques cibernéticos en cualquier lugar, pero la amenaza puede ser especialmente alta cuando viajan al extranjero.

Las organizaciones deben tener procedimientos de registro de salida/registro de ingreso y pautas de seguridad para los dispositivos electrónicos y los medios que salen del país de origen de la organización, afirma Lee. "Esto incluiría la cuarentena e inspección de dichos recursos electrónicos a su regreso, afirma.

"Cuando se viaja a ciertas regiones de alto riesgo en el mundo, debe haber una expectativa de que los dispositivos con los que viajan los ejecutivos serán copiados al cruzar la frontera, afirma Boulanger. "Los ejecutivos deberían tomar laptops que contengan solo lo que necesitan sin conexión, como una presentación.

Cualquier información a la que necesiten acceso de forma remota debería estar disponible a través de un canal seguro, como un escritorio remoto seguro o red privada virtual (VPN), o almacenada en una unidad USB cifrada por hardware donde el cifrado no se pueda desactivar, afirma Boulanger.

"Al regresar, las computadoras portátiles y otros dispositivos de almacenamiento de datos deberían tratarse como si tuvieran un malware instalado y pasar por un borrado de rutina antes de ser reutilizados o conectados a la red corporativa, afirma Boulanger.

Hargrove tiene una política estándar de no utilizar Wi-Fi pública, pero es difícil de aplicar porque el personal viaja mucho. "Proporcionamos ambas unidades de células Mi-Fi y alentamos al personal a utilizar sus propios puntos de acceso telefónico y se les paga para usarlos, afirma Snyderwine. "Esto ha sido efectivo.

Las redes Wi-Fi pueden ser riesgosas, ya sea en hoteles, restaurantes, aeropuertos, instalaciones para conferencias u otras ubicaciones. Los hackers pueden configurar un simple punto de conexión Wi-Fi falso para obtener acceso a la laptop o al dispositivo móvil de un ejecutivo, afirma Lee.

Refuerce la seguridad de la infraestructura de TI

Está de más decir que, en primer lugar, tener un fuerte programa de seguridad ayudará a reducir o evitar el daño de los ataques de seguridad cibernética contra las personas. Pero es un componente fundamental de la protección contra las irrupciones de datos dirigidas a los ejecutivos.

"Sugerimos comenzar no con los individuos, sino con los activos de información críticos que una organización intenta proteger, afirma Durbin. "Esto conducirá naturalmente a incluir una evaluación de usuarios ingenuos que pueden ser vulnerables a una serie de amenazas, como ataques de spearphishing.

También permitirá el descubrimiento de sistemas sin parches que permitan explotar vulnerabilidades técnicas, sistemas poco seguros que puedan descubrirse utilizando herramientas de escaneo, enrutadores de redes inalámbricas inadecuadamente protegidos a los que puedan acceder los atacantes, y los sistemas instalados para la eliminación de información que se puede robar o copiar fácilmente, afirma Durbin.

"Cualquiera que sea el área que esté examinando, es importante tener en cuenta tres grupos principales de amenazas: Adversas, accidentales y ambientales, afirma Durbin. "El enfoque adoptado para asegurar la información, y sus usuarios, conducirá a la empresa al desarrollo y la comunicación de los controles de seguridad que son apropiados para el activo de información y el usuario.

Como ejemplo, no tiene sentido tratar de implementar una política que incluya la prevención mayorista del uso del Wi-Fi público si el negocio depende en gran medida de un personal distribuido que se encuentra constantemente movilizándose.

No se olvide de la capacitación

Los ejecutivos, como cualquier otro empleado, necesitan que se les recuerde la importancia de la seguridad. "Si se requiere que estas personas accedan a información confidencial, es mejor observar el cifrado, las soluciones de redes virtuales y, sobre todo, la educación y la capacitación, afirma Durbin. "Pero vincule todas estas cosas a los beneficios comerciales que obtendrá el individuo adoptando un enfoque más seguro para el uso y el intercambio de información.

Los ejecutivos deben participar regularmente en entrenamiento de concientización de seguridad, tener sus estaciones de trabajo asignadas, laptops y dispositivos móviles actualizados y parchados regularmente, y usar VPN y otras tecnologías seguras de comunicación cuando sea necesario, afirma Nathan Wenzler, estratega de seguridad de la consultora AsTech Consulting.

"Los equipos de seguridad deberían aumentar su capacitación estándar sobre seguridad de empleados con directrices y detalles adicionales para los ejecutivos, destacando el mayor riesgo y la exposición a la información que enfrentan los ejecutivos debido al aspecto más público de sus posiciones, afirma Wenzler. "Fomentar una mayor conciencia de cómo y por qué los ejecutivos son objetivos específicos, aumentará las posibilidades de que un ataque de ingeniería social sea atrapado y frustrado antes de que pueda tener éxito.

Las restricciones pueden tener un efecto a corto plazo, pero si no puede conquistar los corazones y las mentes de los ejecutivos y mostrar un claro beneficio comercial y personal de las restricciones, fallarán a medida que los usuarios descubran soluciones que les permitan realizar su trabajo, afirma Durbin.

"La seguridad efectiva, ahora más que nunca, requiere una comprensión de cómo se accede y utiliza la información en todas las etapas del ciclo de vida, en todo momento del día y en todas las ubicaciones, afirma Durbin. "Y, sobre todo, requiere la comprensión de la interfaz más compleja de todas: El usuario