Ciberseguridad para ejecutivos

Conceptos clave

• El cibercrimen es una práctica que afecta a las empresas grandes y pequeñas y representa una carga de US$100 mil millones al año.
• Asegúrese de crear contraseñas de por lo menos 14 caracteres de longitud y cámbielas cada tres meses.
• Puede crear un cortafuegos que sea casi impenetrable para rodear sus datos, pero sigue estando a merced del error humano.
• Los errores que hacen que las personas sean vulnerables al cibercrimen incluyen la ignorancia, la apatía, e incluso, la franca estupidez.
• Analice los costos y beneficios antes de hacer cualquier inversión en ciberseguridad.
• Usted ya compra seguros para sus propiedades. Es importante que transfiera también el riesgo de un ciberataque.
• A veces, la respuesta correcta a una amenaza de seguridad es no responder.
• La mayoría de los ejecutivos no son expertos en ciberseguridad, pero no necesita ser un experto para tomar decisiones eficaces.
• Después de sufrir ciberataques, los líderes y las compañías con frecuencia cometen el error de volverse demasiado reservados.
• Los clientes pueden perdonar un ataque de piratería informática, pero no tolerarán el ocultamiento del ataque.

Resumen

La lista de verificación de riesgos

Los hackers o piratas informáticos plantean una amenaza constante. Aunque los ataques contra las grandes corporaciones ocupan los titulares, los ataques victimizan cada vez más a empresas pequeñas. El cibercrimen cuesta más de US$100 mil millones al año. Es un gran negocio y los criminales son tecnológicamente complejos, socialmente adeptos y están en confabulación con el crimen organizado. Si usted opera en la economía moderna, los cibercriminales plantean un riesgo. Ninguna industria, zona geográfica o perfil empresarial es inmune. Tenga cuidado con estas fuentes de vulnerabilidad:

• Propiedad intelectual y secretos comerciales

  – Mantenga la información sensible fuera de sus ordenadors y teléfonos celulares. Estará más segura fuera de línea, teniéndola impresa en papel.

• Rivales

  – La mayoría de sus rivales compite equitativamente, pero algunos competidores inescrupulosos pueden contratar espías para robar sus secretos corporativos.

• Almacenamiento informático

  – La práctica de almacenar datos en ordenadores crea vulnerabilidades de seguridad.

• Acceso a internet

  – Los contrafuegos, la codificación y otras tácticas protegen la información. Si sus sistemas internos están conectados a internet, son una filtración para que alguien los comparta con el mundo.

• Puertos USB

  – Los dispositivos USB crean una debilidad en la seguridad, como lo dejó claro el ataque Stuxnet, en el que espías israelíes y estadounidenses los usaron para sabotear a Irán.

• Los DVD y CD

  – Podría haber olvidado algo en estos dispositivos de almacenamiento de la vieja escuela. El soldado estadounidense Bradley [Chelsea] Manning usó un CD para sacar información clasificada del cortafuegos militar y entregarla a WikiLeaks.

• Almacenamiento fuera del sitio

  – Almacenar su información con un tercero le ayudará a mantenerse operativo en caso de un desastre o ataque, pero lo expone a la violación de datos.

• Provisión de datos

  – Las instituciones financieras y los minoristas del comercio electrónico mueven enormes cantidades de datos a altas velocidades. Esto es necesario, pero crea vulnerabilidades.

“El proliferación de la era cibernética presenta sencillamente muchos riesgos del mismo tipo en un formato o medio de entrega diferentes”.

La industria tecnológica procura mitigar la amenaza de la piratería informática. Por ejemplo, Microsoft lanza parches de seguridad el segundo martes de cada mes. El “martes de parches” permite que los trabajadores de TI refuercen sus sistemas contra las amenazas de seguridad. La responsabilidad por la ciberseguridad recae en las organizaciones y sus directivos. A usted le corresponde reconocer las amenazas a su organización, contratar miembros del personal de TI para administrar la ciberseguridad y capacitar a los empleados para que entiendan y eviten los peligros de la piratería informática.

Contraseñas a prueba de desciframiento

En aras de la vigilancia, haga más seguras las contraseñas de su empresa. Las contraseñas seguras se componen de 14 caracteres o más y por lo menos dos letras mayúsculas, dos letras minúsculas, dos números y dos caracteres especiales (como @, #, $ o %). Sustituir una letra por un carácter especial no hace indescifrable su contraseña. Los tipos malos ya han pensado en contraseñas como P@$$W0rd o $t33LeR$#1, una referencia al equipo de los Steelers de Pittsburg. Los criminales ejecutan programas que ofrecen miles de estas contraseñas.
Hacen suficientes ejercicios en las redes sociales para determinar los nombres de los miembros de su familia y sus equipos deportivos preferidos. No recicle contraseñas; cámbielas cada tres meses. Aunque resulte difícil de creer, muchos usuarios no cambian sus contraseñas después de una filtración. Si los cibercriminales victimizan su organización, asegurémonos de que todos cambien sus contraseñas, especialmente los administradores de sistemas.

Pecados mortales

Aun si tiene un cortafuegos que sea casi impenetrable, es vulnerable al error humano. Los ataques de phishing o suplantación de identidad son comunes. Mediante el spear phishing (ataques de phishing focalizados), los piratas utilizan correos electrónicos astutamente elaborados para engañar a los empleados para que descarguen malware (software malicioso). El mensaje falso parece legítimo a primera vista. Capacite a su personal para plantearse tres preguntas antes de abrir cualquier elemento anexado: ¿Es un mensaje importante? ¿Lo esperaba? ¿El remitente es auténtico? Enséñeles los riesgos del correo electrónico y las redes sociales. A veces, los piratas informáticos envían facturas falsas y hablan convincentemente por teléfono. Protéjase contra estos pecados mortales:

• Ignorancia – Es posible que la gente desconozca los riesgos de ciberseguridad y sus reglas y políticas para reducir esos riesgos. Remedie esto con capacitación.
• Apatía – Su personal entiende los riesgos y conoce sus políticas, pero no presta atención a los procedimientos de seguridad establecidos. Las señales de advertencia incluyen la falta de una capacitación completa en seguridad e ignorar las reglas de seguridad.
• Estupidez – Las personas inteligentes pueden hacer cosas tontas, como lo demostró un experimento realizado en una instalación del gobierno de EE.UU. Se dejaron dispositivos de memoria en el estacionamiento. La gente los recogió e insertó 60% de ellos en los ordenadores del gobierno, a pesar de las reglas que prohíben dichas acciones.
• Curiosidad – Los ataques de phishing se alimentan de la curiosidad de las personas, por ejemplo, declarando ofrecer información sobre un problema ficticio con la cuenta de banco del receptor.
• Falta de liderazgo – Tome en serio la ciberseguridad. Si es un alto ejecutivo, asista a las sesiones de capacitación. Asegúrese de que la gente considere la ciberseguridad como un asunto grave.
• Falta de responsabilidad – ¿Su personal está ignorando las políticas de seguridad? Imponga consecuencias. Si no responsabiliza a alguien por el comportamiento riesgoso, este continuará.

Manejar el riesgo

Para manejar la amenaza de ciberataques, elija entre cuatro opciones, según su situación y la combinación de capacidades técnicas y tolerancia al riesgo de su organización:

1. Mitigue – Reparar el agujero en sus defensas podría ser la respuesta más directa. Pero no se involucre en una inversión en ciberseguridad sin analizar costos y beneficios. Con demasiada frecuencia, las compañías invierten millones en TI para asegurar información que vale la mitad de eso. Pregunte: ¿Cómo puedo mitigar este riesgo? ¿Cuánto costará? y ¿Cuánto tiempo tomará?
2. Transfiera el riesgo – Transfiera el riesgo de un ataque de ciberseguridad de la misma manera en que compra protección para sus propiedades. Los operadores que escriben políticas para cubrir riesgos de ciberseguridad incluyen a Chubb y Beazley. Un paquete de seguros debe cubrir responsabilidad de terceros por daños de una filtración, más costos de administración de riesgos de primera parte, tales como investigación, trabajo legal y personal del centro de llamadas.
3. Acéptelo – A veces, la respuesta correcta es no responder. Tal vez su riesgo es bajo o el valor de sus datos es insignificante. Asegúrese de entender el lado negativo.
4. Evite – El equipo antiguo y el software obsoleto pueden estar repletos de agujeros de seguridad. Podría actualizar el hardware y el software, pero evitar el problema tiene más sentido. Deshágase del sistema viejo y compre nuevos servidores y software más seguros. En otro tipo de riesgo, los ejecutivos a veces publican información personal en sus biografías corporativas oficiales. Elimínela.

Mejores prácticas en ciberseguridad

Algunas medidas de mitigación serán específicas para las demandas únicas de su compañía y su industria. Dadas estas distinciones, algunas de las mejores prácticas son:

• Documente sus políticas de ciberseguridad

  – Capacite a todos los trabajadores para que entiendan estas políticas y póngalos a prueba con regularidad.

• Manténgase actualizado con las configuraciones y parches de software

  – Esto aplica para aplicaciones, software antimalware y sistemas operativos. Use software aprobado.

• Implemente conexiones de límite sólidas y sistemas de detección de intrusos

  – De manera rutinaria, haga que un tercero independiente ponga a prueba sus sistemas.

• Deniegue todo, permita por excepción

  – Denegar el acceso excepto mediante permiso debe ser su política predeterminada. Esta práctica le ayuda a filtrar el tráfico de su red y bloquea a cualquier visitante que carezca de privilegios específicos.

• Cree una jerarquía de privilegios

  – Permita que los usuarios tengan acceso únicamente a la información y los servicios que necesitan. Esta política ayuda a impedir que roben información sensible los criminales que se apropian de identidades.

• Codifique todo

  – Codifique los datos de su hogar y oficina y los datos que viajen. Además, codifique los discos duros de ordenadores de escritorio, laptops y otros dispositivos.

• Instale un sistema de detección de intrusos

  – Con exploraciones rigurosas internas y externas, puede atrapar y detener inmediatamente trabajos internos y ataques externos.

• Haga de la ciberseguridad una prioridad corporativa

  – Inhabilite las unidades de USB y los lectores de CD; úselos solo en condiciones controladas. Al importar y exportar datos, implemente políticas que se acaten para conectarse. Permita el acceso remoto solo en situaciones controladas.

• Invierta en personal de TI

  – Cuanto mayor sea su riesgo, mayor prioridad debe darle a su personal de TI. Contrate expertos en TI que cuenten con la capacitación y las certificaciones apropiadas.

• Desconecte el acceso a internet para los datos empresariales críticos

  – Algunos de sus datos, como la correspondencia general, no son valiosos. Su propiedad intelectual y sus secretos comerciales son muy valiosos. Proteja estos datos desconectándolos de internet.

Comprenda sus riesgos

La mayoría de los ejecutivos no son expertos en el campo de la ciberseguridad, pero no necesita ser experto para tomar decisiones eficaces si se plantea estas preguntas:

• ¿Cuáles son nuestras amenazas? – Reexamine sus vulnerabilidades todos los días.
• ¿Qué tan eficaces son nuestros sistemas? – Cree medidas de rendimiento para medir la susceptibilidad de su ciberseguridad.
• ¿Cuán vulnerables somos? – Sus sistemas de TI podrían funcionar perfectamente, pero eso no significa que sean seguros.
• ¿Tenemos a las personas correctas? – ¿Están capacitadas y siguen procedimientos adecuados? El error humano es una amenaza importante aún para una red segura.
• ¿Estoy gastando la cantidad correcta en ciberseguridad? – La capacitación, el hardware y el software son inversiones necesarias; la cantidad que necesita gastar varía según la organización.

Ataque de piratería informática

Esté preparado para responder antes de que lo pirateen. Las relaciones públicas son importantes. La torpe respuesta de Sony a un ataque en el 2001 es exactamente lo que no debe hacer. Cuando un ataque comprometió la red de PlayStation, Sony reconoció la filtración y prometió comunicarse rápidamente, pero guardó silencio durante días, mientras los usuarios difundían rumores sobre el ataque. Haga planes para los ciberataques. Después de un ataque, siga los siguientes pasos:

• Comuníquese de inmediato – Los clientes pueden perdonar un ataque de piratería informática, pero no tolerarán el ocultamiento del ataque.
• Contrate a un relacionista público especializado en crisis – Los miembros del personal de relaciones públicas no están acostumbrados a tratar con las circunstancias únicas de un ciberataque.
• Ponga a los altos directivos frente a las cámaras – Es posible que esté respondiendo a un ciberataque, pero si sigue diciendo “sin comentarios”, los clientes asumirán que no le preocupan sus temores.
• Sea generoso – Ofrezca regresar a los clientes los costos de los cheques de crédito y otras medidas para ayudarlos a recuperarse de la filtración. Sea cual sea el costo inmediato a corto plazo, esto lo protege a usted a largo plazo.