La protección cibernética ejecutiva es la clave para mantener la seguridad de su empresa La ciberseguridad es esencial para el éxito de cualquier negocio, y es importante comenzar desde arriba, con la c-suite. Este es el por qué.
Por Andrei Komarov Editado por Amanda Breen
Este artículo fue traducido de nuestra edición en inglés.
Las opiniones expresadas por los colaboradores de Entrepreneur son personales
Existe una tendencia creciente de que los ciberataques se dirijan específicamente a la c-suite de una empresa. Estudios recientes han encontrado que los directores ejecutivos, directores de tecnología y directores legales tienen acceso a datos que los convierten en objetivos particularmente tentadores, lo que ha resultado en que sean blanco de ataques cibernéticos con mayor frecuencia. Debido a los posibles resultados de tales ataques, la protección de su empresa debe comenzar con un plan ejecutivo integral de protección cibernética.
Relacionado: La ciberseguridad es ahora esencial para la estrategia corporativa. He aquí cómo unir los dos.
Por qué los ejecutivos son objetivos tan lucrativos
Hay algunas razones por las que los ejecutivos establecen objetivos de beneficios tan potencialmente altos. En primer lugar, los ejecutivos tienen acceso a los datos más confidenciales que pueda tener una empresa, a menudo en forma de propiedad intelectual u otros secretos comerciales o comerciales. Sin embargo, más allá de eso, son buenos objetivos para los ataques de ransomware , especialmente en sus aplicaciones o dispositivos personales.
Existe una tendencia de que los grupos de ciberespionaje se dirijan a los dispositivos personales de los ejecutivos porque, por lo general, son mucho menos seguros que los dispositivos de una red empresarial. Los ejecutivos también son humanos y, como tales, pueden ser víctimas de los ataques de la caza de ballenas. Debido a que son objetivos tan rentables, los competidores o incluso los estados-nación están dispuestos a dedicar mucho tiempo y recursos a aprender sobre los ejecutivos : sus intereses, preferencias y posibles debilidades.
Estas amenazas no son solo hipotéticas. Los ejecutivos pueden ser blanco de ataques cuando visitan regiones del mundo que son menos estables que Estados Unidos por situaciones de secuestro o rehenes. Una empresa pudo frustrar un ataque planeado durante una conferencia en América Latina. Los delincuentes pudieron distribuir malware a los dispositivos del ejecutivo y luego pudieron averiguar horarios de vuelos, itinerarios e incluso dónde se hospedaría. Representaban una amenaza viable para él y su familia, y la intervención oportuna fue la única forma en que los equipos de seguridad pudieron prevenir algo peor.
¿Quién se dirige a los ejecutivos?
Los grupos avanzados de ciberespionaje e incluso los actores de amenazas de los estados nacionales están apuntando a los ejecutivos a un ritmo cada vez mayor debido a la naturaleza valiosa de sus datos. Estos grupos a menudo tienen recursos considerables a su disposición y también pueden aprovechar a los miembros de la organización para acceder. Por ejemplo, si bien pueden saber que un ejecutivo está bien protegido, pueden apuntar primero a los empleados de nivel inferior para los ataques de apropiación de cuentas. Luego usan estos perfiles comprometidos para enviar correos electrónicos maliciosos a ejecutivos desde una fuente confiable dentro de la empresa. Lo mismo también se puede hacer desde una perspectiva de riesgo de terceros cuando la carga útil maliciosa se entrega desde una cuenta comprometida de un socio o proveedor.
Relacionado: Aplazar la ciberseguridad lo pone en un riesgo mucho mayor de lo que cree
Cómo las empresas pueden proteger a sus ejecutivos
Proteger a los ejecutivos de su empresa debe ser el primer problema que aborde cuando se habla de ciberseguridad. Requiere un proceso integrado de planificación y ejecución entre ciberseguridad, TI, profesionales de seguridad física, inteligencia de amenazas y otros recursos profesionales para evaluar las amenazas e implementar estrategias de mitigación.
Puede parecer un cliché, pero una de las estrategias más efectivas es la educación integral para concienciar al usuario, incluida la c-suite. Los ejecutivos están muy ocupados y, por lo general, no tienen tiempo para mantenerse al día sobre las amenazas avanzadas que pueden estar dirigidos contra ellos. Los equipos de ciberseguridad tienen la responsabilidad de proteger a sus ejecutivos al proporcionar resúmenes fáciles de digerir sobre nuevas amenazas e inteligencia procesable para la toma de decisiones estratégicas. Los ejecutivos también son humanos y deben recordar lo sofisticada que puede ser la ingeniería social u otros ataques. La mayoría de los ciberataques exitosos han demostrado que el elemento humano es fácilmente explotable en comparación con la tecnología , lo que presenta uno de los mayores desafíos de seguridad de la información.
Estos resúmenes deben ser precisos y también pueden adaptarse a diferentes regiones del mundo. Las diferentes áreas pueden tener diferentes amenazas y los ejecutivos deben conocer las regiones que pueden afectarlos más a ellos y al negocio. Es mejor que esta información provenga del CSO o del CISO, pero algunas empresas han encontrado beneficioso establecer un nuevo rol, el director de riesgos (CRO), quien es responsable de proporcionar una evaluación integral de riesgos a otros ejecutivos.
Relacionado: ¿Cuánto cuesta realmente la ciberseguridad?
No espere. Protege la c-suite.
Los atacantes cibernéticos no duermen. Están constantemente al acecho de objetivos vulnerables y, a veces, esos pueden ser los ejecutivos que tienen acceso a los datos más valiosos de una empresa (o que pueden exigir el mayor rescate). La protección de su empresa requiere la protección de la c-suite. La protección cibernética ejecutiva es una tendencia creciente en la comunidad de la seguridad cibernética debido a una tendencia creciente en los ejecutivos de alto nivel que son el objetivo. No espere; elabore un plan para asegurar a sus ejecutivos ahora.