{"id":28364,"date":"2023-02-03T13:26:55","date_gmt":"2023-02-03T11:26:55","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28364"},"modified":"2023-02-03T13:26:55","modified_gmt":"2023-02-03T11:26:55","slug":"5-cybersecurity-lessons-ceo","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/5-cybersecurity-lessons-ceo\/28364\/","title":{"rendered":"5 lecciones de ciberseguridad para tu CEO"},"content":{"rendered":"

La seguridad de la informaci\u00f3n es un campo muy estresante: la b\u00fasqueda constante de posibles incidentes y las largas horas de dedicaci\u00f3n se ven agravadas por la batalla interminable con otros departamentos que conciben la ciberseguridad como una molestia innecesaria.<\/p>\n

En el mejor de los casos, intentan pasarla por alto, pero hay situaciones peores en las que directamente evitan todo lo que tenga que ver ella. Como resultado, el 62 % de los altos directivos encuestados<\/a> por Kaspersky admiten que los malentendidos entre las empresas y los departamentos de seguridad de la informaci\u00f3n han generado graves ciberincidentes.<\/p>\n

Para cambiar la actitud de una organizaci\u00f3n hacia la seguridad de la informaci\u00f3n, es de vital importancia conseguir el apoyo de las altas esferas, como lo es la junta directiva. Por tanto, \u00bfqu\u00e9 decirle al CEO o presidente que siempre est\u00e1 ocupado <\/strong>y seguramente sin tiempo ni ganas para pensar en la seguridad de la informaci\u00f3n? A continuaci\u00f3n, te dejamos con 5 fundamentos simples y digeribles que puedes ir repitiendo en las reuniones hasta que la direcci\u00f3n capte el mensaje.<\/p>\n

Forma a tus empleados en materia de ciberseguridad, empezando por los directivos<\/h2>\n

En cualquier formaci\u00f3n es necesario confiar en el profesor, lo que puede resultar dif\u00edcil si el estudiante es el CEO. Establecer un puente interpersonal y ganar credibilidad ser\u00e1 mucho m\u00e1s sencillo si empiezas<\/strong> sin estrategia, sino tratando la ciberseguridad personal de la directiva<\/strong>, que afecta directamente a la seguridad de toda la compa\u00f1\u00eda, dado que los datos personales y contrase\u00f1as del CEO suelen ser objetivo de los atacantes.<\/p>\n

Por ejemplo, \u00bfrecuerdas el esc\u00e1ndalo del pasado 2022 en Estados unidos cuando unos atacantes penetraron en la red social InfraGard<\/a>, utilizada por el FBI para informar confidencialmente a los CEO de las grandes empresas de las ciberamenazas m\u00e1s graves? Los ciberdelincuentes robaron una base de datos con los correos electr\u00f3nicos y n\u00fameros de tel\u00e9fono de m\u00e1s de 80000 miembros y los pusieron a la venta por 50000 d\u00f3lares. Con esta informaci\u00f3n de contacto, quienes la compraron pod\u00edan ganar la confianza de los CEO afectados o utilizarla en ataques BEC<\/a>.<\/p>\n

Esto destaca la importancia de que la directiva utilice la autenticaci\u00f3n en dos pasos<\/a> con un USB o tokens NFC en todos los dispositivos<\/strong>, genere contrase\u00f1as largas y \u00fanicas en todas las cuentas corporativas<\/strong>, proteja todos los dispositivos personales y corporativos con el software apropiado<\/strong> y separen el mundo digital personal del corporativo<\/strong>. B\u00e1sicamente estos consejos valdr\u00edan para cualquier usuario, solo que en su caso deben conocer los costes de un posible error<\/strong>. Por esto mismo es importante que comprueben minuciosamente todos los correos electr\u00f3nicos y archivos adjuntos que reciban.<\/p>\n

Una vez que la directiva haya realizado sus lecciones b\u00e1sicas de seguridad, debes guiarlos en la siguiente decisi\u00f3n estrat\u00e9gica: las formaciones peri\u00f3dicas<\/strong> en materia de seguridad de la informaci\u00f3n para todos los empleados<\/strong>.<\/p>\n

Hay diferentes requisitos de conocimiento para cada nivel de empleados. Todos, incluidos los empleados de primera l\u00ednea, deben asimilar las reglas de ciberhigiene ya mencionadas, adem\u00e1s de los consejos sobre c\u00f3mo responder a situaciones sospechosas o fueras de lo com\u00fan.<\/p>\n

Los directivos, sobre todos los de IT, se beneficiar\u00edan de una informaci\u00f3n ampliada sobre c\u00f3mo se integra la seguridad en el desarrollo de producto y en el ciclo de vida de uso, qu\u00e9 pol\u00edticas de seguridad adoptar en sus departamentos y c\u00f3mo puede afectar al rendimiento empresarial.<\/p>\n

Por su parte, los empleados de la seguridad de la informaci\u00f3n deber\u00edan estudiar los procesos empresariales en la compa\u00f1\u00eda para hacerse una mejor idea sobre c\u00f3mo integrar los mecanismos de protecci\u00f3n de la forma menos agresiva posible.<\/p>\n

Integra la ciberseguridad en la estrategia y los procesos de la compa\u00f1\u00eda<\/h2>\n

A medida que la econom\u00eda se digitaliza, el panorama de la ciberdelincuencia se hace cada vez m\u00e1s complejo y la regulaci\u00f3n se intensifica, de hecho, la gesti\u00f3n de los riesgos cibern\u00e9ticos se est\u00e1 convirtiendo en una tarea completa a nivel de la directiva. Hay toda una serie de aspectos tecnol\u00f3gicos, humanos, financieros, legales y organizacionales al respecto, por lo que los l\u00edderes de todas las \u00e1reas deben estar involucrados en la adaptaci\u00f3n de la estrategia y procesos de la compa\u00f1\u00eda.<\/p>\n

\u00bfC\u00f3mo podemos minimizar los riesgos en el caso de que un proveedor o contratista reciba un ataque,<\/strong> dado que podr\u00edamos convertirnos en un objetivo secundario? \u00bfQu\u00e9 leyes regulan la industria el almacenamiento y la trasferencia de datos sensibles<\/strong> como la informaci\u00f3n personal de los clientes? \u00bfCu\u00e1l ser\u00eda el impacto de un ataque de ransomware<\/em> <\/strong>que bloquee y borre todos los ordenadores y cu\u00e1nto tiempo llevar\u00eda la restauraci\u00f3n de las copias de seguridad? \u00bfPueden los da\u00f1os reputacionales medirse en dinero<\/strong> cuando el p\u00fablico y los socios se han enterado del ataque recibido? \u00bfQu\u00e9<\/strong> medidas de seguridad adicionales<\/strong> se pueden tomar para proteger a los empleados en remoto?<\/strong> Estas son las cuestiones que deben abordar los servicios de seguridad de la informaci\u00f3n y los expertos de otros departamentos, apoy\u00e1ndose en medidas organizativas y t\u00e9cnicas.<\/p>\n

Es importante recordar a la directiva que \u201ccomprar este [o aquel] sistema de protecci\u00f3n\u201d no es una soluci\u00f3n milagrosa<\/strong> para cualquiera de estos problemas, ya que, seg\u00fan las estimaciones, entre el 46<\/a> y el 77 %<\/a> de<\/strong> todos los incidentes est\u00e1n relacionados con el factor humano<\/strong>: desde el incumplimiento de las regulaciones y los intrusos maliciosos, hasta la falta de transparencia TI por parte de los contratistas.<\/p>\n

A pesar de todo, los problemas de la seguridad de la informaci\u00f3n siempre giran en torno al presupuesto.<\/strong><\/p>\n

Invierte correctamente<\/h2>\n

La inversi\u00f3n en la seguridad de la informaci\u00f3n siempre se queda corta, mientras que los problemas que hay que resolver parecen infinitos. Es importante priorizar en consecuencia con los requerimientos de la industria en cuesti\u00f3n y con las amenazas m\u00e1s relevantes y que puedan causar m\u00e1s da\u00f1o en tu organizaci\u00f3n. Esto es posible pr\u00e1cticamente en todas las \u00e1reas, desde el cierre de vulnerabilidades hasta la formaci\u00f3n del personal. No se puede ignorar ninguna y cada una tendr\u00e1 sus propias prioridades y orden de precedencia. Trabajando dentro del presupuesto asignado, eliminamos los riesgos principales y, despu\u00e9s, procedemos a los menos probables. Pero clasificar las probabilidades de riesgo por tu cuenta es una tarea casi imposible, para lo que deber\u00edas estudiar los informes del panorama de amenazas<\/a> en tu industria y analizar los vectores de ataque t\u00edpicos.<\/p>\n

Evidentemente, las cosas se ponen m\u00e1s interesantes cuando hay que elevar el presupuesto. La estrategia m\u00e1s madura para la elaboraci\u00f3n del presupuesto es aquella basada en los riesgos y el coste respectivo de su actualizaci\u00f3n y minimizaci\u00f3n, pero tambi\u00e9n es m\u00e1s laboriosa.<\/strong> Los ejemplos reales, sobre todo las experiencias de la competencia, juegan un papel importante es las reuniones de las juntas directivas. Dicho esto, no son f\u00e1ciles de encontrar, por lo que es com\u00fan recurrir a puntos de referencia que brinden presupuestos promedio para un sector comercial y pa\u00eds en particular<\/a>.<\/p>\n

Ten en cuenta todos los tipos de riesgo<\/h2>\n

Los debates sobre la seguridad de la informaci\u00f3n se suelen centrar<\/strong> en los ciberdelincuentes y las soluciones de software<\/strong> para combatirlos. Pero<\/strong> las operaciones diarias de muchas organizaciones se enfrentan a otros riesgos<\/strong> que tambi\u00e9n est\u00e1n relacionados con la seguridad de la informaci\u00f3n.<\/p>\n

Sin duda alguna, uno de los riesgos m\u00e1s relevantes en los \u00faltimos a\u00f1os ha sido el de la violaci\u00f3n de normas en el almacenamiento y uso de datos personales<\/strong>, como el RGPD<\/strong>, CCPA, etc. La pr\u00e1ctica actual de las fuerzas policiales muestra que ignorar estas leyes no es una opci\u00f3n: tarde o temprano te pondr\u00e1n una multa y en muchos casos, sobre todo en Europa, hablamos de cuant\u00edas considerables. Una perspectiva a\u00fan m\u00e1s alarmante que se avecina para las empresas es la imposici\u00f3n de multas bas\u00e1ndose en el volumen de filtraciones o gesti\u00f3n inadecuado de datos personales, por lo que una auditor\u00eda integral de los sistemas y procesos de informaci\u00f3n con el objetivo de eliminar paso a paso estas violaciones ser\u00eda de lo m\u00e1s oportuna.<\/p>\n

Varias industrias tienen sus propios criterios, incluso m\u00e1s estrictos, en concreto los sectores financiero, sanitario y de telecomunicaciones, as\u00ed como los operadores de infraestructuras cr\u00edticas. Debe ser una tarea supervisada regularmente por los gerentes de estas \u00e1reas para mejorar el cumplimiento de los requisitos normativos en sus departamentos.<\/p>\n

Responde correctamente<\/h2>\n

Lamentablemente, a pesar de los esfuerzos, los incidentes de ciberseguridad son pr\u00e1cticamente inevitables. Si la escala de un ataque es lo suficientemente grande como para atraer la atenci\u00f3n de la sala de juntas, lo m\u00e1s seguro es que haya supuesto una interrupci\u00f3n de las operaciones o una filtraci\u00f3n de datos importantes. No solo la seguridad de la informaci\u00f3n, sino tambi\u00e9n las unidades de negocio deben estar listas para responder, a poder ser despu\u00e9s de haber realizado una serie de simulacros. Como m\u00ednimo, la alta directiva debe conocer y seguir los procedimientos de respuesta para no reducir las posibilidades de un resultado favorable. Estos son los tres pasos fundamentales que debe seguir el CEO<\/strong>:<\/p>\n

    \n
  1. Notificar de inmediato a las partes clave sobre el incidente<\/strong>; dependiendo del contexto: departamentos financieros y legales, aseguradoras, reguladores de la industria, reguladores de protecci\u00f3n de datos, fuerzas policiales, clientes afectados. En muchos casos, el plazo para dicha notificaci\u00f3n est\u00e1 establecido por la ley, pero si no, debe establecerse en el reglamento interno. El sentido com\u00fan dicta que la notificaci\u00f3n sea r\u00e1pida pero informativa; es decir, antes de notificar se debe recabar informaci\u00f3n sobre la naturaleza del incidente, incluyendo una evaluaci\u00f3n inicial de la escala y las medidas de primera respuesta tomadas.<\/li>\n
  2. Investigar el incidente.<\/strong> Es importante tomar diversas medidas para poder evaluar correctamente la escala y las ramificaciones del ataque. Adem\u00e1s de las medidas puramente t\u00e9cnicas, realizar encuestas a los empleados tambi\u00e9n puede aportar relevancia, por ejemplo. Durante la investigaci\u00f3n, es de vital importancia no da\u00f1ar las pruebas digitales del ataque u otros artefactos. En muchos casos, tiene sentido traer [IR placeholder]expertos externos[\/IR placeholder] para investigar y limpiar el incidente.<\/li>\n
  3. Elaborar un programa de comunicaciones.<\/strong> Un error t\u00edpico <\/strong>que cometen las empresas es tratar de ocultar o restar importancia a un incidente.<\/strong> Tarde o temprano, la verdadera escala del problema saldr\u00e1 a la luz, prolongando y ampliando los da\u00f1os, desde la reputaci\u00f3n hasta el financiero. Por lo tanto, las comunicaciones externas e internas deben ser peri\u00f3dicas y sistem\u00e1ticas<\/a>, entregando informaci\u00f3n consistente y de uso pr\u00e1ctico para clientes y empleados. Deben informar claramente sobre qu\u00e9 acciones tomar ahora y qu\u00e9 esperar en el futuro. Ser\u00eda una buena idea centralizar las comunicaciones; es decir, nombrar portavoces internos y externos y prohibir que cualquier otra persona desempe\u00f1e esta funci\u00f3n.<\/li>\n<\/ol>\n

    Comunicar los asuntos de seguridad de la informaci\u00f3n a la alta directiva es una tarea que requiere mucho tiempo y no siempre es gratificante, por lo que es poco probable que estos cinco mensajes se transmitan y se tomen en serio en solo una o dos reuniones. La interacci\u00f3n entre la empresa y la seguridad de la informaci\u00f3n es un proceso continuo que requiere un esfuerzo mutuo para entenderse mejor. Solo con una estrategia sistem\u00e1tica, paso a paso<\/strong>, llevada a cabo de forma regular y que involucre a pr\u00e1cticamente todos los ejecutivos, tu empresa puede ganar ventaja sobre la competencia en la navegaci\u00f3n por el ciberespacio actual.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Las medidas de seguridad de la informaci\u00f3n son m\u00e1s eficaces cuando reciben el apoyo de la alta directiva. \u00bfC\u00f3mo puedes conseguirlo? <\/p>\n","protected":false},"author":2722,"featured_media":28365,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[551,215,2015,3202,43,401,1312],"class_list":{"0":"post-28364","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ataques","10":"tag-empresas","11":"tag-formacion","12":"tag-incidentes","13":"tag-phishing","14":"tag-ransomware","15":"tag-riesgos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/5-cybersecurity-lessons-ceo\/28364\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/5-cybersecurity-lessons-ceo\/25132\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/20627\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/27759\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/5-cybersecurity-lessons-ceo\/25465\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/25847\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/5-cybersecurity-lessons-ceo\/34613\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/5-cybersecurity-lessons-ceo\/47030\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/5-cybersecurity-lessons-ceo\/20086\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/5-cybersecurity-lessons-ceo\/20717\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/5-cybersecurity-lessons-ceo\/29720\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/5-cybersecurity-lessons-ceo\/33197\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/5-cybersecurity-lessons-ceo\/25825\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/5-cybersecurity-lessons-ceo\/31504\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/5-cybersecurity-lessons-ceo\/31218\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/empresas\/","name":"empresas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28364","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28364"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28364\/revisions"}],"predecessor-version":[{"id":28366,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28364\/revisions\/28366"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28365"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28364"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28364"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28364"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}