Los directivos, en el punto de mira de la ciberseguridad

La realidad es que los directivos de las empresas tienen acceso a información con grandes niveles de confidencialidad. Además, suelen ser los que más usan dispositivos móviles para trabajar desde casa, hoteles, aeropuertos, etc.

Este coctel, más que conocido por todos y especialmente los cibercriminales, provoca que cada vez sean más los directivos de empresas que se ponen en el foco de los cibercriminales a la hora de realizar sus ataques, ya que son un perfil más rentable y lucrativo.

Estos ataques no suelen salir entre los grandes titulares donde se cuentan por millones los registros robados con datos personales o tarjetas de crédito. Sin embargo, los ataques a directivos permiten robar pocos registros/credenciales pero de alto valor, lo que maximiza su ROI -si se permite aquí este término ahora que los criminales se han profesionalizado e invierten-. Este es un ejemplo reciente.

Grandes retos

Los directivos no son su ordenador portátil, ni siquiera sus Tablets o Smartphones. Los directivos son sus residencias de verano con sus WiFi, son los hoteles donde se alojan, los aeropuertos en los que esperan vuelos, la líneas de telefonía que usan, son sus familias y hasta sus televisiones… en definitiva aquello de “dónde ubicar los límites de la empresa” cobra especial significado con los directivos y nunca ha sido tan significativo estando aún en las primeras etapas del Internet de las cosas (IoT).

Las herramientas de seguridad evolucionan rápidamente, pero aún más lo hacen las amenazas asociadas al crecimiento tecnológico que la eficiencia operacional de la empresa demanda. Los Cibercriminales son cada vez más capaces, están cada vez mejor entrenados, organizados, pagados y motivados.

Aunque las empresas se esfuercen cada día en mantener sus equipos y redes limpios de virus, troyanos, gusanos (y demás variantes de malware) y su tráfico monitorizado frente a ataques conocidos y desconocidos, cada día tienen que combatir los nuevos ataques, cada vez más complejos y avanzados, diseñados para evadir las soluciones tecnológicas de seguridad existentes.

Grandes soluciones, la transformación del modelo de la Seguridad:

El camino de la solución termina necesariamente en la personas, en estos directivos, su entorno de trabajo y cómo no el entorno personal de los mismos, pero no pasa por limitar la capacidad que deben tener para poder gestionar y rentabilizar el negocio.

Los paradigmas de Seguridad de la Información clásicos se quedan pequeños ante el nuevo panorama, debemos aportar soluciones orientadas al negocio y al desarrollo del mismo, flexibles, completas y especialmente conexas, que faciliten la transformación de manera natural, hacia un modelo reactivo de la Seguridad de la Organización apoyados en una visión holística a través de tres pilares fundamentales:

• Personas como motor de la transformación – El mayor propulsor (y objeto) del cambio y transformación en Seguridad de la Información son las personas -máxime si se trata de los directivos por su representatividad y responsabilidad corporativa-. Por ello, su implicación en la Seguridad de la Información es fundamental para lograr un cambio alineado con los objetivos de la Organización. Programas de concienciación específicos para directivos (y su entorno) que estimulen de maneras creativas la “necesidad de sentirse protegidos” y fomenten una cultura responsable de Seguridad deberán ser fundamentales.
• Procesos como vehículo de la transformación – Adecuar la cultura de la organización implica orientar el esfuerzo en los procesos asociados a la Seguridad de la Información. Estos procesos deberán convivir, entrelazarse y apoyar al resto de procesos de Negocio de las áreas corporativas por lo que serán el verdadero reflejo del calado y la permeabilidad de la Seguridad en la cultura de la compañía.
• Tecnología como soporte a personas y procesos – El soporte para transformar personas y procesos se debe apoyar en soluciones tecnológicas, las cuales, al servicio de la estrategia de seguridad, contribuirán a facilitar y mejorar la transformación de la Seguridad de la Información.

En definitiva, la tecnología y herramientas a implementar deberán ser fruto y consecuencia de la estrategia, un medio para alcanzar los objetivos propuestos, pero nunca una finalidad.