Ejecutivos que se portan mal: 5 formas de gestionar la ciberamenaza ejecutiva

Seguridad negocio

No practicar lo que predicas, especialmente cuando eres un blanco jugoso para los malos actores, crea una situación cargada de riesgos considerables.

Phil Muncaster

Noviembre 30 2023
•
,
5 minuto. leer

Mal comportamiento de los ejecutivos: 5 formas de gestionar la ciberamenaza ejecutiva

Cuando se trata de ciberseguridad corporativa, es importante predicar con el ejemplo. Sí, es importante que cada empleado desempeñe su papel en un cultura de seguridad por diseño. Pero sus señales la mayoría de las veces provienen de arriba. Si la junta directiva y los altos directivos no pueden dedicar tiempo a aprender ciberhigiene básica, ¿por qué debería hacerlo el resto de la empresa?

Para complicar aún más las cosas, los ejecutivos son en sí mismos un objetivo muy preciado para los actores de amenazas, dado su acceso a información confidencial y el poder que tienen para aprobar grandes transferencias de dinero. Por lo tanto, no poner en práctica lo que predican podría provocar importantes daños financieros y de reputación.

De hecho, un nuevo informe de Ivanti revela una importante “brecha de conducta” en materia de ciberseguridad entre lo que dicen y lo que hacen los altos ejecutivos. Cerrarlo debería ser una cuestión de urgencia para todas las organizaciones.

La brecha de conducta

El informe en sí es de naturaleza global y está elaborado a partir de entrevistas con más de 6,500 líderes ejecutivos, profesionales de la ciberseguridad y trabajadores de oficina en Europa, Estados Unidos, China, Japón y Australia. Entre otras cosas, revela una desconexión importante entre lo que dicen los líderes empresariales y lo que realmente hacen. Por ejemplo:

Casi todos (96%) afirman “al menos apoyar moderadamente o invertir en el mandato de ciberseguridad de su organización”
El 78% dice que la organización proporciona formación obligatoria en seguridad
El 88% dice "están preparados para reconocer e informar amenazas como malware y phishing"

Hasta ahora, todo bien. Pero lamentablemente esa no es toda la historia. De hecho, muchos líderes empresariales también:

Haber solicitado eludir una o más medidas de seguridad en el último año (49%)
Utilice contraseñas fáciles de recordar (77%)
Haga clic en enlaces de phishing (35%)
Utilice contraseñas predeterminadas para aplicaciones laborales (24%)

El comportamiento ejecutivo a menudo está muy por debajo de lo que es una práctica de seguridad aceptable. También es notable en comparación con los empleados regulares. Sólo el 14% de los empleados dice que utiliza contraseñas predeterminadas, frente al 24% de los ejecutivos. Y el último grupo tiene tres veces más probabilidades de compartir dispositivos de trabajo con usuarios no autorizados, según el informe. Los ejecutivos también tienen el doble de probabilidades de describir una interacción pasada con la seguridad de TI como "incómoda" y un 33% más de probabilidades de decir que no "se sienten seguros" al informar errores como hacer clic en enlaces de phishing.

Pasos para mitigar la amenaza ejecutiva

Esto es importante debido a los derechos de acceso que suelen tener los altos directivos de una organización. La combinación de esto, las malas prácticas de seguridad y el “excepcionalismo ejecutivo” (que lleva a muchos a pedir soluciones que a los empleados regulares se les negarían) los convierte en un objetivo atractivo. El informe afirma que el 47% de los ejecutivos fueron un objetivo conocido de phishing durante el año pasado, frente al 33% de los trabajadores de oficina habituales. y 35% hizo clic en un enlace malicioso o enviaron dinero, en comparación con sólo el 8% de los empleados.

Los expertos en seguridad suelen hablar de la necesidad de una seguridad por diseño o una cultura centrada en la seguridad, donde la conciencia de las mejores prácticas y la higiene cibernética se extiende por toda la organización. Eso es casi imposible de lograr si la alta dirección no encarna estos mismos valores. Entonces, ¿qué pueden hacer las organizaciones para mitigar los riesgos cibernéticos creados por sus ejecutivos?

Realizar una auditoría interna de la actividad ejecutiva durante el último año. Esto podría incluir actividad en Internet, posibles comportamientos riesgosos, como clics de phishing bloqueados e interacciones con administradores de seguridad o de TI. ¿Existen patrones dignos de mención, como la asunción excesiva de riesgos o la falta de comunicación? ¿Cuáles son las lecciones aprendidas?
El objetivo más importante de este ejercicio es comprender qué tan amplia es la brecha de conducta ejecutiva y cómo se manifiesta en su organización. Incluso puede ser necesaria una auditoría externa para obtener una perspectiva de un tercero sobre las cosas.
Aborde primero la fruta madura. Esto significa los tipos más comunes de malas prácticas de seguridad que son los más fáciles de solucionar. Podría significar actualizar las políticas de acceso para exigir la autenticación de dos factores (2FA) para todos, o establecer una política de clasificación y protección de datos que ponga ciertos materiales fuera del alcance de ejecutivos específicos. Tan importante como actualizar la política es comunicarla periódicamente y explicar por qué se redactó, a fin de evitar la confrontación ejecutiva.
La atención a lo largo de este proceso debe centrarse en implementar controles que sean lo menos intrusivos posible, como el descubrimiento, clasificación y protección automáticos de datos. Eso ayudará a lograr el equilibrio adecuado entre seguridad y productividad ejecutiva.
Ayude a los ejecutivos a unir los puntos entre las malas prácticas de seguridad y el riesgo empresarial. Una forma posible de hacerlo es realizar sesiones de capacitación que utilicen técnicas de gamificación y escenarios del mundo real para ayudar a los ejecutivos a comprender el impacto de una mala higiene cibernética. Podría explicar cómo un enlace de phishing condujo a la infracción de un competidor importante, por ejemplo. O como un ataque de compromiso de correo electrónico empresarial engañó a un ejecutivo para que transfiriera millones de dólares a estafadores.
Dichos ejercicios deberían centrarse no sólo en lo sucedido y en las lecciones que se pueden aprender desde una perspectiva operativa, sino también en el impacto humano, financiero y reputacional. Los ejecutivos estarían especialmente interesados en saber cómo algunos incidentes de seguridad graves han provocado que sus pares siendo obligado a salir de sus roles.
Trabajar para generar confianza mutua con los altos directivos. Esto sacará a algunos líderes de seguridad y TI de su zona de confort. Como explica el informe, debería significar “honestidad y apoyo amistoso” en lugar de la “condena o condescendencia” que a menudo sigue cuando un empleado comete un error.
La atención debería centrarse en aprender de los errores en lugar de señalar a individuos. Sí, deben entender las consecuencias de sus acciones, pero siempre en un marco de mejora y aprendizaje continuo.
Considere un programa de ciberseguridad de “guante blanco” para altos directivos. Los ejecutivos son más propensos que los empleados regulares a decir que sus interacciones con la seguridad se sienten incómodas. Su higiene cibernética es peor y son un objetivo mayor para los actores de amenazas. Todas estas son buenas razones para dedicar especial atención a este grupo relativamente pequeño de altos dirigentes.
Considere un punto de contacto especial para las interacciones con ejecutivos y procesos de capacitación y de incorporación y baja especialmente diseñados. El objetivo es generar confianza y mejores prácticas, y reducir las barreras para informar incidentes de seguridad.

Muchas de estas medidas requerirán un cambio cultural, lo que naturalmente llevará tiempo. Pero si es honesto con los ejecutivos, implementa los procesos y controles correctos y les enseña las consecuencias de una mala higiene cibernética, tendrá grandes posibilidades de éxito. La seguridad es un deporte de equipo, pero debería empezar por el capitán.

ANTES DE QUE TE VAYAS: Seis pasos para que la junta directiva se incorpore a su programa de ciberseguridad

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.welivesecurity.com/en/business-security/executives-behaving-badly-manage-executive-cyberthreat/

Inteligencia de datos generativa

Mal comportamiento de los ejecutivos: 5 formas de gestionar la ciberamenaza ejecutiva

La brecha de conducta

Pasos para mitigar la amenaza ejecutiva

Binance integra USD Coin (USDC) en la red base

El verdadero costo: implementar infraestructura de carga de vehículos eléctricos en todo el país – CleanTechnica

Información más reciente

Nueva plataforma de análisis arroja luz sobre el futuro de la energía solar de las empresas de servicios públicos – CleanTechnica

Deutsche Bank se une al proyecto Guardian de MAS para explorar la tokenización de activos – Fintech Singapore

Abordar el riesgo de deforestación en las carteras financieras | negocio verde

Autenticidad en la era de los deepfakes: el enfoque multicapa ZOLOZ eKYC – Fintech Singapore

Fetch AI (FET) avanza en el monitoreo de Blockchain con la integración de BlockAgent y Chainlink (LINK)

¿Son los tokens de juegos la próxima gran novedad en las finanzas virtuales?