ITNews
Los altos ejecutivos se encuentran entre los objetivos preferidos de los hackers malintencionados y otros malos actores, en parte porque es más probable que tengan información valiosa o que tengan un alto nivel de acceso a dichos datos.
Por eso es tan importante para las organizaciones asegurarse de que los ejecutivos de nivel C y otros jerarcas se adhieran a los más estrictos estándares de protección de contenidos y que usen las tecnologías de seguridad apropiadas siempre que sea posible, incluso cuando viajan a ubicaciones de alto riesgo.
“Los ejecutivos son un objetivo, por su acceso e influencia dentro de las compañías, especialmente aquellos cuyo alcance incluye datos financieros confidenciales o información de identificación personal”, dijo Wayne Lee, arquitecto jefe de seguridad cibernética de West Monroe Partners, una consultora de negocios y tecnología.
Prácticamente cualquier persona que tenga cercanía a cifras de valor potencial corre el peligro de sufrir un ataque cibernético, afirmó Steve Durbin, director general de Information Security Forum, una organización independiente dedicada a investigar y resolver problemas clave en seguridad de la información y gestión de riesgos.
“Por supuesto, esto incluirá a los sospechosos habituales en el C-suite, pero ya no está restringido a la sala de juntas. Los asistentes personales, el personal de administración de sistemas, casi cualquier persona que tenga la capacidad de proporcionar acceso al cibercriminal determinado en la búsqueda de información valiosa ahora están en juego”, explicó Durbin.
Estos son algunos pasos que las instituciones pueden seguir para proteger a los altos funcionarios y sus asociados inmediatos de ser el punto de entrada a una brecha de seguridad importante.
Dejar en claro a los ejecutivos que serán objetivos
Los dirigentes ocupados no quieren preocuparse por la posibilidad de ser el próximo objetivo de un ciberataque. Pero esto es algo en lo que deben estar pensando.
“Los ejecutivos necesitan internalizar que son objetivos. Los atacantes cibernéticos se toman el tiempo de observar, planificar, practicar, perfeccionar y fortalecer su arte antes de perseguir una meta de alto valor. Los delincuentes tienen el lujo de sigilo, tiempo, duplicidad y múltiples plataformas para amenazas aleatorias designadas, las cuales funcionan en contra del comportamiento humano normal, la curiosidad y la necesidad de conexión “, expresó Bill Thirsk, vicepresidente de TI y CIO en Marist College.
La “huella digital” de un funcionario debe ser entendida y las lagunas tienen que cerrarse como una cuestión de práctica. Las cuentas sociales requieren registrarse, confirmarse y monitorearse.
Lea después: Ejecutivos aún desconfían del departamento de TI
Pero, lograr que los jerarcas compren protección es un desafío. “Cada estadística que he visto muestra que los ejecutivos son los menos propensos a cumplir las políticas que esperan que todos sigan. En parte, esto se debe a que son las personas más dispuestas a sacrificar la seguridad por comodidad“, detalló Paul Boulanger, vicepresidente y asesor de seguridad principal de SoCal Privacy Consultants.
Las entidades deben cerciorarse de que los controles tecnológicos estén en su sitio en lugar de esperar que los ejecutivos operen de manera adecuada. “Por ejemplo, el servidor de correo necesita obligar a los teléfonos inteligentes a tener activado el cifrado y el bloqueo de contraseña para que se permita el acceso al correo electrónico corporativo. Si el ejecutivo, o cualquier otro usuario, desactiva el bloqueo de la contraseña, el acceso al correo electrónico se elimina automáticamente”, señaló Boulanger.
En algunos casos, las limitaciones no funcionarán con ellos. “Hemos encontrado que, para nuestros ejecutivos en la educación superior, el cercado es difícil, colocar límites digitales, de cualquier tipo no funciona, entonces la restricción no está en el léxico ejecutivo“, agregó Thirsk.
La única forma de mantenerse a la vanguardia de las amenazas es a través de modificaciones conductuales fundamentadas, inteligentes y principalmente autoimpuestas, diseñadas para garantizar la seguridad en línea. Los altos funcionarios no pueden depender únicamente de otra persona para protegerlos más.
“Deben ser capaces de discernir fácilmente las direcciones de correo electrónico falsas, los enlaces maliciosos u otros contextos ‘indecentes’ reveladores”, recomendó Thirsk.
Tomar las amenazas en serio y educar a los ejecutivos sobre los ataques
Los ataques de phishing, y más recientemente el ransomware, son formas comunes de lograr que los ejecutivos proporcionen información crítica que los hackers necesitan para robar datos.
“Al pensar en las recientes amenazas que destruyeron a los líderes y sus organizaciones, los ataques de phishing y ransomware no reciben la prensa que merecen. Ciertamente no se discuten con regularidad en la mesa directiva con seriedad”, especificó Thirsk.
Es natural que estos personajes quieran estar conectados a un flujo rápido de información actualizada, y debido a esta necesidad, a veces están demasiado ansiosos por hacer clic en lo que parece ser un mensaje importante o intrigante. Al mismo tiempo, exigen tener un dispositivo conectado a todos sus canales de información, comerciales y personales.
Depende de los líderes de TI y seguridad convencerlos sobre la gravedad de este tipo de ataques y hacer algo al respecto antes de que ocurra un incidente. “Esto solo se puede lograr cuando la alta dirección está al tanto de que la ciberdefensa personal y operativa deben debatirse detenidamente con seriedad e intención de cambiar el comportamiento”, aseguró Thirsk.
“Hay un aumento en la sofisticación de los “ataques whaling” que se dirigen a la recolección de información de credenciales o solicitan una transferencia bancaria desde las cuentas de la compañía”, comentó Lee. El whaling se usa para describir los ataques de phishing que se dirigen específicamente a empleados de alto nivel, celebridades y personajes públicos.
“Históricamente, estas ofensivas tienen una elevada tasa de éxito. Hay muchas historias del ejecutivo que cayó en el ataque de phishing de recompensas de viaje, el que pidió privilegios especiales en su computadora. Cada una de estas historias generalmente termina con el ejecutivo convirtiéndose en víctima de algún tipo de ciberataque, y en algunos casos resulta en un compromiso de datos a nivel de la compañía “, apuntó Lee.
Es importante tener en cuenta que los hackers pueden usar información pública en sitios de redes sociales como LinkedIn, Instagram, Facebook y otros sitios para crear perfiles de objetivos. Este esquema se puede utilizar para adaptar un ataque de phishing o coaccionar al objetivo.
Haga que el uso seguro del correo electrónico sea una prioridad
Tenga en cuenta que el correo es una de las fuentes más comunes de ataques contra ejecutivos. “Nos encontramos con irrupciones de correo electrónico frecuentes y cada vez más sofisticadas contra los ejecutivos y departamento de contabilidad”, indicó Barr Snyderwine, director de sistemas de información y tecnología de Hargrove, un proveedor de servicios de eventos.
“Es el típico ataque de suplantación engañosa que intenta engañar a alguien para que pague lo que parece ser un sitio o banco legítimo. Recientemente se ponen al teléfono con AP [cuentas por pagar] y suplantan un correo electrónico del ejecutivo para enviar el pago. Es interesante ya que hablar por teléfono lleva mucho tiempo. Los ejecutivos también reciben los correos electrónicos de los atacantes falsificando a otros ejecutivos para enviar pagos “.
Una buena práctica es usar protección de punto final para eliminar los archivos adjuntos de malware. Además, tenga políticas vigentes para que cualquier correo electrónico sea verificado con el remitente, ya sea cara a cara o por teléfono, y obtenga la confirmación de otro jerarca.
Por otra parte, evalúe a su personal varias veces al año para asegurarse de que cumplan con la política relacionada con el correo electrónico.
Protecciones cuando los ejecutivos viajan por negocios
Los ejecutivos pueden ser víctimas de ataques informáticos en cualquier lugar, pero la amenaza puede ser especialmente alta cuando viajan al extranjero. Las empresas deben tener procedimientos de check-out/check-in y pautas de seguridad para los dispositivos electrónicos y los medios que salen al exterior.
“Cuando se va ciertas regiones de alto riesgo en el mundo, debe haber una expectativa de que los ejecutivos de los dispositivos que viajan se copiarán al cruzar la frontera. Los ejecutivos deberían tomar portátiles ‘copias’ que contengan solo lo que necesitan fuera de línea, como una presentación“, dijo Boulanger.
Cualquier información a la que necesiten acceder de forma remota debería estar disponible a través de un canal seguro, como un escritorio remoto protegido o red privada virtual (VPN), o almacenada en una unidad USB cifrada por hardware donde el cifrado no se pueda desactivar.
“Al regresar, las computadoras portátiles y otros artefactos de almacenamiento de datos deberían tratarse como si tuvieran un malware instalado y pasar por un borrado de rutina antes de ser reutilizados o conectados a la red corporativa”, aconsejó Boulanger.
Hargrove tiene una política estándar de no utilizar Wi-Fi pública, pero es difícil de aplicar porque su personal viaja mucho. “Proporcionamos ambas unidades de Mi-Fi y alentamos a los empleados a utilizar sus propios puntos de acceso telefónico y se les paga para usarlos. Esto ha sido efectivo”, destacó Snyderwine.
Las redes Wi-Fi pueden ser peligrosas, ya sea en hoteles, restaurantes, aeropuertos, instalaciones para conferencias u otras ubicaciones. Los malhechores pueden configurar un simple punto de conexión wifi falso para obtener acceso a la computadora portátil o dispositivo móvil de un ejecutivo.
Refuerce la seguridad de la infraestructura de TI
De más está decir que tener un fuerte programa de protección en primer lugar ayudará a reducir o evitar el daño de los ataques de ciberseguridad contra las personas. Pero es un componente fundamental de la protección contra las infracciones de datos dirigidas a los ejecutivos.
“Sugerimos comenzar no con los individuos, sino con los activos de información críticos que una organización intenta proteger. Esto conducirá naturalmente a incluir una evaluación de usuarios ingenuos que pueden ser vulnerables a una serie de amenazas, como ataques de spear phishing”, mencionó Durbin.
También permitirá el descubrimiento de sistemas sin parches que ayuden a explotar vulnerabilidades técnicas, sistemas poco seguros que puedan descubrirse utilizando herramientas de escaneo, enrutadores de redes inalámbricas inadecuadamente protegidos a los que puedan acceder los atacantes, y los sistemas instalados para la eliminación de información que se puede robar o copiar fácilmente.
“Cualquiera que sea el área que esté examinando, es importante tener en cuenta tres grupos principales de amenazas: adversas, accidentales y ambientales. El enfoque adoptado para asegurar la información, y sus usuarios, conducirá a la empresa al desarrollo y la comunicación de los controles de seguridad que son apropiados para el activo de información y el usuario”, sugirió Durbin.
Como ejemplo, no tiene sentido tratar de implementar una política que incluya la prevención mayorista del uso del Wi-Fi público si el negocio depende en gran medida de un personal distribuido que se encuentra constantemente viajando.
No olvide las capacitaciones
Los jerarcas, como cualquier otro empleado, necesitan que se les recuerde la importancia de la seguridad. “Si se requiere que estas personas accedan a información confidencial, es mejor observar el cifrado, las soluciones de redes virtuales y, sobre todo, la educación y la capacitación. Pero vincule todas estas cosas a los beneficios comerciales que obtendrá el individuo adoptando un enfoque más seguro para el uso y el intercambio de información”, recordó Durbin.
Los ejecutivos deben participar regularmente en capacitación de concientización de seguridad, tener sus estaciones de trabajo asignadas, laptops y dispositivos móviles actualizados y parcheados regularmente, usar VPN y otras tecnologías estables de comunicación cuando sea necesario.
“Los equipos de seguridad deberían aumentar el asesoramiento estándar sobre seguridad para empleados, con directrices y detalles adicionales para los ejecutivos, destacando el mayor riesgo y la exposición a la información que enfrentan los ejecutivos debido al aspecto más público de sus posiciones”, justificó Nathan Wenzler, estratega de seguridad de la consultora AsTech Consulting.
“Animar a una mayor conciencia de cómo y por qué los ejecutivos son objetivos específicos aumentará las posibilidades de que un ataque de ingeniería social sea detectado y frustrado antes de que pueda tener éxito“.
Las restricciones pueden tener un efecto a corto plazo, pero si no puede conquistar los corazones y las mentes de los alto funcionarios y mostrar un claro beneficio comercial y personal de las restricciones, fallarán a medida que los usuarios descubran soluciones que les permitan realizar su trabajo.
“La seguridad efectiva, ahora más que nunca, requiere una comprensión de cómo se accede y utiliza la información en todas las etapas del ciclo de vida, en todo momento del día y en todas las ubicaciones. Y, sobre todo, [requiere] la comprensión de la interfaz más compleja de todas: el usuario”, concluyó Durbin.