Creación de un programa de concienciación sobre seguridad para su C-Suite

Una encuesta reciente del Gobierno del Reino Unido, «Cyber resilience captains of industry survey 2021″ (Encuesta a los capitanes de la industria sobre ciberresiliencia 2021) tiene algunos datos interesantes sobre la concienciación de los riesgos de ciberseguridad a nivel de la C-Suite y del consejo de administración de una organización.

La encuesta reveló que casi todos los encuestados consideran que el consejo de administración incorpora las consideraciones relativas a los riesgos cibernéticos a los asuntos generales de la empresa. Sin embargo, el informe advierte de ello con la siguiente advertencia:

«Los capitanes siguen pensando que se puede hacer más para equipar a los miembros de los consejos de administración para hacer frente a las ciberamenazas. Los capitanes mencionaron con mayor frecuencia la concienciación de los miembros del consejo y la formación específica «

La C-Suite y la junta directiva son grupos específicos que requieren una formación a medida para satisfacer sus necesidades únicas. He aquí algunas ideas para crear un programa de concienciación sobre seguridad para su C-Suite.

¿Por qué formar a la alta dirección?

Las personas que trabajan en la C-Suite son influyentes en su empresa. Esta influencia es vital para ayudar a ofrecer una concienciación sobre la seguridad coherente y eficaz en toda la organización. Por lo tanto, dirigirse a este grupo en una campaña de concienciación sobre seguridad tiene sentido.

El ‘tono en la cúpula’ es un fenómeno bien conocido en la gestión de los riesgos de seguridad. Este ‘tono en la cúpula’ se destaca en el manual de la Asociación Europea de Directores (ecoDa), que ofrece varias recomendaciones clave en la mitigación de riesgos en una era de voluminosas ciberamenazas. Una de las recomendaciones es marcar el tono de la concienciación en toda la organización: así se afirma en el informe:

«El consejo y la dirección deben marcar la pauta en la cima y desarrollar la cultura adecuada y concienciar para desarrollar la ciberresiliencia«.

Los componentes de un programa de concienciación sobre seguridad dirigido a la alta dirección

Es digno de mención que el informe del capitán de la industria del gobierno del Reino Unido descubriera que la concienciación sobre la seguridad ha llegado a la sala de juntas. Sin embargo, la C-Suite y los miembros de la junta directiva deben formar parte de un programa general y específico de concienciación sobre la seguridad. La concienciación a este nivel puede cimentar la cultura de una mentalidad que dé prioridad a la seguridad.

He aquí los factores críticos de una campaña de sensibilización centrada en una C-Suite:

Construya la tensión con riesgo

La C-Suite tiene muchas pelotas con las que hacer malabarismos. El negocio principal de una empresa siempre debe ser lo primero. Pero, si este negocio principal se pone en riesgo debido a las amenazas cibernéticas, entonces una empresa debe dar prioridad a estas amenazas.

Prepare el escenario para la formación de la C-Suite mostrando el rendimiento de la inversión en la impartición de un programa de formación sobre concienciación en materia de seguridad. Algunas cifras que pueden ayudar a definirlo se encuentran en el  Informe de IBM y Ponemon sobre el coste de una violación de datos: el Reino Unido figura como uno de los países con los costes más elevados por violación de datos, con una media de 4,67 millones de dólares (3,8 millones de libras) por violación.

Una vez que cuente con la aprobación de su C-Suite, podrá crear el marco para un programa eficaz de formación sobre concienciación en materia de seguridad dirigido a los de arriba.

Llevar a cabo un programa de concienciación sobre la seguridad basado en las funciones de la C-Suite

Los ciberdelincuentes centran cada vez más sus esfuerzos en los individuos y las funciones de una organización. Esto tiene sentido, ya que cuanta más gente sea consciente de los problemas de seguridad, más difícil será engañar a los empleados. Sin embargo, si un pirata informático entiende a su objetivo, puede crear correos electrónicos de phishing ingeniosos y difíciles de reconocer. La C-Suite está en el punto de mira de los ciberdelincuentes, ya que son el corazón financiero de la empresa y su lugar de autoridad.

La empresa estadounidense Scoular Co fue víctima de un ataque centrado en el CEO ( Business Email Compromise, BEC). La firma perdió 17,2 millones de dólares a manos de los ciberdelincuentes a través de tres transferencias bancarias después de que los estafadores apuntaran al director general de la empresa utilizando correos electrónicos falsos.

El Informe de Verizon 2021 sobre investigaciones de filtraciones de datos (DBIR) señala la importancia de adaptar la formación sobre concienciación en materia de seguridad y concluye:

«No existe un enfoque único para minimizar los riesgos humanos que conducen a las brechas. Cada corporación experimenta diferentes sabores de los mismos tipos de ataques y debe personalizar sus programas de ingeniería del comportamiento y educación en ciberseguridad en consecuencia. .»

Diseñe su formación de concienciación sobre seguridad en torno a las funciones de la empresa e incluya las funciones de la C-Suite. Céntrese en los tipos de ataques dirigidos al personal de nivel C, como la BEC y la suplantación de la identidad del director general.

Ponga lo social en la C-Suite

Los ciberdelincuentes que tienen como objetivo a los «grandes phish», como el director general y el director financiero, descubrirán a sus presas. Lo hacen como parte de la cadena de ingeniería social que utiliza diversas técnicas para manipular el comportamiento.

Una de esas tácticas es hacerse pasar por ejecutivos, también conocido como «whaling» o «suplantación de ejecutivos». Un ejemplo infame de ello fue un  Ataque «deep fake» de 2019, que suplantó la voz del director general de la empresa para engañar al director gerente del Reino Unido y conseguir que enviara 243.000 dólares a la cuenta bancaria del estafador.

Esta forma de ingeniería social está en auge, con un Se observa un aumento del 131% en 2020-2021. Estos tipos de fraude se basan en la creación de un perfil del objetivo que proporcione la inteligencia necesaria para llevar a cabo la ingeniería social.

Ponga la concienciación sobre la ingeniería social firmemente en su calendario de formación en seguridad y forme a su C-Suite sobre su vulnerabilidad en este ámbito…

Spear-Phish the C-Suite

La C-Suite corre el riesgo de sufrir ataques de spear-phishing, que es una forma dirigida de phishing. Una reciente campaña de phishing por correo electrónico utilizó correos electrónicos falsos de Microsoft Office 365 para robar credenciales. La campaña iba dirigida a ejecutivos de la C-suite y a sus asistentes de numerosos sectores.

Mediante el Spear-phishing a la C-Suite, un ciberdelincuente se dirige directamente a la persona que toma las decisiones en una organización. El spear phishing funciona porque los correos electrónicos falsos se basan en información conocida sobre el objetivo. Los spear-phishers utilizarán a menudo las aplicaciones exactas, como Office 365, que una empresa utiliza habitualmente.

Cree una sofisticada campaña de phishing simulado dirigida específicamente a su C-Suite. Utilice sus conocimientos sobre el phishing basado en roles para crear correos electrónicos de spear-phishing de aspecto realista dirigidos a su C-Suite. Utilice una plataforma avanzada de phishing simulado que utilice el aprendizaje en el «punto de necesidad». Esto capta los problemas de comportamiento cuando se producen y proporciona al usuario información sobre qué salió mal y por qué.

Conozca a su C-Suite a través de las métricas de la formación sobre concienciación en materia de seguridad

Las plataformas de simulación de phishing, como MetaPhish, proporcionan métricas en forma de un panel de control que muestra los resultados de los datos de las simulaciones de phishing. Esto le proporcionará información sobre cuántos miembros de su C-Suite han hecho clic en un enlace de un correo electrónico de phishing simulado. Los informes pueden mostrar incluso el dispositivo utilizado para acceder al correo electrónico de phishing; esto le permite adaptar y centrar aún más sus esfuerzos en mejorar el comportamiento de los ejecutivos en materia de seguridad.

Fije el tono de la ciberseguridad en la cima

Sus ejecutivos que trabajan en la C-Suite son sus influyentes internos. Pero necesitan ser ejemplares de un comportamiento excelente en materia de seguridad para dar ejemplo a toda la plantilla. Establecer el tono de la seguridad en la cúpula fomentará una mentalidad de «la seguridad primero». Esta mentalidad de que la seguridad es lo primero es esencial para crear una cultura de seguridad y mitigar los riesgos cibernéticos de la empresa.