Una encuesta reciente del Gobierno del Reino Unido, "Cyber resilience captains of industry survey 2021", ofrece algunos datos interesantes sobre el conocimiento de los riesgos de ciberseguridad a nivel de la C-Suite y del consejo de administración de una organización.
La encuesta reveló que casi todos los encuestados consideran que el consejo de administración incorpora las consideraciones de riesgo cibernético en los asuntos generales de la empresa. Sin embargo, el informe advierte de ello con la siguiente advertencia:
"Los capitanes siguen pensando que se puede hacer más para equipar a los miembros de los consejos de administración para hacer frente a las ciberamenazas.Los capitanes mencionaron con mayor frecuencia la concienciación de los miembros del consejo de administración y la formación específica"
La C-Suite y la junta directiva son grupos específicos que requieren una formación a medida para satisfacer sus necesidades únicas. He aquí algunas ideas para crear un programa de concienciación sobre seguridad para su C-Suite.
¿Por qué formar a la alta dirección?
Las personas que trabajan en la C-Suite son influyentes en su empresa, y esta influencia es vital para ayudar a proporcionar una concienciación de seguridad coherente y eficaz en toda la organización. Por lo tanto, tiene sentido dirigirse a este grupo en una campaña de concienciación sobre la seguridad.
El "tono en la cúpula" es un fenómeno bien conocido en la gestión de los riesgos de seguridad. Este "tono en la cima" se destaca en el manual de la Asociación Europea de Directores (ecoDa), que ofrece varias recomendaciones clave en la mitigación de riesgos en una era de voluminosas ciberamenazas. Una de las recomendaciones es establecer el tono de concienciación en toda la organización: así lo indica el informe:
"El consejo de administración y la dirección deben marcar la pauta en la cúspide y desarrollar la cultura adecuada y concienciar para desarrollar la ciberresiliencia."
Los componentes de un programa de concienciación sobre la seguridad dirigido a la alta dirección
Cabe destacar que el informe sobre el capitán de la industria del Reino Unido ha descubierto que la concienciación sobre la seguridad ha llegado a la sala de juntas. Sin embargo, la C-Suite y los miembros de la junta directiva deben formar parte de un programa de concienciación sobre seguridad general y específica. La concienciación a este nivel puede cimentar la cultura de una mentalidad de seguridad prioritaria.
Estos son los factores críticos de una campaña de concienciación centrada en una C-Suite:
Construir la tensión con el riesgo
La C-Suite tiene que hacer muchos malabarismos. La actividad principal de una empresa debe ser siempre lo primero. Pero si esta actividad principal está en peligro debido a las ciberamenazas, la empresa debe dar prioridad a estas amenazas.
Establezca el escenario para la formación de la C-Suite mostrando el retorno de la inversión en la impartición de un programa de formación en concienciación sobre la seguridad. Algunas cifras que pueden ayudar a definir esto se encuentran en el informe de IBM y Ponemon Cost of a Data Breach: el Reino Unido aparece como uno de los países más altos en cuanto a costes de violación de datos, con una media de 4,67 millones de dólares (3,8 millones de libras) por violación.
Una vez que cuente con la aprobación de su C-Suite, podrá crear el marco para un programa eficaz de formación en materia de concienciación sobre la seguridad que se dirija a los más altos cargos.
Llevar a cabo un programa de concienciación sobre la seguridad basado en las funciones de la alta dirección
Los ciberdelincuentes centran cada vez más sus esfuerzos en las personas y los puestos de una organización. Esto tiene sentido, ya que cuanto más conscientes sean las personas de los problemas de seguridad, más difícil será engañar a los empleados. Sin embargo, si un hacker entiende su objetivo, puede crear correos electrónicos de phishing inteligentes y difíciles de reconocer. Los directivos están en el punto de mira de los ciberdelincuentes, ya que son el corazón financiero de la empresa y su lugar de autoridad.
La empresa estadounidense Scoular Co. fue víctima de un ataque centrado en el correo electrónico empresarial (BEC). La empresa perdió 17,2 millones de dólares a manos de los ciberdelincuentes a través de tres transferencias bancarias después de que los estafadores se dirigieran al director general de la empresa utilizando correos electrónicos falsos.
El informe de Verizon 2021 sobre investigaciones de violaciones de datos (DBIR) señala la importancia de adaptar la formación en materia de concienciación sobre la seguridad y concluye:
"No hay un enfoque singular para minimizar los riesgos humanos que conducen a las brechas. Cada corporación experimenta diferentes sabores de los mismos tipos de ataques y debe personalizar sus programas de ingeniería del comportamiento y educación en ciberseguridad en consecuencia."
Diseñe su formación de concienciación sobre la seguridad en torno a las funciones de la empresa e incluya las funciones de la C-Suite. Céntrese en los tipos de ataques que se dirigen al personal de nivel C, como el BEC y la suplantación de identidad del director general.
Poner lo social en la C-Suite
Los ciberdelincuentes que se dirigen a los "grandes phish", como el director general y el director financiero, descubrirán a sus presas. Lo hacen como parte de la cadena de ingeniería social que utiliza diversas técnicas para manipular el comportamiento.
Una de estas tácticas es hacerse pasar por ejecutivos, también conocida como 'whaling' o 'executive impersonation'. Un ejemplo infame de esto fue un ataque de "falsificación profunda" de 2019, que suplantó la voz del director general de la empresa para engañar al director general del Reino Unido para que enviara 243.000 dólares a la cuenta bancaria del estafador.
Esta forma de ingeniería social está aumentando, con un incremento del 131% en 2020-2021. Estos tipos de fraude se basan en la construcción de un perfil del objetivo para proporcionar la inteligencia para realizar la ingeniería social.
Incluya la concienciación sobre la ingeniería social en su calendario de formación en materia de seguridad y forme a su equipo directivo sobre su vulnerabilidad en este ámbito.
Spear-Phish el C-Suite
La C-Suite está en riesgo de sufrir ataques de spear-phishing, que es una forma de phishing dirigida. Una reciente campaña de phishing utilizó correos electrónicos falsos de Microsoft Office 365 para robar credenciales. La campaña se dirigía a ejecutivos de la alta dirección y a sus asistentes en muchos sectores.
Mediante el Spear-phishing de la C-Suite, un ciberdelincuente se dirige directamente a los responsables de la toma de decisiones de una organización. El spear phishing funciona porque los correos electrónicos falsos se basan en información conocida sobre el objetivo. Los spear-phishers suelen utilizar las mismas aplicaciones, como Office 365, que una empresa utiliza habitualmente.
Cree una sofisticada campaña de phishing simulada dirigida específicamente a su C-Suite. Utilice sus conocimientos sobre el phishing basado en roles para crear correos electrónicos de phishing selectivo de aspecto realista dirigidos a su C-Suite. Utilice una plataforma avanzada de phishing simulado que utilice el aprendizaje en el punto de necesidad. Esto capta los problemas de comportamiento cuando se producen y proporciona al usuario información sobre lo que salió mal y por qué.
Conozca a su C-Suite a través de las métricas de la formación en materia de seguridad
Las plataformas de simulación de phishing, como MetaPhish, proporcionan métricas en forma de un panel de control que muestra los resultados de los datos de las simulaciones de phishing. Esto le proporcionará información sobre cuántos miembros de su equipo directivo han hecho clic en un enlace de un correo electrónico de phishing simulado. Los informes pueden incluso mostrar el dispositivo utilizado para acceder al correo electrónico de phishing; esto le permite adaptar y centrar sus esfuerzos en mejorar el comportamiento de seguridad de los ejecutivos.
Establezca el tono de la seguridad en la cima
Sus ejecutivos que trabajan en la C-Suite son sus influenciadores internos. Pero tienen que ser ejemplos de un comportamiento excelente en materia de seguridad para dar ejemplo a toda la plantilla. Establecer el tono de la seguridad en la cúspide fomentará una mentalidad de "la seguridad primero". Esta mentalidad de seguridad es esencial para crear una cultura de seguridad y mitigar los riesgos cibernéticos de la empresa.
