Garantizar la seguridad empresarial no solo significa que el CEO tiene un software antivirus instalado en su PC y un software de seguridad de punto final en la solución MDM de la compañía para proteger su teléfono Mike Lloyd aquí describe la necesidad de capacitación en concientización sobre seguridad cibernética a nivel de la junta.

La industria de la ciberseguridad habla mucho sobre la importancia de la "membresía a nivel de junta" para proyectos y una cultura de seguridad desde el diseño de arriba hacia abajo. ¿Qué significa realmente? Esto significa que los CEO y los ejecutivos senior "obtienen" seguridad: los ejecutivos que saben que una seguridad bien diseñada puede ser un diferenciador competitivo y un motor de crecimiento, no una barrera para el éxito. 39, la innovación.

La realidad es que la mayoría todavía no lo hace.

Pero su enfoque inicial no solo es malo para los CISO y sus proyectos, sino que también podría exponer a la organización a riesgos innecesarios. Es desafortunado que todavía haya brechas significativas en la conciencia cibernética entre los CEO y, comprensiblemente, graves preocupaciones sobre su exposición a las amenazas de tecnología inteligente.

Sobre el autor

Mike Lloyd es el Director de Tecnología de Redseal.

Un mal ejemplo

En el Reino Unido, algunos CEO no reciben capacitación en ciberseguridad y exponen a sus negocios a riesgos. Los informáticos británicos a menudo diseñan planes cibernéticos para sus ejecutivos, pero lo más probable es que no se sigan.

Ya es bastante difícil para los empleados regulares mantenerse al día con los últimos consejos de seguridad, sin mencionar a los gerentes de alta presión sensibles al tiempo. Sin embargo, son estas personas las que tienen más probabilidades de ser los principales objetivos de los piratas informáticos que buscan desviar sus cuentas para lanzar ataques convincentes como el Compromiso de correo electrónico comercial (BEC) o robar datos confidenciales, entre otros, propiedad intelectual

Un estudio reciente de CIO y profesionales de TI descubrió que su CEO debería prestar más atención a la seguridad, mientras que más de uno de cada diez dijo que las acciones de su CEO o CEO poner en peligro la seguridad de la empresa.

La amenaza de las tecnologías inteligentes.

También descubrimos un punto ciego importante para el ejecutivo principal: la casa inteligente. Muchos equipos de TI admiten que no tienen idea de la tecnología inteligente que usa su CEO fuera de la oficina, la preocupación crece ante la creciente frecuencia de los ataques de IoT y en general Número de electrodomésticos en el hogar moderno.

Los dispositivos pueden ser pirateados si los piratas informáticos pueden adivinar o descifrar las contraseñas que los protegen, o explotar las fallas en su firmware. Esto es muy probable en algunos casos porque muchos fabricantes no requieren que los usuarios instalen una contraseña, pero ejecutan credenciales predeterminadas fáciles de adivinar.

Los administradores de IoT a menudo no pertenecen al mundo del desarrollo de computadoras y es posible que ni siquiera tengan una infraestructura para emitir actualizaciones de seguridad. Incluso aquellos que lo hacen pueden encontrar que los usuarios los ignoran porque son demasiado difíciles de instalar.

El famoso malware Mirai, y muchas variaciones que siguieron, aprovecharon la falta de protección de contraseña adecuada en los dispositivos para buscar automáticamente a aquellos que habían descifrado fácilmente las credenciales antes de escribirlas en una botnet. .

Se podrían usar técnicas similares no para lanzar ataques DDoS basados ​​en botnets u otros ataques, sino para usar el punto final de IoT como punto de partida en redes domésticas e incluso redes. compañía. Un informe de 2017 explicó cómo incluso los oradores inteligentes vulnerables podrían ser secuestrados por los atacantes para infiltrarse en los sistemas comerciales. Imagínese si la tostadora inteligente de su jefe terminó provocando una violación de datos a gran escala.

Un objetivo de elección

En muchos sentidos, el Nivel C presenta un riesgo mucho mayor de tales ataques, no solo porque es más probable que sean atacados, sino también porque incluso la información que los usuarios comunes no consideran útil Podría ser una mina de oro. datos de estados nacionales o empresas rivales.

Los calendarios en línea podrían proporcionar información sobre dónde se encuentra el gerente general para mejorar la tasa de éxito de las estafas BEC. También podrían revelar con quién se reunieron, lo que podría usarse para fines de intercambio de información privilegiada si otros asistentes a la reunión son abogados, banqueros y representantes de empresas adquirientes.

El impacto de tales riesgos ahora debería ser obvio: daños financieros y daños a la reputación de la empresa, o incluso la pérdida de empleos en el nivel C.

Es hora de actuar

Entonces, ¿qué podemos hacer para proteger el Nivel C de los ataques cibernéticos, especialmente aquellos dirigidos a la casa inteligente? Como todos sabemos, el 100% de seguridad es imposible, pero TI puede hacer algunas cosas para reducir el riesgo.

Estos incluirían un enfoque más riguroso para la capacitación en ciberseguridad para ejecutivos. Implemente ejercicios de simulación de phishing en situaciones de la vida real, que se realicen por períodos cortos de 10 a 15 minutos para obtener el máximo impacto. Vale la pena incluir en estos ejercicios PA y otros tipos que podrían ser responsables de la lectura y responder a los correos electrónicos del jefe.

Respalde con una política de sellado basada en una mayor visibilidad del uso de la tecnología tanto dentro como fuera de la oficina. Por ejemplo, no se debe permitir que ningún punto final Smart Home se conecte a la red corporativa sin análisis o aprobación previa. Esto podría ser un problema si las redes domésticas de los CEO están conectadas a la empresa a través de VPN predeterminadas.

normas

Es bueno ver a los gobiernos venir lentamente para comprender la seriedad del desafío que enfrenta el mundo en la seguridad de IoT. El Reino Unido toma la delantera a escala mundial al presentar en mayo un proyecto de ley para obligar a los fabricantes a cumplir con los estrictos requisitos de seguridad, cubriendo áreas como contraseñas y apuestas únicas. Actualización de seguridad.

Los minoristas deberán proporcionar un etiquetado claro para informar a los compradores de TI sobre la seguridad del kit IoT. También anunciado este año, el estándar europeo ETSI TS 103 645 fue construido sobre un código de práctica británico y ayudará a mejorar la transparencia y la seguridad básica de la industria. Después de todo, no querría comprar una tostadora sin una calificación de seguridad, entonces, ¿por qué comprar un dispositivo inteligente que no ha sido probado y aprobado?

Estados Unidos hace cumplir sus propias leyes, incluso si solo concierne a los vendedores del gobierno. Mientras tanto, es hora de agregar puntos finales de IoT a su planificación de riesgos y asegurarse de que los encargados del Nivel C no cumplan con la ley cuando apliquen estrictas reglas de seguridad. No hacer nada podría ser costoso para la empresa, y tal vez incluso para el trabajo del CEO.

Mike Lloyd es el Director de Tecnología de Redseal.

Share This
A %d blogueros les gusta esto: