El papel de los Ejecutivos y el personal IT de una organización, en la gestión de ciberseguridad

seguridad empresa

Todos los expertos en Ciberseguridad, auditores y consultores coinciden en que, el eslabón más débil, en el marco de análisis de vulnerabilidades,  es el personal de una organización. Los elementos influyentes en la  gestión de seguridad de una organización suelen ser: Las políticas y procedimientos, la estrategia de ciberdefensa desplegada en la infraestructura y los recursos humanos.

Otras entidades, pese asegurarse de haber ideado la estrategia más optima de ciberdefensa para su organización, han tomado conciencia de que un personal no adecuadamente sensibilizado en materia de seguridad, ni orientado en las recomendaciones de buenas prácticas, aumenta el riesgo de sufrir un ataque phising con facilidad, que es una de las técnicas más utilizadas por los ciberdelincuentes, para comprometer la seguridad de tu entidad y acabar contrayendo un ransomware.

Es verdad que muchas Entidades siguen apostando por el bloque de reforzar la seguridad lógica: adquiriendo soluciones de seguridad de última generación, externalizando servicios de supervisión, administración, etc, para intentar minimizar y mitigar riesgos.

Es importante que el personal de  entidades donde se manejan datos sensibles, como las financieras y de este ámbito, estén siendo sensibilizados constantemente y que obren conforme a las buenas prácticas en el entorno laboral. Es cuestión de sentido común, entender que son quienes utilizan la tecnología desplegada en nuestra organización, para la producción y que, para dar cumplimiento a las políticas y procedimientos, según los estándares internacionales adoptados para la organización, tienen que vivir lo que es la cultura de “seguridad informática o de la información”.

Llegado a este punto, surge la duda de hasta qué grado damos cumplimiento a estas recomendaciones. El personal de una organización suele clasificarse en tres perfiles: el grupo IT, el grupo de ejecutivos y los usuarios finales. Erróneamente solemos dar por hecho que el grupo IT está lo suficientemente sensibilizado, al tener una muy buena formación académica o experiencia acumulada en el uso y explotación de las  nuevas tecnologías.  Del mismo modo, concienciar a los ejecutivos no suele ser una tarea fácil. En el peor de los casos se suele obviar darles el mismo nivel de formación que el resto de usuarios. Las campañas de sensibilizaciones, las recomendaciones de buenas prácticas y la exigencia de cumplimiento de políticas y procedimientos por defecto suele enfocarse sólo en los usuarios finales. 

Todas estas negligencias nos generan una gran vulnerabilidad, pese a mantener concienciado al usuario final. El riesgo de que suframos un cibertaque sigue siendo alto. Una de las preguntas que debe plantearse cualquier gestor, responsable de ciberseguridad o analista de riesgos de una Entidad y que si las conseguimos contestar y dar solución a sus respuestas, podríamos minimizar aun más el riesgo y dejarlo en unos mínimos, serían:

¿Qué pasaría si la seguridad del ordenador de un ejecutivo se viera comprometida? ¿Cuál sería el impacto de si la seguridad del ordenador de un administrador de sistemas se viese comprometida? Y si repetimos la misma pregunta para el administrador de red, el de base de datos, el del responsable de seguridad… y ¿Cuál es la probabilidad de que se comprometa la seguridad de  un ordenador de un Manager sensibilizado y la de uno no sensibilizado? Lo mismo para los activos IT mencionados arriba.

Dentro del eslabón más débil en la cadena de seguridad, el gremio formado por los activos IT y los Ejecutivos, sigue siendo una asignatura pendiente en la gestión de la seguridad.  Son los que poseen los privilegios, los accesos y las credenciales de las herramientas de producción más importantes de una organización. Por tanto, por muy bien que implementemos nuestra seguridad lógica, adquiriendo Firewalls de última generación, si los administradores guardan sus credenciales sin cifrar en su equipo, seguimos arrastrando una vulnerabilidad enorme. Del mismo modo que un ejecutivo tenga apuntadas sus credenciales en una agenda física expuesta en su despacho y accesible por cualquier visitante. EL compromiso, colaboración y apoyo de los altos ejecutivos es vital para minimizar riesgos.

El impacto de desconectar de la red interna el equipo de un ejecutivo o un administrador sistemas o de red, si se sospecha que su equipo ha sido comprometido, es mucho menor del que podría ocurrir si se hace la vista gorda por miedo a un enfrentamiento  interno.

¿Se imaginan si se usurpara la identidad de un CEO o del Director de Recurssos humanos ? ¿Qué probabilidad habría de que un empleado de esta organización desconfíe de un mensaje de correo interno procedente de esos ejecutivos ?

Esta claro que podríamos minimizar la probabilidad de llegar a un escenario de desastre sí tanto usuarios finales, personal IT y los managers estuvieran sometidos a la sensibilziación constante. Por otro lado, si la penalización por no obrar conforme a las buenas prácticas, procedimientos y políticas de seguridad incidiera en todos los empleados por igual, ayudaría también a minimizar los riesgos.

Si tras leer este artículo te vieras identificado con todas las preguntas arriba planteadas, es el momento de cambiar el chip y dar un paso al frente. No esperes hasta el día del ransomware, para tomar decisiones ante un escenario de desastre.

Esta entrada tiene un comentario

  1. erotik

    You made some suitable points there. I looked on the internet for the issue as well as discovered most people will certainly support with your site. Jackelyn Mycah Gilliam

Deja una respuesta

Antonio Ramón Asu AKOGO MAYE

CEO at Scorpion Freelancers