Ex CIO de la Casa Blanca habla de la mitigación de riesgos de ciberseguridad

Theresa Payton, CEO y fundadora de la consultora cibernética Fortalice Solutions y la primera CIO femenina de la Casa Blanca de 2006 a 2008, está haciendo su parte durante la pandemia de covid-19 y se asegura de que las organizaciones estén preparadas para las amenazas de ciberseguridad que enfrentan en este momento.

Dado que la mayoría de los empleados trabajan de forma remota en todas las industrias y no tienen otra opción que confiar en las videoconferencias y el correo electrónico, las empresas se han vuelto especialmente vulnerables a ciertos tipos de ataques. Es crucial que los CIO y otros líderes de TI mantengan sus datos seguros durante estos tiempos inciertos mediante la implementación de estrategias de mitigación de riesgos de ciberseguridad y que informen a sus empleados sobre la mejor manera de hacerlo desde casa.

Payton, quien lanzó un libro titulado Manipulado: Dentro de la guerra cibernética para secuestrar las elecciones y distorsionar la verdad, le dio a TechTarget una mirada interna a los tipos de amenazas de seguridad cibernética que enfrentan las organizaciones y las diferentes formas en que pueden mitigarlas.

Una investigación mostró que las amenazas de ciberseguridad eran una de las principales preocupaciones de TI para los CIO y otros líderes de TI en 2019 y 2020 antes de la pandemia de covid-19, ¿por qué cree que es así? ¿Qué está en juego y por qué es crucial la mitigación del riesgo de ciberseguridad?

Theresa Payton

Theresa Payton: Lo interesante es que vi una encuesta actualizada de ejecutivos de gerencia, por lo tanto, no solo los responsables de la toma de decisiones tecnológicas, sino cualquier persona en la gerencia, y además de la pandemia y las preocupaciones en torno a la resiliencia empresarial y la interrupción de las operaciones, empatados en el número dos están los problemas de ciberseguridad y los problemas de seguridad nacional. Lo encontré fascinante y también muy sabio. Si piensa en el modo en el que estamos todos ahora, donde hay un modelo híbrido de personas que todavía están trabajando en ladrillo y mortero, pero luego personas que trabajan en forma remota, hay negocios que intentan contener y mantener un nivel de resiliencia y disponibilidad operativas, pero los ciberdelincuentes de todo el mundo saben que estamos en este estado diferente. Básicamente, no tuvimos casi ningún aviso de pasar a este estado diferente, y [los cibercriminales] nunca dejan que se desperdicie una buena crisis. Están atacando a una velocidad que no habíamos visto. Le puedo decir, en respuesta a incidentes y análisis forenses, la cantidad de llamadas que recibimos por compromiso de correo electrónico comercial. Se puede decir que los estados-nación y los sindicatos cibercriminales están haciendo sondeos y planeando ataques. Los diferentes registradores de teclas sobre los que recibimos llamadas son bastante increíbles.

¿Qué tipo de amenazas de ciberseguridad deben tener en cuenta las organizaciones? ¿Es sobre todo phishing en este momento?

Payton: Lo interesante de esto es que estoy viendo esas campañas de manipulación muy efectivas que se usaron en las elecciones y para dar forma a la opinión. Las veo utilizadas para realizar delitos cibernéticos. Lo que están haciendo es jugar con sus proveedores externos, empleados y las emociones de los propios empleados en este momento. Y estas campañas de manipulación están captando su atención sobre cualquier cosa, desde: ‹Aquí es donde está la última cura, aquí es donde puede obtener cubrebocas [y] desinfectante para manos›, y estas campañas de manipulación los bombardean exactamente a la hora correcta del día con los mensajes correctos para un grupo demográfico específico. Sus empleados luego hacen clic en los enlaces, abren archivos adjuntos que normalmente no harían y luego siguen haciendo sus cosas. Y al hacerlo, están infectando dispositivos, volviendo a escribir credenciales y renunciando accidentalmente a ellas. Están dando información clave sobre su organización.

Otro ejemplo [es] empleados que están tratando de mostrar [que están] manteniéndose al día con amigos [y] compañeros de trabajo. [Los cibercriminales] han estado tomando fotos de sus videoconferencias [y] en las videoconferencias, pueden ver los nombres. No lleva mucho tiempo buscar para qué empresa trabaja el empleado. Y lo siguiente que sabes es que tienes suficiente información para manipular y hacer ingeniería social a los empleados de esa empresa.

¿Hay formas en que los CIO pueden prepararse para este tipo de amenazas de ciberseguridad? ¿Cuáles son algunas estrategias de mitigación de riesgos de ciberseguridad?

Payton: En esta etapa de pandemia, una de las mejores cosas que puede hacer por sus empleados es realizar seminarios web semanales o quincenales en los que les hable acerca de diferentes consejos de seguridad, diferentes cosas para tener en cuenta que son a la vez para su vida laboral, pero también para su vida personal. Piense en el hecho de que la mayoría de sus empleados están colaborando con un compañero de cuarto, un cónyuge, seres queridos. Pueden tener hijos que van a la escuela a distancia, desde los tres años hasta estudiantes universitarios que han tenido que volver a casa. Entonces, si puede abordarlos donde están mental y emocionalmente con consejos de seguridad, justo a tiempo tanto para su vida laboral como personal, se unirán al equipo de seguridad, si lo desea, porque sabrán cuáles son las últimas amenazas en curso.

La segunda cosa que recomendamos encarecidamente a nuestros CIO y CISO es ofrecer algunas ‹horas de oficina› para tener básicamente un Genius Bar de seguridad disponible y alentar a las personas a unirse a su equipo de seguridad en videoconferencias y hacer que la gente diga: ‹No sé cómo poner en marcha mi VPN. No sé qué está pasando con mi enrutador. Mi software antivirus y la VPN no funcionan muy bien›. Necesita obtener esa verdad básica de lo que está sucediendo.

Y lo último es asegurarse de que no termine teniendo empleados que almacenan sus datos fuera del cumplimiento de la normativa en unidades de memoria USB, discos duros portátiles e instancias de nube personal.

¿Y cómo pueden implementar estrategias de mitigación de riesgos de ciberseguridad después de la pandemia?

Payton: Si piensa en lo que terminó sucediendo, tenía una línea base de tráfico y cómo el tráfico accedía a sus diferentes aplicaciones y sus datos. Entonces, de repente, se envió a todos a casa y se tenía que obtener una nueva línea de base de tráfico para poder detectar anomalías [y] atacantes desde sus propios empleados. Cómo se ve en todo el mundo es que se va a tener una forma de modelo híbrido, potencialmente durante los próximos 12 a 18 meses mientras esperamos una vacuna, de personas en la oficina [y] que no trabajan en la oficina trabajando remotamente [y] por turnos; tendrá que crear nuevas analíticas basadas en el comportamiento para que conozca el buen tráfico y el tráfico legítimo de los ciberdelincuentes y los cibercriminales. Esa planificación debe suceder ahora.

La segunda parte de la planificación en la que debe pensar es [que] probablemente esté violando algún requisito reglamentario. Porque cuando envía a todos a casa en un esfuerzo por hacer un buen trabajo para usted y para sus clientes, lo más probable es que el almacenamiento de datos, el acceso a datos y el manejo de datos de acuerdo con un marco regulatorio no se puedan seguir al 100% y aún así hacer el trabajo. Tal vez usted sea el CIO o el CISO de una organización que tiene grandes centros de atención al cliente que aceptan datos de pago. Sus agentes pueden encontrar, cuando trabajan desde casa, que su internet en casa con los niños en ella [o] con el cónyuge en ella es lento. Pueden estar escribiendo información de pago del cliente en blocs de notas; es posible que no tengan otra alternativa. Usted no sabe si tienen una trituradora transversal en casa. Entonces, ahora tiene datos de clientes en un bloc de notas. Estas son todas las cosas, a medida que se prepara para la pospandemia [que] desea encontrar casi como una amnistía, en la que ayuda a sus empleados a sentirse cómodos con los autoinformes. Y luego desea pasar tiempo con su asesor interno, ideando un mecanismo de autoinforme.

¿Qué es lo que realmente motiva a los hackers? Describe algunos en su libro, pero digamos los que intentan hackear empresas. ¿Ayudaría si los ejecutivos de gerencia supieran por qué lo estaban haciendo?

Payton: Quiero decir, si usted está en algún lugar del ecosistema de investigación y desarrollo de atención médica, está siendo atacado en este momento. Hay estados-nación que intentan descubrir lo que todos los demás saben, y están atacando al sector privado para hacer eso. Pero también tiene competencia sin escrúpulos en otros países. Están buscando todas las oportunidades para robar su propiedad intelectual. Si usted es alguien que realiza movimientos de dinero, transacciones de bienes raíces [o] mantiene cosas en custodia, cualquier cosa [donde] agregue los dólares y dé la vuelta y pague a proveedores o subcontratistas externos, es un objetivo en este momento porque en muchos países hay mucha gente sin trabajo. Y los sindicatos de ciberdelincuentes han estado reclutando y las personas están haciendo un buen dinero simplemente robando información y robando dinero de estas diferentes cuentas de movimiento de dinero y depósitos en garantía. Básicamente, cada empresa es un objetivo, pero estamos viendo que esas dos tienden a ser en las que más se enfocan.

La tercera cosa que estamos viendo desde la perspectiva de la empresa es si creen que usted ha recibido fondos de rescate o fondos del Programa de Protección de Cheques de Pago de la Administración de Pequeños Negocios (en Estados Unidos), también es un objetivo porque saben que recibió una afluencia de fondos. Están jugando con el hecho de que está en comunicación constante con los contadores fiscales de la firma de contadores públicos y la SBA y su banco, y desde el punto de vista de la ingeniería social, están tratando de interponerse entre usted y esas otras partes.

¿Qué han aprendido los expertos en ciberseguridad de la intromisión de Rusia en las elecciones de 2016, que es un gran tema en su libro, que pueda aplicarse a TI empresarial?

Payton: Para empezar, ¿cómo se utilizarán estas campañas de manipulación para destruir realmente su industria o la reputación de su empresa? Cuando Rusia se enteró de que Estados Unidos estaba logrando la independencia energética, sabían que los precios del combustible bajarían y mira dónde estamos, estamos en mínimos históricos para el petróleo. [Pero] en ese momento, más o menos en ese plazo de 2016 y más allá, Rusia creó personajes falsos de canadienses y estadounidenses e hizo una campaña antifracking.

Definitivamente, hay un enfoque en diferentes industrias estadounidenses y lo que se ve que hacen estos estados-nación es que quieren nivelar el campo de juego. Pero, en lugar de competir sobre la base del capitalismo, competirán sobre la base del robo de propiedad intelectual, hackeando y robando comunicaciones confidenciales entre empresas y luego [llevando a cabo] campañas de reputación. Esas son las tres áreas que todos los CIO y CISO deberían analizar [con respecto a] lo que sucedió en las elecciones de los EE. UU. y extrapolar de ahí sobre cómo pensar en proteger a sus empresas hoy.

Nota del editor: Esta entrevista ha sido editada por su extensión y claridad.