C-Suite en el lugar de moda: responsable de la seguridad digital

¬ŅEst√°s matando tus n√ļmeros Destruye tus objetivos? Expande tu equipo? ¬ŅLiderar con autenticidad y crear seguidores leales? L√°stima que tu mandato haya terminado.

Mientras estaba ocupado tratando de ganar y destruir la competencia, un cibercriminal da√Ī√≥ su red. No se averg√ľence, le pasa a casi todos en estos d√≠as. La duraci√≥n promedio de la estad√≠a de un atacante es de m√°s de 100 d√≠as. Por lo tanto, es dif√≠cil saber exactamente cu√°ndo ese cubo de agua helada fue arrojado en tus sue√Īos. Desafortunadamente, incluso si hace todo bien, los ejemplos m√°s recientes muestran que nuestros trabajos est√°n en riesgo si los piratas inform√°ticos caen.

Muy pocos de ustedes que est√°n leyendo esto est√°n activos en la industria de la ciberseguridad y simplemente pueden ver la seguridad de la red como algo que se env√≠a al departamento de TI. Puede ver la seguridad de TI como una molestia, una tarea o un centro de costos. Quiz√°s eres m√°s c√≠nico y crees que la amenaza es imaginaria, as√≠ como el aterrizaje incorrecto en la luna en la d√©cada de 1960. O quiz√°s juegas y les das a los ni√Īos lo que quieren, para que “la Navidad llegue temprano” para los geeks, con muchos y caros juguetes nuevos debajo del √°rbol.

¬°Es hora de despertarse y oler el caf√©! ¬°La seguridad ha llegado a una crisis y tenemos que resolver ese problema como industria o enfrentar un futuro dist√≥pico peor que cualquier cosa en el planeta de los simios o en Terminator II! La seguridad se convierte en el trabajo de todos. especialmente en puestos directivos. Si no podemos proteger a nuestras compa√Ī√≠as, estamos brindando un servicio precario a nuestros accionistas, empleados, clientes e incluso nuestra valiosa carrera.

Si tan solo no hubiera tantos ejemplos

El ex CEO de Equifax, Richard Smith, dej√≥ la oficina de cr√©dito en septiembre de 2017 porque los datos personales confidenciales de 143 millones de estadounidenses corr√≠an el riesgo de una violaci√≥n de datos. Smith dijo que decidi√≥ abandonar la creencia de que “lo mejor para la compa√Ī√≠a es tener un nuevo liderazgo para avanzar en la compa√Ī√≠a”, como se cita en un comunicado compartido con NBC News. Tiene su bono estimado de 3 retenidos millones de d√≥lares para 2017 y permaneci√≥ sin compensaci√≥n. ¬°Ah√≠!

Ning√ļn gerente quiere reunirse inmediatamente despu√©s de una violaci√≥n de datos. Es una situaci√≥n dif√≠cil para los miembros de la junta y todos los ejecutivos, especialmente cuando el bienestar p√ļblico se ve comprometido. Obviamente, Smith no es el √ļnico que queda despu√©s de un incidente de seguridad. Transiciones similares ocurrieron en Target, Sony Pictures Entertainment y Uber despu√©s de que estas compa√Ī√≠as sufrieran importantes violaciones de datos.

La retirada es solo el comienzo

Como todos sabemos, la solicitud de empacar su mesa es solo una posible consecuencia de una violación de datos. Sin embargo, los resultados de un incidente de seguridad generalmente no terminan ahí. Las ventas en la parte superior de estas organizaciones a menudo son solo el comienzo de una organización que es víctima de un atacante exitoso.

Meses despu√©s de la renuncia de un gerente, las compa√Ī√≠as que violaron datos tienden a reportar p√©rdidas de ingresos. Eso es exactamente lo que sucedi√≥ en Target y Equifax. Seg√ļn el New York Post, el New York Post registr√≥ una ca√≠da de $ 440 millones en ganancias en el cuarto trimestre de 2013 debido a una violaci√≥n de datos. Mientras tanto, solo dos meses despu√©s del incidente de seguridad de 2017, se han reservado gastos de $ 87.5 millones. La agencia de cr√©dito estim√≥ en ese momento que los costos futuros asociados con la violaci√≥n podr√≠an aumentar en $ 110 millones, inform√≥ Reuters.

Estos costos financieros no solo perjudican a los gerentes, sino que tambi√©n desv√≠an el dinero de otras √°reas clave de los negocios. Por ejemplo, el CFO descubri√≥ que las empresas que prestan atenci√≥n a las violaciones de datos tienden a pagar dividendos m√°s bajos e invierten menos en investigaci√≥n y desarrollo en los primeros cinco a√Īos. Como resultado, las organizaciones de v√≠ctimas pierden su ventaja competitiva y debilitan sus perspectivas para futuros negocios.

Y estas no son las √ļnicas formas en que las violaciones de datos pueden socavar la ventaja competitiva de una empresa. Los delincuentes digitales buscan informaci√≥n corporativa, incluidas listas de clientes, propiedad intelectual y secretos comerciales. Si los malos actores obtienen acceso a esa informaci√≥n, pueden monetizarla en el oscuro Internet o venderla a un competidor o gobierno extranjero. ¬ŅY qui√©n quiere vender su IP al mejor postor?

Centrarse en las consecuencias.

Si no cumple con los criterios anteriores, ser√≠a un fracaso. En realidad, muchas de las consecuencias de la violaci√≥n de datos descritas en la secci√≥n anterior son de corta duraci√≥n. Harvard Business Review descubri√≥ que los precios de las acciones de Home Depot, Target, Sears y JP Morgan Chase aumentaron poco despu√©s de una ca√≠da inicial que ocurri√≥ inmediatamente despu√©s de que se anunci√≥ una violaci√≥n de datos. Adem√°s, los ejecutivos que deciden contra los problemas p√ļblicos asociados con un incidente de seguridad generalmente reciben un aumento. Este fen√≥meno refleja el deseo de las compa√Ī√≠as de mantener el liderazgo, de modo que una violaci√≥n de datos puede dar a los gerentes una sensaci√≥n de estabilidad y corregir problemas estructurales en la compa√Ī√≠a, inform√≥ Help Net Security.

Eso era entonces, esto es ahora

Sin embargo, todo eso puede cambiar a medida que crecen las estructuras de protecci√≥n de datos. Prueba de ello son las multas que las empresas podr√≠an pagar por una violaci√≥n de datos y que ya han comenzado a pagar. En particular, todos sabemos que el Reglamento General de Protecci√≥n de Datos de la Uni√≥n Europea (GDPR, que tambi√©n se aprob√≥ en el Reino Unido) genera sanciones del cuatro por ciento de las ventas anuales del a√Īo anterior o ‚ā¨ 20 millones. mayor. Este es un precio alto para cualquier empresa que pueda sufrir una violaci√≥n de datos en los pr√≥ximos a√Īos.

Algunas organizaciones ya han impuesto fuertes multas despu√©s de ser v√≠ctimas de un incidente de seguridad. Por ejemplo, la autoridad francesa de protecci√≥n de datos “Comisi√≥n Nacional de Informaci√≥n y Libertades” impuso una multa de 50 millones de euros a Google en enero de 2019 por las obvias violaciones del GDPR por parte del gigante tecnol√≥gico. Un mes despu√©s, el Washington Post inform√≥ c√≥mo Facebook con la Comisi√≥n Federal de Comercio de EE. UU. por una posible multa multimillonaria por supuesta falla en mejorar la privacidad de la plataforma. Tal multa, se√Īal√≥ TechCrunch en sus propios informes, podr√≠a ser “una de las √ļnicas formas de castigar a una empresa tan rica que pagar millones ser√≠a poco m√°s que una molestia temporal”.

Un mensaje a ignorar es demasiado alto.

Además del riesgo de perder nuestros trabajos en caso de violación de datos, tenemos una mayor responsabilidad hacia todos los empleados, accionistas, clientes y socios para salvaguardar sus intereses e información.

La √ļnica forma de hacerlo es tomarse en serio la seguridad digital de nuestra empresa. Estos esfuerzos comienzan por reconocer la amenaza real que enfrentamos: de ciber pandillas organizadas y sofisticadas con vastos recursos y conocimientos. La seguridad no es una pr√°ctica de “establecer y olvidar”, sino un ejercicio en el que las estrategias de seguridad se revisan e invierten constantemente en las personas y las nuevas tecnolog√≠as. Esto requiere de todo, desde programas continuos de concientizaci√≥n sobre la seguridad de los empleados y controles b√°sicos de seguridad, como la administraci√≥n de parches, hasta las soluciones de seguridad de red m√°s recientes e innovadoras necesarias para detectar amenazas avanzadas que est√°n m√°s all√° de la detecci√≥n de las herramientas de seguridad. Seguridad tradicional.

Tengo la ventaja de trabajar con seguridad y ver cada d√≠a cu√°n talentosos y persistentes son realmente los malos. Y me mantiene despierto por la noche. Los invito a hacer de la seguridad una prioridad para su tiempo y presupuesto. Y como habr√°s notado, el trabajo nunca se hace. Puedes mantener tu trabajo para seguir destruyendo tus n√ļmeros.

Crédito: Rawpixel.com / Shutterstock

C-Suite en el lugar caliente - Responsable de seguridad digital 1John DiLullo es el CEO de Lastline y tiene casi 30 a√Īos de trayectoria comprobada en seguridad corporativa, redes, nube e inteligencia artificial, as√≠ como experiencia en lanzamientos de mercado en ventas, marketing, √©xito de clientes, soporte t√©cnico y operaciones. Su carrera abarca mucho tiempo en el pa√≠s y en el extranjero, con l√≠deres del mercado como Cisco Systems, Avaya, SonicWall y Aruba Networks, que atienden a clientes grandes y peque√Īos a trav√©s de canales tradicionales y emergentes.