Cinco preguntas que los ejecutivos deben preguntar a sus equipos de seguridad 1

Cinco preguntas
que los ejecutivos
deben realizar a
sus equipos de
seguridad
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 2

Las infracciones de datos son ms que un problema

de seguridad. Un ataque importante puede
amedrentar su base de clientes, las relaciones con
los socios, el personal ejecutivo, las ganancias y los
ingresos. En el pasado, las infracciones de datos
se cobraron empleos de ejecutivos, produjeron
Foto/grfico
prdidas de ingresos importantes y daaron la
reputacin de las marcas. Segn un estudio sobre
la reputacin de las marcas de 700 consumidores
realizado en 2014 por Ponemon Institute, las
infracciones de datos fueron el hecho ms perjudicial
para la reputacin de una marca, superando a los
desastres medioambientales y a un servicio de
atencin al cliente deficiente.1 En un mundo donde
las infracciones de datos son algo habitual, qu
pasos se pueden realizar para minimizar los daos?

En 2015 se produjeron 781 infracciones,

mientras que en 2014 se produjeron 783.2 000
01

1
Experian: Las consecuencias de una mega infraccin de

2
datos
Informe sobre infracciones de datos realizado por ID Theft
00
Center en 2015
00
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 3

La media del coste

total consolidado
de una infraccin de
datos en 2015 fue de
3,8 millones de dlares
(un aumento del 23 %
desde 2013).

Estudio sobre el coste de las infracciones de datos realizado por IBM en 2015
Introduccin Cinco preguntas que los ejecutivos deben preguntar a sus equipos de seguridad
Foto
Las infracciones de seguridad afectan a toda la
organizacin y, por este motivo, el equipo directivo
necesita unir sus fuerzas a los directores de seguridad
en su lucha en pos de la seguridad empresarial.
Los directores de seguridad, los directores de
seguridad de la informacin y los analistas de
seguridad no tienen que considerarse como la
ltima y nica lnea de defensa. Los directores
de seguridad, que suelen ser los responsables
de administrar los riesgos financieros de una
corporacin, tienen que preguntarse cules son
los riesgos empresariales de la ciberseguridad.
Adems, aunque otros roles ejecutivos no tienen
medidas de seguridad a su alcance, pueden tomar
medidas para ayudar a mejorar la seguridad global
de las organizaciones.
Los directores de tecnologa pueden asesorar a
los directores de seguridad y a los directores de
seguridad de la informacin sobre el software de
seguridad implementado en su organizacin, pero
tambin necesitan centrarse en las caractersticas de
seguridad de toda la tecnologa implementada.
Los directores de marketing y los ejecutivos de
4
marketing responsables dela reputacin pblica
de sus compaas tienen queser conscientes
de los riesgos para la reputacin que pueden
producirse debido a una infraccin y desarrollar
un plan de publicidad ante un ataque para
proteger al mximo los ingresos por ventas.
Los departamentos de recursos humanos y de
administracin de talentos tienen que conocer la
forma en que una infraccin de informacin interna
puede afectar a la confianza de los empleados y,
por lo tanto, necesitan centrarse en proteger la
informacin confidencial que administran.
L os consejeros delegados y los miembros del
consejo tienen que reconocer las posibles
implicaciones de una ciberseguridad defectuosa
en el valor de sus compaas y dar prioridad a la
seguridad en el plan de desarrollo de su compaa.
En relacin con la proteccin de los activos
organizativos ms importantes, qu necesita
preguntar el equipo directivo a sus equipos de
seguridad?
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 5

PREGUNTA 1

Con qu frecuencia ve
que se usan servicios en
la nube no autorizados?
Dropbox. Google Drive. MediaFire. Egnyte. Aunque
puede que no se admitan en su organizacin, es
probable que miembros del equipo de seguridad
hayan visto cmo se usaban una o ms de estas
nubes privadas en alguna organizacin.

Las nubes no autorizadas (las opciones de

sincronizacin y uso compartido de archivos privados
no admitidas o protegidas por la infraestructura de TI
de una empresa) se estn introduciendo lentamente
en las organizaciones. Segn un estudio realizado en
2013 por Symantec, el 77 % de todas las empresas
experimentaron situaciones de nube no autorizada.

Para eliminar las nubes no autorizadas, los equipos

40 %
de seguridad necesitan hablar con sus directores de
tecnologa sobre el servicio en la nube autorizado
recomendado por la organizacin. Despus, otros
miembros del equipo directivo pueden valorar la
solucin que ser ms til para sus empleados y socios
comerciales. Consulte con sus equipos de seguridad
sobre la implementacin de soluciones en la nube El 40 % de las organizaciones
admitidas en toda la organizacin. Las soluciones de que experimentaron
nivel de empresa, como Microsoft OneDrive para la
Empresa, permiten a los empleados guardar, compartir situaciones de la nube no
y colaborar en documentos sin poner en peligro la autorizada vieron expuestos
seguridad de los datos.
sus datos confidenciales.3

3
Estudio de Symantec: Evitar los costes ocultos de la nube
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 6

El hecho de que Microsoft

sea el impulsor de Office365
es un factor muy importante.
No tendr que volver a
cambiar de proveedores en
el futuro, ya que confo en
que Microsoft proteger
nuestro correo electrnico
yotros servicios.

Paraic Nolan
Director de finanzas
Big Red Book
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 7

identificar casos en que los empleados obtengan

acceso a archivos con los que no tienen ninguna
relacin, guarden archivos e informacin en
una ubicacin externa o se produzcan inicios de
sesin de empleados en horas poco comunes.

Por suerte, si se producen sospechas de

PREGUNTA 2 amenazas internas, existen soluciones como
Prevencin de prdida de datos (DLP) de

Nos estamos Microsoft (implementada en OneDrive para

la Empresa, SharePoint Online, Exchange y

protegiendo contra las Office2016), que permitir a sus administradores

de TI protegerse contra la prdida de datos sin

amenazas internas? aumentar sus presupuestos de cumplimiento.

Los administradores recibirn notificaciones si se

Las amenazas internas suelen considerarse unas de
las amenazas ms difciles ante las que defenderse.
Con el aumento de contratistas, autnomos
y empleados temporales en una empresa,
defenderse contra las posibles amenazas internas
parece casi imposible. En 2013, el FBI calcul que
los ataques de amenazas internas por usuarios
malintencionados costaron aproximadamente
412000 dlares por incidente.
intercambia informacin confidencial y podrn
recuperar los datos y el acceso de algunos
empleados. Adems, con DLP, los administradores
pueden revisar datos de incidentes y generar
informes de incidentes para conocer exactamente
desde dnde se puede haber filtrado la
informacin.

Aunque no existe una solucin nica para

defenderse contra las amenazas internas, los
expertos recomiendan un enfoque mltiple en
el que participen varios miembros del equipo
directivo. El departamento de adquisicin de
talentos necesita centrarse en realizar una
comprobacin de antecedentes exhaustiva de
todos los empleados y contratistas. Adems, las
relaciones humanas pueden ayudar a identificar Foto/grfico de
seales de advertencia en el comportamiento diferentes empleados/
poco comn de algunos empleados (por ejemplo,
faltar al trabajo o presumir del posible dao que contratistas en un
podran realizar). Los directores de tecnologa y entorno de oficina
los directores de seguridad pueden debatir sobre
la posibilidad de implementar herramientas de
supervisin de comportamiento de seguridad para

4
F red Donovan, FierceITSecurity: Cree que la persona que se sienta
a su lado puede ser un usuario malintencionado?
5
George Silowash, Software Engineering Institute: Gua de procedimientos
recomendados para mitigar las amenazas internas: Cuarta edicin
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 8

No solo necesita
defenderse contra virus y
malware (en el 19 % de los
incidentes de seguridad
estn implicados
usuarios internos
malintencionados).

Fred Donovan, FierceITSecurity: Cree que la persona que se sienta a su lado puede ser un usuario malintencionado?
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad
PREGUNTA 3
Tenemos preparado un grupo
de trabajo de ciberseguridad?
Los profesionales de la ciberseguridad
aprenden a pensar cundo (no si) se
producir una infraccin. Planear un plan
de respuesta ante una infraccin significa
crear un grupo de trabajo en toda una
organizacin que designe quin estar a
cargo de informar sobre el ataque a los
clientes (el director de marketing), quin
ser el responsable de proteger una red (el
director de seguridad de la informacin,
el director de seguridad y el director de
tecnologa) y quin se encargar de las
ramificaciones legales de la informacin
comprometida (responsables del
departamento legal, atencin al clientes
y recursos humanos). Aunque crear un
grupo de trabajo de ciberseguridad
en una organizacin se considera un
procedimiento recomendado, la mayora de
las organizaciones no han preparado con
antelacin un grupo de trabajo en absoluto.
Foto
9
Segn una encuesta de seguridad de
la informacin de Microsoft, el 63 % de
los ejecutivos financieros de grandes
empresas creen que simplemente
afrontan al da las amenazas de
seguridad, el 28 % considera que estn
por delante de estas amenazas y el 9 %
piensa que estn muy por detrs.6
Quin debera involucrarse? Una
gran parte del grupo de trabajo estar
formado por analistas de seguridad
y por el departamento de TI. Pero no
subestime la importancia del soporte
legal, financiero, de los inversores y
de las relaciones pblicas. Cualquiera
que pueda contribuir a corregir una
infraccin debera incluirse en un grupo
de trabajo de ciberseguridad y estar
preparado para tomar medidas.
6
E studio sobre la seguridad de la informacin de
Microsoft, septiembre-octubre de 2015
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 10

El 84 % de las
organizaciones no
han implementado un
grupo de trabajo de
ciberseguridad.

Financial Executives Research Foundation: El rol del director de seguridad en la ciberseguridad

 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 11

PREGUNTA 4

Son seguras sus

polticas de BYOD?
Las polticas de BYOD aumentaron en gran
medida en los ltimos cinco aos, lo que permite
a los empleados tener acceso a los archivos de la
compaa en sus propios dispositivos y en cualquier
momento. Pero, segn un informe realizado en 2014
por Check Point, ms de la mitad de los ejecutivos
de TI informaron que los incidentes de seguridad
de BYOD costaron a sus organizaciones ms de
250000dlares en un perodo de dos aos.7

Es posible seguir ofreciendo soporte a las directivas

de BYOD sin poner en peligro la seguridad y sin
afectar a su presupuesto. Pregunte a los equipos de
seguridad sobre las funciones de inicio de sesin
nico de las ofertas actuales y la administracin
de autoservicio de contraseas. Las herramientas Adems, la administracin de
de administracin de movilidad, como Microsoft dispositivos mviles (MDM) de
Enterprise Mobility Suite, pueden mantener a los Office 365 puede ayudar a proteger
empleados conectados a las aplicaciones que
los dispositivos de su empresa
necesitan sin poner en peligro la seguridad. En un
informe realizado por Forrester sobre el impacto desde cualquier lugar. Su equipo
econmico de Microsoft Office 365, el 28 % de los de TI puede administrar directivas
usuarios empresariales vieron una mejora en la de dispositivos mviles y realizar
seguridad de los datos mviles debido a la capacidad un borrado selectivo de los datos
de Enterprise Mobility Suite de borrar datos de forma
de Office 365 si un empleado
remota en los dispositivos perdidos.8
abandona su organizacin, lo que
ahorra tiempo y complicaciones
7
Infosecurity Magazine: Los costes de los incidentes de seguridad
de BYOD superan los 250 000 dlares a sus departamentos de recursos
Informe de Forrester: El impacto econmico total (Total Economic
humanos, TI y seguridad.
8

Impact) de Microsoft Office 365, octubre de 2014

 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 12

Necesitabamos proteger y
administrar los dispositivos
mviles y los smartphones
usados fuera de la red
corporativa, as como
los datos que contenan.
Enterprise MobilitySuite
proporciona estas funciones
en un paquete rentable.

Kris Mampaey
Director de TI
Willemen Groep
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 13

PREGUNTA 5

Se siente limitado
por su presupuesto
de seguridad o por el
nmero de empleados?
Los responsables de la seguridad empresarial
contratan equipos de forma continua y necesitan
administrar varias soluciones de seguridad y miles
de alertas al da. Son razonables sus presupuestos
y permisos de contratacin? Al revisar la resistencia
de la seguridad de una empresa, el equipo directivo
necesita asegurarse de que se asigne un presupuesto
generoso para un desarrollo rpido de la seguridad y
evaluar si se pueden reducir otros presupuestos para
adaptarse a estas necesidades.

Independientemente de si es necesario contratar

ms asistentes de administracin o analistas, o bien
aumentar el presupuesto de TI, conozca cules son
las necesidades de su equipo de seguridad y realice
los cambios necesarios para asegurarse de que
puedan desempear su trabajo al mximo.
 Cinco preguntas que los ejecutivos deben realizar a sus equipos de seguridad 14

Por suerte, muchas de las herramientas que ya se

usan en su compaa pueden complementar su plan
de seguridad. Las soluciones de uso compartido y
sincronizacin de archivos para empresas, como
Microsoft SharePoint y OneDrive para la Empresa,
pueden eliminar el uso de nubes no autorizadas por
parte de los empleados, a la vez que mejoran de forma
significativa la seguridad de los archivos compartidos
con socios y contratistas. Preparar y comunicarse
con un grupo de trabajo de ciberseguridad puede
resultar ms fcil con herramientas de comunicacin
para la oficina, como las conferencias web de Skype
Empresarial y Exchange Online. Mejore la seguridad
de su directiva de BYOD con las aplicaciones mviles
disponibles para una amplia variedad de programas
de Office en dispositivos Apple, Android y Windows. Lo
que es an ms importante: todas estas herramientas
estn disponibles dentro de su presupuesto y es
probable que sus empleados ya estn familiarizados
con Office 365.

Es hora de hablar con

su equipo de seguridad.

Tenemos controlado el uso Hemos protegido nuestra

de nubes no autorizadas? poltica de BYOD?

Qu estamos haciendo Tiene un presupuesto

para protegernos frente a suficiente mi equipo de
amenazas internas? seguridad?

Hemos creado nuestro grupo

de trabajo de ciberseguridad?
 Cinco preguntas que los ejecutivos deben preguntar a sus equipos de seguridad 16

Quiere ms sugerencias empresariales?

Conozca qu hay en las mentes de los innovadores

tecnolgicos y empresariales con la serie de webcasts
Modern Workplace de Microsoft:

https://products.office.com/business/modern-workplace/
webcast-series