Cuidado con la brecha: cerrar el enorme abismo entre los pensamientos y los hechos de los ejecutivos- ISMS.online

Cuidado con la brecha: cerrar el enorme abismo entre los pensamientos y los hechos de los ejecutivos

Por Phil Muncaster • 30 November 2023

Los humanos no siempre dicen lo que quieren decir. E incluso si lo hacen, sus acciones no siempre concuerdan con lo que dicen. Esto es particularmente un problema para los altos ejecutivos en el contexto de la política de ciberseguridad. Como revela una nueva investigación, existe una “brecha de conducta” en la cúpula de muchas organizaciones, que amenaza con socavar la cultura de seguridad por diseño y exponer a la empresa a un riesgo cibernético excesivo.

Las organizaciones necesitan construir una cultura que no tolere el “excepcionalismo ejecutivo”. Pero eso requerirá un cambio de comportamiento por parte de la alta dirección y potencialmente también del liderazgo en seguridad de TI.

¿Qué tan malo es?

El Informe Ivanti se compiló a partir de entrevistas con más de 6500 líderes ejecutivos, profesionales de la ciberseguridad y trabajadores de oficina en organizaciones globales. Revela una sorprendente disparidad entre lo que los líderes empresariales dicen y lo que hacen. Por un lado, la mayoría dice que:

• Apoyan al menos moderadamente la ciberseguridad corporativa o han invertido en ella (96%)
• Proporcionan formación obligatoria en seguridad (78%)
• Están preparados para reconocer e informar amenazas como malware y phishing (88%)

Sin embargo, por otro lado, muchos encuestados adoptan comportamientos excesivamente riesgosos, como por ejemplo:

• Solicitar eludir una o más medidas de seguridad en el último año (49%)
• Usar contraseñas fáciles de recordar (77%)
• Hacer clic en enlaces de phishing (35%)
• Uso de contraseñas predeterminadas para aplicaciones laborales (24%)

Algunos de estos hallazgos son aún más claros cuando se comparan con el comportamiento de los empleados regulares. Por ejemplo, sólo el 14% dice que utiliza contraseñas predeterminadas. Los ejecutivos también tienen tres veces más probabilidades de compartir dispositivos de trabajo con usuarios no autorizados, afirma el informe.

Los altos directivos también parecen tener una relación preocupante con la ciberseguridad. Cuando se encuentran con problemas de seguridad que los afectan personalmente, son:

• Dos veces más probabilidades que los trabajadores regulares de decir que sus interacciones pasadas con la seguridad fueron “incómodas”
• Cuatro veces más probabilidades de utilizar soporte técnico externo no aprobado
• Un 33 % más de probabilidades de “no sentirse seguro” al informar errores de seguridad, como hacer clic en un enlace de phishing.

“Puede haber una desconexión o una brecha de comunicación entre el liderazgo de la empresa y la seguridad de TI. Esto se debe a que tienen diferentes prioridades, por lo que no es probable que los CXO prioricen y comprendan la seguridad de la misma manera que los equipos de seguridad de TI”, dice Helen Masters, vicepresidenta ejecutiva de Ivanti, a ISMS.online.

¿Por qué los CXO se comportan tan mal?

Existen varias teorías sobre por qué esta brecha de conducta ha crecido tanto en los últimos años. Los ejecutivos suelen estar bajo presiones extremas de tiempo, lo que podría hacerlos más propensos a cometer errores de seguridad, buscar soluciones alternativas y eludir los canales oficiales. Una sensación de excepcionalismo puede exacerbar aún más esta situación.

"En última instancia, en una apuesta por la productividad, los CXO están subestimando el impacto de sus acciones y cómo los atajos contribuyen a las vulnerabilidades de seguridad", argumenta Masters.

Los jefes de seguridad también pueden ser en parte culpables debido a una combinación de agotamiento, "sólo esto una vez" y una cultura de seguridad débil, lo que significa que se sienten incómodos respondiendo, afirma el informe.

¿Cuál es el impacto?

Cualesquiera que sean las razones, el impacto de las malas prácticas de seguridad ejecutiva puede ser significativo. Los actores de amenazas saben que los ejecutivos a menudo practican una mala higiene cibernética. También saben que la alta dirección tiene acceso a información altamente sensible y monetizable, incluidos secretos comerciales y detalles confidenciales sobre la estrategia corporativa. ¿Por qué molestarse en atacar a los empleados que se encuentran en los niveles inferiores de la cadena alimentaria y dedicar tiempo y esfuerzo a elevar los privilegios si se puede obtener todo con un solo ataque de phishing?

El compromiso del correo electrónico empresarial es otra amenaza crítica que a menudo apunta a la alta dirección. En los últimos años, los altos ejecutivos han sido engañados una y otra vez para que dieran luz verde a grandes transferencias de dinero a actores amenazadores que se hacían pasar por socios y jefes.

Construyendo una mejor seguridad desde arriba hacia abajo

Cerrar la brecha de conducta no será fácil; nada que requiera cambios en la cultura corporativa lo es jamás. Pero es posible lograrlo cuando se construye sobre cimientos sólidos. Esto podría significa implementar un sistema de gestión de seguridad de la información (SGSI). Esto proporcionará las políticas, procedimientos y otros controles en torno a las personas, los procesos y la tecnología para mantener seguros los activos de información. Incluye concienciación y formación en materia de seguridad, que podría adaptarse para los ejecutivos.

Un aspecto clave de esto es desarrollar una cultura en la que los ejecutivos no sientan que pueden alterar las reglas para adaptarlas a sus propios requisitos. Eso requerirá, en parte, que los líderes de seguridad generen confianza con esos ejecutivos basándose en el apoyo, la educación y el asesoramiento en lugar de la condena, el castigo y la vergüenza.

“La colaboración con los equipos de TI y seguridad es clave, además de fomentar una cultura en la que la seguridad no se vea como un obstáculo. Este enfoque ayudará a las organizaciones lograr la norma ISO 27001 o cumplimiento de SOC2 de manera más efectiva”, argumenta Masters.

Los líderes de TI pueden ayudar a impulsar este cambio cultural demostrando que están dispuestos a escuchar a sus usuarios finales.

"Un enfoque implica reducir las fuentes comunes de frustración que a menudo están vinculadas a medidas sólidas de ciberseguridad, como las solicitudes excesivas y frecuentes de contraseñas", continúa Masters.

“A través de la inteligencia basada en riesgos, las organizaciones pueden concentrarse en las amenazas más importantes, mientras que la remediación automatizada resuelve rápidamente los problemas antes de que afecten la productividad del usuario. Este enfoque garantiza que las medidas de seguridad no causen interrupciones innecesarias, que de otro modo podrían llevar a los ejecutivos y a todos los empleados a recurrir a prácticas inseguras”.

El informe tiene una lista de verificación útil para ayudar a los líderes de seguridad y TI a poner en marcha sus esfuerzos:

• Realizar una auditoría interna de interacciones seguridad/ejecutivo para comprender la escala de la brecha de conducta
• Solucionar primero los riesgos más fáciles, tal vez actualizando y documentando las políticas de acceso y las políticas de uso aceptable, así como implementando controles que se ejecuten silenciosamente en segundo plano. La clave es evitar el conflicto directo con el liderazgo siempre que sea posible.
• Considere sesiones de capacitación en seguridad gamificadas y ejercicios prácticos utilizando estudios de casos del mundo real, para que los ejecutivos puedan comprender el impacto de una mala higiene cibernética.
• Implementar un programa de seguridad de “guante blanco” para ejecutivos diseñado para generar confianza y reducir las barreras para informar problemas de seguridad.

Los ejecutivos con poco tiempo siempre cometerán errores. Pero con un mayor enfoque en la concientización, junto con una seguridad menos intrusiva, hay mucho que las organizaciones pueden hacer para minimizar el potencial de interrupción.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 November 2025

El NCSC dice que “es hora de actuar”, pero ¿cómo?

El NCSC afirma: “Es hora de actuar”, pero ¿cómo?

Es inusual ver una carta abierta de un líder empresarial al comienzo de un informe gubernamental sobre ciberseguridad. Especialmente de alguien cuya empresa ha sido objeto de...

Phil Muncaster

La seguridad cibernética 16 October 2025

Lo que un ataque npm dice sobre los riesgos del software de código abierto

La historia de la seguridad de código abierto está repleta de ejemplos de fallos catastróficos y cuasi accidentes. Una campaña de criptomalware descubierta en...

Phil Muncaster

La seguridad cibernética 9 October 2025

¿Puede el Reino Unido crear un banner multimillonario para el sector de garantía de inteligencia artificial?

¿Puede el Reino Unido crear un sector de garantía de inteligencia artificial multimillonario?

El gobierno apuesta por la IA. Anunciado en enero, su Plan de Acción de Oportunidades de IA busca impulsar el crecimiento económico y mejorar la calidad de vida...

Phil Muncaster