El negocio del cibercrimen: lo que un ex subdirector del FBI quiere que todos los CISO sepan

El cibercrimen no es solo una amenaza técnica, es un negocio global próspero. Y pocas personas entienden la evolución de ese negocio mejor que Brian Boetig.

Con más de 35 años en seguridad nacional y seguridad pública, se desempeñó como subdirector del FBI, diplomático estadounidense, enlace con la CIA y socio de una firma de asesoría internacional. Ahora es asesor principal de Global Trace que ayuda a las organizaciones a desarrollar resiliencia cibernética.

En este episodio de The Segment, Brian se unió a mí para compartir cómo su experiencia en la aplicación de la ley y la inteligencia da forma a su enfoque de la ciberseguridad actual y por qué los actores de amenazas están ganando donde las compañías se quedan atrás.

Del robo a la tienda al ransomware como servicio

Brian investigó todo, desde secuestros en el extranjero hasta extorsión digital en casa.  

¿Qué los conecta? La búsqueda del apalancamiento.

"Tratamos los secuestros para pedir rescate de la misma manera que abordamos el ransomware hoy", dijo Brian. "Sabes quién lo hizo, sabes cómo operan y sabes cómo negociar. Es un modelo de negocio, y lo manejan mejor que algunas compañías legítimas".

Dice que la economía del cibercrimen se inclina a favor de los atacantes.

"Si robas una tienda en persona por $50, aparece todo un equipo de respuesta policial", dijo. "¿Pero robar $ 500,000 en línea? En la mayoría de las jurisdicciones, las fuerzas del orden no sabrán qué hacer con él".

El cibercrimen es escalable, sin fronteras y, a menudo, invisible. En opinión de Brian, hasta que los defensores adopten un enfoque empresarial similar, seguirán siendo superados.

Si robas una tienda en persona por $50, aparece todo un equipo de respuesta policial. ¿Pero robar $ 500,000 en línea? En la mayoría de las jurisdicciones, las fuerzas del orden no sabrán qué hacer con él.

Por qué prohibir los pagos de rescate no es la respuesta

Pocos temas suscitan más debate que si se debe permitir a las organizaciones pagar rescates. Brian vio ambos lados desde su tiempo en el FBI hasta consultar con los directores ejecutivos que navegan por una brecha.

"No hay una respuesta general", dijo. "Algunas compañías dejarán de existir si no pagan".

Recordó un bufete de abogados cuyo historial de clientes estaba cerrado. Sin el pago, su negocio y reputación fueron destruidos.

Prohibir los pagos de rescate por completo puede parecer un elemento disuasorio, pero Brian cree que corre el riesgo de victimizar doblemente a las organizaciones: "Estás eliminando una de las pocas herramientas que quedan para sobrevivir".

En cambio, sugiere una estrategia más matizada:

• Desincentivar los pagos a través de la preparación
• Construir una higiene general de ciberseguridad, incluidas las copias de seguridad
• Implemente modelos de seguros inteligentes
• Reducir la legislación que simplifica demasiado las realidades empresariales complejas

En lugar de prohibiciones generales, lo que las organizaciones necesitan es un enfoque más inteligente, uno que equilibre la resiliencia, el riesgo y las realidades que enfrentan los líderes luego de un ataque.

El seguro cibernético no es una red de seguridad  

A medida que más compañías recurren a los seguros cibernéticos para su tranquilidad, Brian ofrece una verificación de la realidad.

"No es una solución. A menudo es más como una negociación", dijo. "Y a veces lo primero que hace la aseguradora es buscar una razón para no pagar".

Lo comparó con el seguro de automóvil. Sí, estás cubierto... a menos que te perdiste un detalle en la letra pequeña. El resultado es confusión durante una crisis, términos de cobertura poco claros y recuperación retrasada.

"La mayoría de las pólizas solo te ayudan a volver a conectarte", advirtió Brian. "No cubrirán la reconstrucción de la confianza, el daño a la reputación o la resiliencia futura".

Su consejo para los CISO es saber exactamente qué cubre su póliza y dónde están sus brechas de cobertura. Nunca trate el seguro como un sustituto de defensas estables y no confíe en que las compañías de seguros trabajen en su mejor interés luego de un ataque.

El riesgo cibernético es un riesgo empresarial

Con demasiada frecuencia, el riesgo cibernético todavía se trata como un problema de TI. Brian ve eso como un error peligroso.

"Si el alta dirección no cree en la ciberseguridad, no se financiará, priorizará ni practicará", dijo.

Recordó una época en la que los directores ejecutivos no sabían quiénes eran sus líderes de TI. "Ahora, finalmente estamos viendo que las salas de juntas comienzan a comprender que la ciberseguridad no se trata de firewalls, se trata de mantener vivo el negocio".

Ese cambio, dice, se debe en parte a las presiones regulatorias, pero también refleja la creciente comprensión de que la resiliencia es un beneficio competitivo.

Brian también se apresuró a señalar que ser violado no significa que fallaste. De hecho, los mejores líderes de seguridad asumen que sucederá.

"Solía decirles a los directores ejecutivos: 'Está bien ser víctima de un ataque cibernético. No está bien no estar preparado para uno'", dijo.

Esa mentalidad está en el corazón de Zero Trust , que asume el compromiso y se enfoca en reducir las consecuencias de una infracción.

"La preparación no solo significa respaldos y políticas", enfatizó Brian. "Es cultural. Todos en la organización deben conocer su papel cuando las cosas van mal".

Solía decirles a los directores ejecutivos: "Está bien ser víctima de un ataque cibernético. No está bien no estar preparado para uno".

Cerrando la brecha entre el riesgo y la realidad

Las historias de Brian resaltan una verdad central. La ciberseguridad no se trata de evitar riesgos; se trata de gestionarlo.

Las organizaciones más resilientes tratan la seguridad como una función empresarial, adoptan una planeación proactiva e invierten en contención, no solo en prevención.

O como dijo Brian: "No esperas hasta un incendio para comprar un extinguidor de incendios. Planeas, capacitas y te cercioras de que todos sepan dónde está".

¿Quieres saber más? Escuche el episodio completo de esta semana de The Segment: A Zero Trust Leadership Podcast en Apple Podcasts, Spotify, o donde sea que obtenga sus podcasts. También puede leer el Transcripción completa.