Aunque el C-suite ahora es muy consciente de las amenazas a su organización y de la frecuencia con la que son atacados, a muchos les cuesta entender la terminología que los profesionales de la seguridad cibernética considerarían un lenguaje cotidiano, pero que para ellos suena más como una jerga. Como resultado, muchos luchan por priorizar las acciones apropiadas en los problemas cibernéticos, según un nuevo informe de Kaspersky.
Kaspersky trabajó con ejecutivos de C-suite y profesionales cibernéticos, de riesgo y cumplimiento en toda Europa, y encontró brechas significativas en la comprensión. Dijo que existía el peligro de que la seguridad cibernética se estuviera convirtiendo en una especialidad que “habla por sí misma” y se vuelve impenetrable para quienes no tienen una experiencia completa en el sector.
Si bien la terminología más técnica, como Mitre ATT&CK, TTP, reglas de Suricata y reglas de Yara, tendía a causar confusión en el C-suite, también existía una ignorancia generalizada en torno a una terminología de seguridad mucho más básica, con términos como malware, phishing, ransomware y Los ataques a la cadena de suministro dejan a un número significativo de personas confundidas.
“Las siglas, la jerga y los modismos actúan como abreviaturas para los que saben, pero a menudo parecen confusos para cualquiera que no tenga experiencia directa en el trabajo en seguridad cibernética”, dijo Stuart Peters, gerente general para el Reino Unido e Irlanda en Kaspersky. “Nuestros hallazgos sugieren que la incapacidad de la alta gerencia dentro de las grandes organizaciones para comprender verdaderamente la naturaleza de las amenazas a las que están constantemente expuestos, significa que a menudo no se consideran una prioridad en la sala de juntas.
“En otras palabras, esto pinta una imagen de ejecutivos de alto nivel que tienen que tomar decisiones comerciales críticas y oportunas sin una imagen clara de su propio panorama de amenazas único y el riesgo que representa para su organización, lo que les impide desarrollar una cultura de seguridad cibernética basada en las mejores prácticas, el intercambio de conocimientos y, en última instancia, la inteligencia procesable”.
Afortunadamente, hubo indicios de que los especialistas en seguridad son conscientes de esta barrera del idioma, y casi la mitad de los especialistas en seguridad, cumplimiento y riesgo de nivel C coincidieron en que la jerga y los términos confusos presentaban la mayor barrera para la comprensión más amplia del panorama de amenazas por parte de la suite C.
Sin embargo, Kaspersky describió “obstáculos significativos” para que los altos ejecutivos desarrollaran una comprensión y una conciencia más completas de los problemas de seguridad que enfrentaban, y que el lenguaje utilizado para transmitir y mediar en esos problemas claramente inhibía la capacidad de muchos para construir una cultura de seguridad. mejores prácticas dentro de la organización más amplia.
Cuando se trataba de educarse a sí mismos, Kaspersky descubrió que poco menos de la mitad de los encuestados de C-suite tendían a confiar en las noticias, los blogs de la industria y las redes sociales para obtener información. Kaspersky sugirió que esta tendencia también puede dejar al C-suite en riesgo de consumir solo información sobre los temas de seguridad de mayor impacto, populares o de tendencia, y no involucrarse con el meollo de la industria.
El consumo de medios es importante, dijo el informe, pero debe usarse estratégicamente como parte de un enfoque holístico y en capas para la recopilación de inteligencia.
Otras fuentes populares de información incluyeron los servicios privados de inteligencia de amenazas de la web oscura y los socios proveedores, pero Kaspersky también descubrió que una minoría no insignificante confiaba en sus propios recursos internos para descifrar las amenazas emergentes.
En general, dijo Kaspersky, el proyecto de investigación reveló que el C-suite necesita más ayuda para comprender las amenazas que enfrentan sus organizaciones. Dijo que una cosa era estar al tanto de las amenazas cibernéticas, pero otra cosa completamente diferente era comprenderlas, y esta incapacidad para comprender está causando que la seguridad se deslice hacia abajo en la agenda.
Los recursos disponibles públicamente y más presupuesto para capacitación pueden ayudar, sugirió, pero “la realidad… es que sin una experiencia sólida para identificar, analizar y correlacionar amenazas cibernéticas, las organizaciones solo se están armando a medias contra la amenaza”.
Los autores del informe agregaron: “En el centro de este enfoque se encuentra un intérprete o socio que no solo puede hablar el idioma del delito cibernético, sino que también comprende cómo la privacidad y el anonimato que brinda protección a los delincuentes pueden usarse contra ellos para desarrollar una relación. y luego extraer inteligencia crítica”.