/
Ciberresiliencia

El negocio de la ciberdelincuencia: lo que un ex subdirector del FBI quiere que todo CISO sepa

Headshot of Brian Boetig
Brian Boetig, asesor principal de Global Trace y ex director asistente del FBI

El delito cibernético no es solo una amenaza técnica, sino que es un negocio global próspero. Y pocas personas entienden mejor la evolución de ese negocio que Brian Boetig.

Con más de 35 años en seguridad nacional y seguridad pública, se ha desempeñado como subdirector del FBI, diplomático estadounidense, enlace de la CIA y socio de una firma consultora internacional. Ahora es asesor principal de Global Trace ayudando a las organizaciones a desarrollar resiliencia cibernética.

En este episodio de El Segmento, Brian se unió a mí para compartir cómo su experiencia en la aplicación de la ley y la inteligencia da forma a su enfoque de la ciberseguridad actual y por qué los actores de amenazas están ganando donde las empresas se quedan atrás.

Del robo a la tienda al ransomware como servicio

Brian ha investigado de todo, desde secuestros en el extranjero hasta extorsión digital en casa.

¿Qué los conecta? La búsqueda del apalancamiento.

“Tratamos los secuestros por rescate de la misma manera que nos acercamos. ransomware hoy”, dijo Brian. “Sabes quién lo hizo, sabes cómo operan, y sabes negociar. Es un modelo de negocio, y lo manejan mejor que algunas compañías legítimas”.

Dice que la economía del cibercrimen se inclina a favor de los atacantes.

“Si robas una tienda en persona por 50 dólares, aparece todo un equipo de respuesta policial”, dijo. “¿Pero robar 500.000 dólares en línea? En la mayoría de las jurisdicciones, las fuerzas del orden no sabrán qué hacer con ella”.

El delito cibernético es escalable, sin fronteras y, a menudo, invisible. En opinión de Brian, hasta que los defensores adopten un enfoque similar de mentalidad empresarial, seguirán siendo superados.

Si robas una tienda en persona por $50, aparece todo un equipo de respuesta policial. ¿Pero robar $500,000 en línea? En la mayoría de las jurisdicciones, las fuerzas del orden público no sabrán qué hacer con ella.

Por qué prohibir los pagos de rescate no es la respuesta

Pocos temas suscitan más debate que si se debería permitir que las organizaciones paguen los resandos. Brian ha visto a ambos lados desde su época en el FBI hasta consultar con directores ejecutivos que navegan por una brecha.

“No hay una respuesta de manto”, dijo. “Algunas empresas dejarán de existir si no pagan”.

Recordó un bufete de abogados cuyo historial de clientes completo estaba cerrado. Sin pago, su negocio y reputación habrían sido destruidos.

La prohibición pagos de rescate puede parecer un elemento disuasorio, pero Brian cree que corre el riesgo de victimizar dos veces a las organizaciones: “Estás eliminando una de las pocas herramientas que quedan para sobrevivir”.

En cambio, sugiere una estrategia más matizada:

  • Desincentivar los pagos mediante la preparación
  • Desarrolle una higiene general de ciberseguridad, incluidos los backups
  • Implementar modelos de seguros inteligentes
  • Reducir la legislación que simplifica en exceso las realidades complejas del negocio

En lugar de prohibiciones absolutas, lo que las organizaciones necesitan es un enfoque más inteligente, uno que equilibre la resiliencia, el riesgo y las realidades que enfrentan los líderes después de un ataque.

El seguro cibernético no es una red de seguridad

A medida que más empresas recurren a seguro cibernético para su tranquilidad, Brian ofrece una verificación de la realidad.

“No es una solución. A menudo es más como una negociación”, dijo. “Y a veces lo primero que hace la aseguradora es buscar una razón. no pagar.”

Lo comparó con los seguros de automóviles. Sí, estás cubierto... a menos que te hayas perdido un detalle en la letra pequeña. El resultado es confusión durante una crisis, términos de cobertura poco claros y retraso en la recuperación.

“La mayoría de las pólizas solo te ayudan a volver a estar en línea”, advirtió Brian. “No cubrirán la reconstrucción de la confianza, el daño reputacional o la resiliencia futura”.

Su consejo a los CISO es saber exactamente qué cubre su póliza y dónde están sus brechas de cobertura. Nunca trate el seguro como un sustituto de defensas fuertes, y no confíe en que las compañías de seguros trabajen en su mejor interés después de un ataque.

El riesgo cibernético es un riesgo para el negocio

Con demasiada frecuencia, el riesgo cibernético sigue siendo tratado como un problema de TI. Brian ve eso como un error peligroso.

“Si la C-suite no cree en la ciberseguridad, no va a ser financiada, priorizada o practicada”, dijo.

Recordó una época en la que los CEOs no sabían quiénes eran sus leads de TI. “Ahora, finalmente estamos viendo que las salas de juntas comienzan a entender que la ciberseguridad no se trata de firewalls, se trata de mantener vivo el negocio”.

Ese cambio, dice, se debe en parte a las presiones regulatorias, pero también refleja la creciente comprensión de que la resiliencia es una ventaja competitiva.

Brian también se apresuró a señalar que ser violado no significa que fallaste. De hecho, los mejores líderes de seguridad asumen que va a suceder.

“Solía decirle a los CEOs: 'Está bien ser víctima de un ciberataque. No está bien no estar preparado para uno'”, dijo.

Esa mentalidad está en el corazón de Cero Confianza que asume compromiso y se centra en reducir las consecuencias de una violación.

“La preparación no solo significa backups y políticas”, enfatizó Brian. “Es cultural. Todos en la organización necesitan saber su papel cuando las cosas van mal”.

Solía decirle a los CEOs: “Está bien ser víctima de un ciberataque. No está bien no estar preparado para uno”.

Cerrar la brecha entre el riesgo y la realidad

Las historias de Brian resaltan una verdad central. La ciberseguridad no se trata de evitar riesgos; se trata de administrarlo.

Las organizaciones más resilientes tratan la seguridad como una función del negocio, adoptan la planificación proactiva e invierten en contención, no solo en prevención.

O como Brian lo expresó: “No esperas hasta que se produzca un incendio para comprar un extintor de incendios. Planeas, entrenas y te aseguras de que todos sepan dónde está”.

¿Quieres saber más? Escucha el episodio completo de esta semana de El segmento: un podcast de liderazgo de confianza cero en Podcasts de Apple, Spotify, o donde sea que obtenga sus podcasts. También puede leer el transcripción completa.

Temas relacionados

Artículos relacionados

Antifragilidad: cómo la confianza cero convierte las amenazas de IA en fortalezas
Ciberresiliencia

Antifragilidad: cómo la confianza cero convierte las amenazas de IA en fortalezas

Descubra por qué Zero Trust no se trata solo de resiliencia, sino que es un modelo de seguridad antifrágil que se fortalece bajo ataque.

Tome estos 3 próximos pasos si su agencia gubernamental está construyendo confianza cero
Ciberresiliencia

Tome estos 3 próximos pasos si su agencia gubernamental está construyendo confianza cero

La confianza cero es un viaje, no un destino. Obtenga los conocimientos de expertos de Gary Barlet sobre los próximos pasos que las agencias y los comandos deberían estar tomando a medida que están construyendo Zero Trust.

3 maneras de mantener su operación de fabricación resistente a los ataques cibernéticos
Ciberresiliencia

3 maneras de mantener su operación de fabricación resistente a los ataques cibernéticos

Conquire información sobre el reciente ciberataque a una organización de fabricación global y cómo se retiene la necesidad de ciberresiliencia en la fabricación.

5 cosas que aprendí de un ex hacker más buscado por el FBI
Ciberresiliencia

5 cosas que aprendí de un ex hacker más buscado por el FBI

Aprende cinco lecciones de Brett Johnson, ex cibercriminal más buscado, sobre el engaño, la confianza y por qué Zero Trust es más importante que nunca.

Lo que las organizaciones sin fines de lucro están enseñando a la industria de ciberseguridad
Segmentación de confianza cero

Lo que las organizaciones sin fines de lucro están enseñando a la industria de ciberseguridad

Aprenda del experto en ciberseguridad sin fines de lucro, el Dr. Kelley Misata, sobre cómo las organizaciones impulsadas por la misión se acercan a la seguridad con empatía, propósito y una mentalidad de escuchar primero.

La toma de un ciberpsicólogo sobre la cultura de culpa de la ciberseguridad
Segmentación de confianza cero

La toma de un ciberpsicólogo sobre la cultura de culpa de la ciberseguridad

Descubra cómo el estrés, las amenazas de IA y el comportamiento humano hacen que Zero Trust sea esencial para la resiliencia cibernética.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?