Blog

Jun 16, 2023

Mesa de Expertos: Ciberseguridad

El Minneapolis-St. Paul Business Journal celebró recientemente una mesa redonda sobre ciberseguridad. Los panelistas incluyeron a Emy Johnson, directora de seguridad de Allina Health; Wolf Lewis, vicepresidente regional

El Minneapolis-St. Paul Business Journal celebró recientemente una mesa redonda sobre ciberseguridad. Los panelistas incluyeron a Emy Johnson, directora de seguridad de Allina Health; Wolf Lewis, vicepresidente regional de Comcast Business Midwest Region; y Angie Propp, vicepresidenta y gerente de ventas de gestión de efectivo de Highland Bank. John Ebert, profesor y director del programa de ciberseguridad de la Universidad de Saint Mary, actuó como moderador.

John Ebert: Cuando pensamos en ciberseguridad, o en el panorama de la seguridad en general, me vienen a la mente tres cosas: problemas, tendencias y oportunidades. Angie, ¿cuáles son algunas de las formas o tipos de fraude más comunes que ves en el sector bancario en el día a día?

Angie Propp: El fraude más común que estamos viendo en este momento involucra cheques alterados, blanqueados y/o cheques emitidos de manera fraudulenta. El fraude postal va en aumento; Se han robado buzones y camiones de correo enteros. Otro tipo de fraude que estamos viendo es el fraude por correo electrónico. En un esquema común, un correo electrónico entrante a una empresa solicita que cambien los números de cuenta del beneficiario y los números de ruta, de modo que se engañe a los clientes para que paguen a estos estafadores en lugar de a sus proveedores reales. También hemos visto casos en los que un estafador se hace pasar por el propietario o el director financiero de una empresa y envía un correo electrónico a las cuentas por pagar con un mensaje urgente: “Oye, olvidé pagar una factura y está vencida. ¿Puedes conectar un cable lo antes posible? Si sus empleados no son diligentes, fácilmente podrían pagarle a un estafador en lugar de a un proveedor legítimo. Cada una de estas tácticas se está intentando en transacciones de cheques, así como en ACH y transferencias bancarias.

Ebert: Mencionaste algunos aspectos físicos, pero también está el aspecto técnico o de red. Wolf, ¿qué medidas podrían considerar y/o adoptar las organizaciones para ayudar a proteger otros sistemas?

Lobo Lewis: Hay algunos elementos en ello. Lo primero y más importante para cualquier organización es la educación y la concientización. Debe invertir en la concientización de su población de empleados, para que estén informados de las amenazas potenciales que pueden recibir, ya sea un correo electrónico o un ataque de phishing, o dejar un dispositivo físico desbloqueado mientras se alejan para consigue un poco de agua. Garantizar que los empleados sigan los protocolos adecuados para proteger las contraseñas y que usted tenga el nivel correcto de sofisticación en las contraseñas. Era mucho más fácil proteger los datos de una empresa cuando todos estaban en una instalación física y se podía haber todo eso bloqueado en un servidor o en la nube. Se trata de la parte educativa y de garantizar que cuando las personas estén en sus redes domésticas, entiendan que los datos que están usando o con los que interactúan aún deben protegerse.

Emy Johnson: La población de empleados está experimentando una sobrecarga de información continuamente. Una de las cosas en el mundo de la seguridad y la protección es la educación continua en todos los sectores. No se trata sólo de enviar un correo electrónico y enseñar información a la gente; está poniendo a prueba su capacidad para retener la información una y otra vez. Cuando crea que ha enviado demasiada información sobre educación y formación, envíe más.

Luis: Recibirá su capacitación y le dirá que esté atento a los correos electrónicos que dicen que son de Comcast, pero tal vez haya una letra diferente allí. Luego [nuestro equipo de TI] comenzará a enviar esos correos electrónicos a los usuarios para ver cómo interactúan con ellos. Es una pequeña prueba. Debe tener este tipo de entorno de prueba de la vida real de forma continua para asegurarse de proteger su información.

Tapón: Uno de los consejos que recomiendo a mis clientes es que los empleados que manejan tareas relacionadas con finanzas deben usar una computadora separada cuando realizan otras responsabilidades diarias, especialmente cuando visitan sitios de redes sociales, ya que de ahí puede provenir el malware. Con el cambio a un entorno de trabajo remoto, no es tan fácil bloquearlo, por lo que la capacitación y las pruebas continuas son muy importantes.

Ebert: No podría estar más de acuerdo en que es el ciclo de la educación el que nunca se detendrá. Angie, ¿cuáles son algunos consejos, herramientas o recursos que la gente puede utilizar?

Tapón: Definitivamente, las empresas deberían contar con procedimientos para cualquier tipo de actividad transaccional que implique movimiento de dinero. Siempre recomendamos el control dual. Si envía cheques, pídale a alguien que los emita y que otra persona los firme. Establezca reglas cuando actualice la información del proveedor para pagos. Siempre tenga algo por escrito, un número de teléfono al que llamar y una dirección de correo electrónico diferente, para asegurarse de que realmente está hablando con el proveedor y no con un estafador. Si un propietario, director o su jefe le pide que pague una factura, establezca un procedimiento. Asegúrese de tener un sistema de doble verificación y asegúrese de que los empleados sigan los procedimientos que usted tiene establecidos.

Luis: Para cualquier persona en una organización, cuando tiene una lista enorme de diferentes políticas y cosas a seguir, eso se vuelve complicado. Entonces, ¿cómo se llega a la única regla que ayuda a resolver muchas cosas? Un ejemplo de esto sería: No hagas clic en enlaces. Vaya directamente a la fuente. Incluso si proviene de Apple, adquiera el hábito de no hacer clic en él y luego ir directamente a su propia cuenta donde lo autentica.

Ebert: Emy, ¿cómo has visto la intersección de la ciberseguridad y este mundo de la seguridad física cambiar a lo largo del tiempo en tu rol con Allina?

Johnson : Los mundos están chocando cada vez más en su interior. Y cuanto más se acercan, más seguro es, porque adoptamos un enfoque multifacético. Nuestros equipos deben trabajar juntos mientras pensamos en la tecnología. Orgánicamente está creciendo hacia una asociación más grande y más fuerte, en los espacios físico y cibernético. Solía ​​ser que los equipos físicos se concentraban en su carril y los cibernéticos se concentraban en su carril. Pero ahora, debido a la naturaleza de las amenazas, tenemos que trabajar juntos y mitigar cualquier cosa que esté ocurriendo. Dentro de diez o veinte años, ni siquiera habrá una distinción entre los dos, solo será una función de seguridad completa.

Ebert: Wolf, estamos analizando cómo las empresas se han adaptado a estos nuevos modelos híbridos de trabajo. ¿Cómo han evolucionado las necesidades de ciberseguridad de su organización? ¿Y luego el papel, al menos en su organización, con el proveedor de servicios? ¿Cómo ha cambiado eso también desde el panorama de la ciberseguridad?

Luis: Históricamente, se ha tratado de garantizar que nuestra red sea lo más sólida posible para que las empresas a las que presta servicios Comcast puedan hacer las cosas que desean hacer a través de la red. Se vuelve un poco borroso entre dónde termina el trabajo de la red física y dónde comienza la experiencia del usuario, y dónde están las transferencias intermedias y quién es responsable de ellas. Se vuelve aún más complejo cuando se tiene en cuenta este concepto de trabajo híbrido. Hay muchas menos medidas de seguridad en las redes domésticas y esos usuarios son más susceptibles a tácticas de ingeniería social e intentos de phishing. Al mismo tiempo, el personal de TI de las empresas se enfrenta a nuevas presiones y desafíos para gestionar todos estos dispositivos que se conectan a una red y no se encuentran en una instalación física. Si tenemos una solución que aportar, intentaremos interactuar con lo que las empresas necesitan. Podría ser la mitigación de DDoS. Podría gestionarse la seguridad; tal vez el equipo de TI no tenga los recursos para cuidar la red como necesita. La detección y respuesta de endpoints es algo en lo que realmente nos hemos inclinado durante los últimos años. En última instancia, creo que todo se basará en este concepto de confianza cero y en garantizar que nuestros clientes lo vean de esa manera y que presentemos soluciones para ayudarlos a resolver esos problemas.

Ebert: Con los productos cibernéticos que utiliza con sus clientes, ¿qué está viendo hoy?

Luis : Bueno, hay muchas maneras diferentes de abordar esto. Algunas empresas quieren hacer todo internamente para sentir que tienen más control y, de esa manera, tienen más protección. Y quieren tener sus propios firewalls avanzados de Capa 7; Sienten que tienen un equipo lo suficientemente sólido como para resolver algunas de estas cosas. Y tal vez nuestro trabajo en ese momento sea simplemente proporcionar el tipo correcto de servicios de red seguros. O, por el contrario, tal vez debamos ser nosotros quienes pongamos sobre la mesa esas soluciones para una empresa que no cuenta con recursos suficientes. Esto es rudimentario, pero es como un castillo y un foso. Tienes el camino que conduce al castillo, el foso que rodea el castillo y luego el castillo en sí y la gente que está dentro. Como analogía con una empresa, el camino de entrada podría ser Internet. Y aquí es donde un ataque distribuido de denegación de servicio podría acabar con el camino. ¿Tienen alguna manera de proteger ese camino? ¿Qué pasa con el foso? Ese podría ser tu firewall. Ese es el último punto de resistencia antes de entrar al castillo. ¿Cómo están resolviendo eso? Por último, ¿qué están haciendo dentro de la muralla del castillo si algo logra atravesarlo? Ese será su ataque de phishing o su ataque de ransomware. Tienes que pensar en términos de esas tres cosas de forma independiente, para ayudarlos a resolverlo de la manera más adecuada.

Tapón: La otra perspectiva a considerar es que muchas empresas buscan eficiencia y rapidez. Por lo tanto, es posible que su castillo esté bloqueado, pero aún debe poder comunicarse con el banco, realizar depósitos remotos y enviar ACH. Si está demasiado bloqueado, no puedes hacer eso. Si no se controla lo suficiente, se abre la puerta al fraude. Tienes que encontrar alguna manera de equilibrarlo.

Ebert: Emy, ahora que hemos visto esa mayor interacción en la intersección de la seguridad y la ciberseguridad, ¿cómo pueden trabajar juntos esos equipos?

Johnson : No puedo enfatizar lo suficiente la conexión continua no solo entre lo físico y lo cibernético, sino también con colegas que tienen un interés personal en la mitigación de riesgos. Pienso en mis socios de recursos humanos, cadena de suministro y alrededor de la organización que tienen intereses creados. Una gran parte de este trabajo es tener una hoja de ruta estratégica y analizar la estrategia más amplia que abordamos juntos. Y descubrimos que eso es increíblemente útil, porque mientras impulsamos esa hoja de ruta, traemos a esos socios con nosotros y educamos y enseñamos. Y es una conversación fluida.

Luis: Estoy completamente de acuerdo. Es increíblemente importante tener una estrategia global sobre cómo pensar en gestionar las amenazas a la ciberseguridad. Es necesario empezar a pensar: ¿quién tiene acceso a qué cosas, dependiendo de a qué necesitan acceder? ¿Y qué riesgos supone eso para el negocio?

Johnson: También es importante ser ágil y estar dispuesto a ajustar ese plan. Es posible que tengas que sacar una herramienta diferente en un momento diferente por una razón diferente. Creo que ayuda construir esas asociaciones dentro de las organizaciones. Porque cuando necesitas sacar una herramienta separada para combatir algo, entonces no es: “Espera un minuto. ¡Eso está cambiando completamente la estrategia!” No, no está cambiando la estrategia. Simplemente está usando una nueva herramienta.

Ebert: Angie, ya que estamos hablando de oportunidades, ¿qué más puede hacer el sector bancario para ayudar a proteger sus activos en este entorno oportunista?

Tapón : Les sugeriría que hablen con su banco; la mayoría de los bancos ofrecen varios productos para ayudar a sus clientes a controlar las cuentas en busca de fraude. Los bancos tienen productos llamados pago positivo, uno que ayuda a monitorear los cheques emitidos, mientras que el otro monitorea los débitos ACH. Para Check Positive Pay, un empleado cargará sus archivos de emisión de cheques y, a medida que los cheques se liquiden, el software coteja el beneficiario, el monto en dólares, la fecha y el número de cheque. Si algo no coincide, tiene personas dentro de su organización que reciben una notificación y pueden devolver ese artículo incluso antes de que llegue a su cuenta. En el entorno ACH, si tiene una cuenta comercial, tiene 24 horas para devolver un débito no autorizado. El pago positivo de ACH le ayuda a controlar esa actividad. Puede hacer que las personas dentro de su organización reciban una notificación de inmediato, de modo que se tomen medidas dentro de ese período de 24 horas.

Ebert: Cuando analizamos las oportunidades y nuestras conexiones en el campo de la seguridad o en la industria de la seguridad, ¿cómo se forman conexiones y relaciones considerando la naturaleza confidencial de los procesos dentro de las organizaciones?

Johnson: Tener una gran cantidad de conexiones es una parte muy importante de ser un líder o participante exitoso en la industria. Definitivamente, establecer contactos y entablar diálogos era algo más común antes de la pandemia. En cierto modo se estancó. Hemos considerado imperativo iniciar esas relaciones y hacerlo en persona, no virtualmente. Creo firmemente que tener relaciones a nivel local, estatal y federal es absolutamente fundamental. Para que el trabajo de colaboración público-privada nunca termine. Y entonces, creo que al final del día, una vez que consigas un asiento en la mesa, agárrate del asiento; Una vez que conozcas a alguien, mantén esa asociación, porque la utilizarás por muchas, muchas razones. Y además, siempre estoy reclutando grandes talentos, y tener una amplia red también ayuda con eso.

Tapón : Asistir a conferencias, establecer contactos y escuchar lo que sus pares tienen que decir le ayuda a proteger su propia empresa de riesgos desconocidos, posibles responsabilidades y posibles debilidades. Escuchas lo que sucedió en otras empresas y es posible que te des cuenta de que, oh, espera, es posible que también tengamos una vulnerabilidad allí. Por lo tanto, siempre es bueno conectarse en red y tener conexiones en su bolsillo trasero cuando sea necesario.

Ebert: ¿Qué consejo le recomendaría a alguien que desee ingresar a la industria?

Johnson : Es una palabra y es "sí". En un mundo en el que sólo se utiliza la palabra “seguridad”, la gente tiene sus propias percepciones de lo que la seguridad puede significar o no. Al decir que sí, abre los ojos a oportunidades y debates de los que normalmente no participaría. Sólo di que sí.

Tapón: Encuentre un mentor o lugares para realizar entrevistas informativas, salga y hable con la gente. Busque un mentor que comparta pasiones similares y que siempre le ayude a seguir adelante.

Luis : Desafortunadamente, es un campo en crecimiento. Entonces [hay] muchas oportunidades. Hay varias disciplinas dentro de eso. Así que expóngase y obtenga educación sobre en qué parte de la disciplina desea convertirse en un experto.

Ebert: Si pudiera recomendar algo a los líderes de las organizaciones que deberían hacer para prepararlas, ya sea para las demandas de ciberseguridad o de seguridad general, ¿cuál sería?

Luis: Sea educado, tenga un plan. Ahí tienes.

Tapón: Formación, formación y formación. La tecnología avanza continuamente, al igual que las formas en que se pueden componer sus activos. Por lo tanto, continúe fomentando la capacitación sobre las formas en que los estafadores pueden comprometer cuentas y qué puede hacer usted para reconocerlo y proteger sus activos.

Johnson: Esto no tiene por qué ser perfecto. Sólo tienes que estar haciendo algo. La gente piensa que es perfecto, [pero] no existe la perfección en este trabajo.

Moderador y panelistas

John Ebert, moderador, profesor y director del programa de ciberseguridad, Saint Mary's University of Minnesota: John Ebert es profesor principal y director del programa de maestría en ciberseguridad, los programas de certificación de tecnología y gestión de ciberseguridad, así como el programa de inteligencia de datos y geoanálisis de Saint Universidad Mary de Minnesota. Ha estado en Saint Mary's desde 2002. Además de dirigir múltiples programas, Ebert mantiene una carga docente de tiempo completo y ofrece otros programas, incluido el programa de pregrado en marketing y el programa de posgrado en inteligencia empresarial y análisis de datos, cuando es necesario. A Ebert le apasiona el uso de la tecnología y los impactos relacionados de la ciberseguridad en diversas industrias y disfruta trabajar con estudiantes de posgrado en sus proyectos de investigación. Ha redactado subvenciones y se ha asociado con Mayo Clinic en una serie de iniciativas de investigación y también ha presentado investigaciones en la sede de Google, el Consorcio GIS/LIS de Minnesota, el Estado de Minnesota, el GEOCON del Medio Oeste Superior y la Cumbre de Inteligencia Empresarial de la Universidad de Minnesota de Saint Mary.

Wolf Lewis, vicepresidente regional de Comcast Business: Wolf Lewis es el vicepresidente regional de Comcast Business en la región del Medio Oeste. Es responsable de las ventas, el marketing, las operaciones y la dirección estratégica del equipo de Comcast Business; brindando conectividad, voz, servicios administrados y soluciones de red seguras a clientes de PYMES, medianas empresas y empresas en siete estados del Medio Oeste. Wolf se unió a Comcast en 2012 en Colorado y anteriormente fue director sénior de la región Beltway, donde fue responsable de 13 equipos en tres estados y Washington DC. Wolf es un líder empresarial experimentado con experiencia liderando equipos de ventas empresariales en diferentes mercados de todo el país. Antes de unirse a Comcast, Wolf ocupó puestos de liderazgo en Guitar Center y fue propietario de una productora musical en el sureste, donde también actuó como músico de gira.

Angie Propp AAP, vicepresidenta y gerente de ventas de administración de efectivo, Highland Bank: Como vicepresidenta y gerente de ventas de administración de efectivo, Angie Propp atiende a los clientes comerciales de Highland Bank aportando más de 20 años de experiencia bancaria en diversos roles, desde préstamos hasta administración del flujo de caja. Angie se trata de personas. Desde las primeras etapas de su carrera en la banca, su afán por conocer gente y rodearse de “pensadores” ha construido una base de experiencia que se traduce bien en la función consultiva de la gestión de efectivo. La banca digital continúa transformando la industria, lo que hace que la experiencia y las herramientas de Angie sean especialmente cruciales para las relaciones comerciales. Angie tiene una licenciatura en marketing de la Universidad de Dakota del Norte. También invierte en su propia educación continua manteniendo la designación Accredited ACH Professional (AAP), una certificación otorgada a personas con un profundo conocimiento de ACH y los sistemas de pagos.

Emy Johnson, directora de seguridad de Allina Health: Emy Johnson, BS, MA, es vicepresidenta y directora de seguridad de Allina Health en Minneapolis, Minnesota. El alcance y los servicios de su equipo de más de 300 personas incluyen investigaciones, gestión de amenazas, operaciones, mitigación de riesgos, integración tecnológica, gestión de emergencias, gestión de crisis y seguridad física. Antes de unirse a Allina Health en 2018, Johnson fue director de protección de activos de operaciones de robo y fraude para Target Corporation. A lo largo de sus 29 años de carrera en Target, dirigió equipos en una variedad de capacidades, incluyendo responsabilidad corporativa, protección de activos, robo y fraude en atención médica, investigación de mercado, comunicaciones y relaciones comunitarias. Ha recibido numerosos elogios destacados, incluido el premio Top 10 Global Women in Leadership Forum Connector, el premio Women in Business, el premio Women's Health Leadership TRUST y el SIA Women in Security Forum Power 100.