Cómo los jefes cibernéticos eliminan el ruido del marketing

Filtros de correo electrónico

“Como CISO, la avalancha de marketing y solicitud de las nuevas empresas de seguridad cibernética fue intensa”, dijo Jerry Perullo, un consultor de administración de seguridad cibernética que fue CISO del propietario de la Bolsa de Valores de Nueva York, Intercontinental Exchange. Cía

durante 20 años hasta que dejó el cargo en 2021. En un momento, contó todos los correos electrónicos que habían sido bloqueados por los filtros que había configurado y descubrió que recibía más de 120 solicitudes por día.

Tenía una categoría definida en sus herramientas de filtrado para este tipo de mensajes, que su empresa denominó «UCE» o «correo electrónico comercial no solicitado». Dado que estos correos electrónicos no eran maliciosos y, a menudo, trataban temas relevantes, era importante ajustar el sistema de filtrado, dijo Perullo. Un truco era bloquear cualquier correo electrónico que recibiera con la palabra «documento técnico» en el asunto, dijo.

cálidas presentaciones

Anne Marie Zettlemoyer, directora de seguridad de CyCognito Ltd., con sede en Palo Alto, California, que proporciona herramientas de evaluación de riesgos cibernéticos, dijo que está más inclinada a leer correos electrónicos con una cálida introducción, o los de representantes de proveedores que hacen un seguimiento basado en por el interés que ella ha expresado. Ciertos correos electrónicos los borra casi de inmediato.

Como vicepresidente de ingeniería de seguridad en Mastercard Cía

hasta principios de este verano, recibió muchos correos electrónicos genéricos dirigidos principalmente a ejecutivos de servicios financieros, algunos de los cuales se dirigían a ella como «Estimado comprador». Otros desvíos automáticos fueron los agentes de proveedores que enviaron invitaciones de calendario sin haber hablado con ella y aquellos que la llamaron a un número que no era del trabajo.

Perseguir versus ser perseguido

Los CISO a menudo prefieren estar en el asiento del conductor cuando se trata de encontrar proveedores. Para Ryan Heckman, subdirector de gobierno de gestión de acceso e identidad en Principal Financial Group Cía.,

la selección de proveedores es un proceso continuo para garantizar que las capacidades de su equipo se alineen con el panorama de amenazas en constante cambio. El Sr. Heckman fue hasta fines de julio gerente de seguridad cibernética en la cadena de tiendas de conveniencia Casey’s General Stores con sede en Iowa. Cía

Recordó que durante una evaluación reciente de capacidades y necesidades en Casey’s, quería conocer los productos de la industria que podrían ser complementos útiles para la empresa, por lo que hizo algunas compras en la conferencia Black Hat USA del verano pasado. Hablando con los proveedores sobre los requisitos de la empresa, pudo reducirlos a una media docena de opciones que luego podría investigar por su cuenta y ejecutar por sus pares.

En los meses siguientes, el equipo de especialistas cibernéticos del Sr. Heckman probó varias plataformas y evaluó cada una frente a los vectores de ataque conocidos en ese momento. Se descubrió que algunos productos afectaban la experiencia del usuario final y se eliminaron rápidamente. Otros tuvieron un buen desempeño, lo que requirió una comparación adicional de la integración y los gastos generales administrativos para reducir el campo, dijo. Este enfoque práctico, junto con la discusión entre pares en un foro abierto con otros en el comercio minorista, condujo a la selección del producto final, dijo el Sr. Heckman.

Ellen Benaim, CISO de Templafy ApS, una plataforma de generación de documentos con sede en Dinamarca, fue bombardeada con correos electrónicos después de que surgiera el error Log4j a fines del año pasado. Esperó para responder hasta unas dos semanas después, cuando aseguró el presupuesto y los recursos para investigar a los proveedores. Mientras tanto, dijo la Sra. Benaim, la empresa abordó sus vulnerabilidades de Log4j por su cuenta y comenzó a buscar una herramienta complementaria.

Su investigación de proveedores incluyó el uso de foros de CISO. Un colega CISO que usó una herramienta de análisis de vulnerabilidades de código abierto se lo demostró y habló sobre los contratiempos que la empresa había experimentado con una solución diferente con la que solían trabajar. “Ese tipo de experiencia es invaluable”, dijo. Desde entonces, Templafy ha implementado la herramienta demostrada por el otro CISO.

Socios, no transacciones

Una vez que reducen el grupo a uno o dos contendientes, los jefes de seguridad dijeron que el proceso de investigación final considera factores como el precio y la capacidad de personalizar servicios y herramientas, además de las propias prácticas de seguridad y solidez financiera del proveedor. Los proveedores que hacen el corte a menudo están dispuestos a adaptarse para satisfacer las necesidades de un cliente, dijo Chris Castaldo, CISO de la empresa de tecnología con sede en Filadelfia Crossbeam Inc., que ayuda a las empresas a encontrar nuevos socios comerciales y clientes.

“Se nota cuando alguien está realmente apasionado por hacer que su problema sea su problema a resolver”, dijo.

Busca profesionalismo

Una forma de descartar a los proveedores es descartar a aquellos que se muestran cautelosos, no brindan la información solicitada o simplemente son descuidados, dijo la Sra. Zettlemoyer. Es importante que los proveedores entiendan lo que quiere un cliente y eviten errores por descuido, dijo. Un proveedor no personalizó un lanzamiento y mostró sus materiales preparados para otra empresa. “Suena básico, pero [some] los vendedores no dan en el blanco”, dijo. “Con seguridad, hay 3.000 vendedores y nadie es realmente insustituible”.