Estás desplegando MFA y los directivos exigen una exención «por comodidad». ¿Cómo lo gestionas?
Respuesta breve
Los directivos son precisamente las cuentas que quieren los atacantes (BEC, fraude de transferencias), así que eximirlos invierte el modelo de riesgo. Resuelve la fricción, no el control: despliega passkeys/FIDO2 resistentes al phishing, más rápidos que los códigos. Ceder a la exención destruye la credibilidad del programa y deja sin protección tus cuentas de mayor valor. Cancelar el proyecto de MFA abandona un control de primer nivel. Activarlo a escondidas a sus espaldas destruye la confianza y la rendición de cuentas.
Esta pregunta tiene tanto que ver con la influencia y la comunicación del riesgo como con la autenticación. El control técnicamente correcto no es negociable; la habilidad está en aplicarlo sin perder a la audiencia.
Por qué eximir a los directivos es contraproducente
Los actores de amenazas atacan a las personas con más autoridad y acceso. Las cuentas de los directivos son la rampa de lanzamiento del fraude del CEO (BEC) y del fraude de transferencias, y contienen datos estratégicos sensibles. Eximirlos concentra el mayor riesgo en las cuentas menos protegidas — justo lo contrario de lo que debería hacer un programa basado en el riesgo. Una exención «por comodidad» es en realidad una aceptación de riesgo no gestionada que el equipo de seguridad asumirá cuando salga mal.
Resuelve la fricción, mantén el control
El movimiento correcto reformula la queja: el problema es la fricción, no la MFA en sí. Las llaves de seguridad FIDO2 o passkeys resistentes al phishing suelen ser más rápidas que teclear un código de un solo uso — un toque o una biometría — y derrotan el phishing y los ataques de proxy MITM que eluden TOTP y SMS. Le das a los directivos una mejor experiencia y una protección más fuerte, convirtiendo una confrontación en una victoria.
Por qué los distractores son incorrectos
- Conceder la exención. Deja tus cuentas más valiosas como el flanco débil y señala que los controles son opcionales para los poderosos, lo que erosiona todo el programa.
- Cancelar el proyecto de MFA. Tirar uno de los controles de mayor impacto y menor coste por la resistencia es una falta de valentía y de deber.
- Activarlo igualmente a escondidas. Actuar a espaldas de la dirección puede ser técnicamente «seguro», pero rompe la confianza, esquiva la rendición de cuentas y estallará en cuanto lo noten — llevándose tu credibilidad con ello.
Qué está sondeando el entrevistador
Quiere ver que mantienes la línea en un control crítico mostrando a la vez empatía con los directivos, que entiendes por qué los directivos son objetivos de alto valor, y que recurres a factores resistentes al phishing en lugar de SMS o códigos de aplicación más débiles. Los mejores candidatos lo plantean como ofrecer una opción más rápida y segura — no como una pelea.
Posibles preguntas de seguimiento
- ¿Por qué se considera FIDO2/WebAuthn resistente al phishing mientras que TOTP y SMS no lo son?
- ¿Cómo construirías el argumento de negocio ante un directivo escéptico?
- ¿Qué métricas seguirías para demostrar que la MFA redujo el riesgo de robo de cuentas?