8 trampas que obstaculizan el éxito de su programa de seguridad

08:07 13/09/2021 | 1 Lượt xem

Algunas de las mayores violaciones se reducen a pequeños errores.

Los piratas informáticos utilizaron una contraseña comprometida para acceder a la red de la empresa a través de una red privada virtual en el ataque Colonial Pipeline de mayo de 2021. Una vulnerabilidad ampliamente conocida que aún no había sido parcheada fue el punto de entrada para el ataque Equifax de 2017. Y comenzó una estafa de bitcoin en Twitter. con ataques de spear phishing contra empleados de Twitter.

Por supuesto, no existe un programa de seguridad perfecto, pero estos eventos muestran que los equipos de ciberseguridad no pueden permitirse ignorar nada.

Aquí, los líderes de seguridad advierten sobre ocho trampas fáciles de ignorar que pueden socavar una estrategia de seguridad exitosa:

Hablar de riesgo de seguridad en lugar de riesgo comercial

La ciberseguridad se ha convertido en un tema de preocupación a nivel de la junta, pero con demasiada frecuencia los CISO, así como sus colegas de alto nivel, continúan posicionando la seguridad como un problema tecnológico en lugar de un riesgo comercial, dice Niel Harper, CISO de la Oficina de las Naciones Unidas. for Project Services (UNOPS) y miembro de la junta de la asociación de gobierno de TI ISACA.

Esto puede parecer pura semántica, pero Harper dice que hay consecuencias negativas cuando los líderes empresariales ven la ciberseguridad de manera tan limitada.

“Cuando no ven la seguridad de la información como un riesgo comercial, cuando simplemente la ven como un riesgo tecnológico, no ven cómo está completamente integrada en todos los aspectos del negocio”, explica. “Como resultado, los CISO no tienen un asiento completo en la mesa; no informan a un ejecutivo, sino que informan dos o tres niveles hacia abajo. Y no contribuyen a la estrategia a nivel ejecutivo. “

Harper dice que ha visto a los CISO cambiar esa situación al establecer relaciones con las partes interesadas; se involucran con ellos para comprender sus riesgos y sus objetivos, y luego les muestran cómo los planes de seguridad abordan estos dos puntos.

Exagerar el cumplimiento

La organización típica debe cumplir con varios estándares industriales, regulatorios y legales para poder hacer negocios. Los más conocidos incluyen el Estándar de seguridad de datos de la industria de tarjetas de pago, o PCI DSS, para organizaciones que procesan tarjetas de crédito; la Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU., o HIPAA, para cualquier persona que maneje registros médicos; y el Reglamento general de protección de datos de la Unión Europea (GDPR). También existen estándares y marcos específicos de seguridad, como ISO / IEC 27001.

Los CISO no pueden ignorar los estándares de cumplimiento que deben cumplir, pero ni ellos ni sus colegas ejecutivos deben asumir que cumplir con los estándares requeridos confirma que están seguros y protegidos, dice Harper.

“El cumplimiento presenta una falsa sensación de seguridad”, agrega. “De hecho, las infracciones van en aumento a pesar del cumplimiento del cumplimiento en muchas organizaciones”.

Harper no descarta la importancia de los estándares de cumplimiento, pero dice que los CISO siempre deben recordar, y hacer comprender a otros ejecutivos, que tales requisitos no son dinámicos y, por lo tanto, no pueden abordar las amenazas emergentes o medir con precisión la preparación de una organización según sus circunstancias. (es decir, personas, tecnología, riesgos) cambian con el tiempo.

“Son un ejercicio de marcar la casilla y no dan a las empresas una imagen real de dónde están sus riesgos y exposiciones”, dice.

No moverse rápido (lo suficiente)

Las empresas están acelerando sus transformaciones digitales con cambios a la nube, desarrollo de software más ágil y respuestas más rápidas a los requisitos de los clientes. No todos los CISO siguen el ritmo, y esto ha provocado lagunas en la postura de seguridad general de la empresa, según varios consultores de seguridad.

Los equipos corporativos expresan preocupaciones similares. Tomemos, por ejemplo, los hallazgos del último GitLab Búsqueda global de DevSecOps, lanzado en mayo de 2021. Aproximadamente el 84% de los 4300 desarrolladores que respondieron dijeron que están lanzando código más rápido que nunca, pero casi la mitad (42%) dijo que las pruebas de seguridad se realizan demasiado tarde en el proceso y aproximadamente el mismo porcentaje dice que es difícil identificar y resolver vulnerabilidades. Además, el 37% dijo que rastrear el estado de las correcciones de errores era un desafío y al 33% le resultó difícil priorizar la corrección.

“La seguridad debe ser más ágil y los CISO deben pensar de manera fundamentalmente diferente sobre cómo abordan la ciberseguridad”, dijo Tony Velleca, CISO de UST y CEO de CyberProof, una empresa de UST.

Varios CISO parecen estar recibiendo este mensaje. El informe de GitLab encontró que el 70% de los equipos cambiaron las consideraciones de seguridad al principio del desarrollo, luego del impulso para “desplazarse hacia la izquierda”. Esto representa un ligero aumento con respecto al año anterior, cuando el 65% dijo que incorporaron la seguridad al principio del proceso.

Siempre enfocándonos en lo urgente

Una de las mayores amenazas para un programa de seguridad exitoso es verse atrapado en la “tiranía de lo urgente”, dice Andrew Morrison, director de Deloitte y líder de la Estrategia, Defensa y Respuesta de Servicios de Riesgo Cibernético de la compañía.

Él dice que los CISO y sus equipos pueden estar tan ocupados tratando con las necesidades más inmediatas que enfrentan, incluso si son problemas de bajo nivel, que no tienen la capacidad para cumplir con las prioridades estratégicas; pasan sus días persiguiendo esos problemas menores que surgen en lugar de fortalecer la seguridad de los elementos más críticos de la organización.

“Es entonces cuando la seguridad deja de ser un programa y se convierte en una reacción táctica a lo que está sucediendo. Lo urgente reemplaza a lo importante ”, agrega Morrison.

Si bien es un desafío liberar a un equipo de seguridad de tal escenario, Morrison dice que los CISO pueden hacerlo identificando los mayores riesgos y enfocándose en neutralizarlos, alineando así el trabajo de seguridad con las prioridades de la empresa. Esto, a su vez, les permitirá a ellos y a sus equipos volverse menos reactivos y más estratégicos en la forma en que tratan los problemas que surgen. “Ellos son entonces administrar eventos, no solo reaccionar ante ellos ”, dice Morrison.

Centrarse demasiado en herramientas y tecnologías en lugar de en las partes interesadas y sus necesidades

En una nota similar, Jinan Budge, analista principal de Forrester, dice que no priorizar la participación de las partes interesadas puede impedir la implementación de un programa de seguridad sólido.

“Sin eso, los CISO no saben qué priorizar o cómo conseguir la aceptación”, explica. Los CISO que no dan prioridad a la participación de las partes interesadas también tienen más probabilidades de enfrentarse a la resistencia de sus colegas ejecutivos y posiblemente incluso vean interrumpidos los fondos para sus proyectos. “Los CISO pueden mirar sus estrategias y pensar que lo han hecho todo”, dice, pero no tendrán una imagen completa de los riesgos empresariales a menos que trabajen con las partes interesadas para co-crear y co-diseñar estrategias de ciberseguridad juntos. .con estrategias comerciales.

Mantener la seguridad dentro del departamento de seguridad.

Crear un gran equipo de seguridad pero no crear una cultura impulsada por la seguridad en toda la empresa es una forma segura de socavar el éxito, dicen los expertos con los que hablamos.

Las estadísticas lo confirman. Verizon’s Informe de investigaciones de filtración de datos de 2021 encontró que el 85% de las violaciones en 2020 involucraron un elemento humano.

Como dijo Om Moolchandani, CISO y jefe de investigación de la empresa de tecnología en la nube Accurics: “Un clic en el enlace equivocado puede socavar toda la agenda del CISO”.

Los CISO deben desarrollar programas efectivos de capacitación y concientización sobre seguridad con el objetivo de ayudar a todos los empleados a comprender que tienen un papel que desempeñar en la seguridad.

“La cultura es importante porque es un multiplicador de fuerza para CISO y su organización”, dice Morrison. “Hoy en día, casi todos los ataques se llevan a cabo a través de una credencial comprometida o alguna violación de la confianza personal: ingeniería social, phishing, obtención de una contraseña. Por lo tanto, la seguridad efectiva debe incluir la sensibilización de todos los destinatarios. [of those risks]; tiene que incluir hacer de la seguridad un trabajo de todos ”.

Evitando a sus propios trabajadores de seguridad

Del mismo modo, los CISO que descuidan a sus equipos y la cultura de su departamento de seguridad encontrarán rápidamente que el programa de seguridad sufre, dicen los líderes de seguridad veteranos.

“La gente a menudo piensa que la toxicidad del equipo o el mal funcionamiento del equipo afecta al individuo, pero también afecta la postura y el riesgo de ciberseguridad”, dice Budge, cuya investigación se centra en permitir el éxito del rol de CISO; crear estrategias de ciberseguridad transformadoras; y desarrollar programas de conciencia cultural, de comportamiento y de seguridad.

Ella agrega: “Si su equipo está ocupado luchando, si están llamando a RR.HH., no están innovando, no están automatizando, no están pensando en el panorama general o la estrategia. Y todo esto conduce a un equipo de seguridad que no funciona. “

Los trabajadores insatisfechos también tienen más probabilidades de irse. Es probable que esto deje a los CISO no solo con poco personal, sino que enfrente aún más dificultades para conseguir nuevos expertos en seguridad difíciles de conseguir. Después de todo, ¿qué trabajador de seguridad querría unirse a un equipo descontento cuando hay tantas oportunidades laborales?

También afecta negativamente a la organización en su conjunto, dice. “Esto aumenta aún más la impresión negativa de seguridad. [Other employees will think] ‘No podemos hablar con ellos, ni siquiera pueden hablarse entre ellos’ ”.

Si los CISO se encuentran presidiendo una cultura tóxica, necesitan reunir sus habilidades de liderazgo para implementar las estrategias de gestión y lugar de trabajo, como programas de formación de equipos y programas de capacitación, que pueden poner a sus departamentos en un mejor camino, dice. Presupuesto.

Enamorarse de cosas nuevas

Los CISO pueden elegir entre un número creciente de tecnologías y procesos emergentes, como detección y respuesta extendidas (XDR), análisis de comportamiento, búsqueda de amenazas y el modelo de confianza cero. Pero estas opciones avanzadas no ofrecerán ganancias de seguridad reales si los CISO no están ejecutando perfectamente los elementos más básicos de un programa de seguridad sólido y no los adaptan a las necesidades específicas de su propia organización.

“Lo que hemos visto recientemente al hacer análisis de infracciones, son lagunas técnicas o lagunas de seguridad que los adversarios se han aprovechado”, dice Moolchandani.

Para ser verdaderamente eficaces, dice que las organizaciones necesitan programas de seguridad adaptados a riesgos específicos y las fuentes más probables de amenazas. Por ejemplo, es más probable que una empresa de servicios públicos sea atacada por hacktivistas y actores del estado-nación que un pequeño minorista, aunque ambos son vulnerables a los ataques de oportunidad. Los CISO que comprenden estos puntos adaptan las estrategias de seguridad a los requisitos específicos de la organización. Y centrarse en mejorar los fundamentos de la ciberseguridad puede, en palabras de Moolchandani, “proporcionar el máximo valor, incluso con los presupuestos limitados que tienen”.

Copyright © 2021 IDG Communications, Inc.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang