Lo sentimos su navegador no puede visualizar Marsh.com

Para una mejor experiencia le sugerimos actualizar su navegador:

X

INVESTIGACIÓN Y BOLETINES

Cinco lecciones sobre sobrevivencia de seguridad cibernética

 


The CyberAvengers*/BrinkNews

En medio de las recientes y devastadoras noticias sobre seguridad cibernética de la firma Equifax en Estados Unidos, no podemos evitar pensar: ¿Qué sigue?

Seamos francos: El status quo no está funcionando. Las defensas tradicionales del perímetro se están convirtiendo en tamices. Las políticas y prácticas de contraseñas son débiles. Sobre-privilegiar es una herida provocada por uno mismo. Y el parche oportuno de las vulnerabilidades críticas sigue siendo un problema importante a pesar de meses de discusión y miles de palabras escritas sobre el tema.

Entonces, ¿qué funcionará? Volver a algunos de los conceptos básicos sería un buen comienzo. Aprovechar algunas tecnologías actuales y de próxima generación sería otro buen paso. Lo que sigue son algunas de estas sugerencias, sin orden particular.

1. Inteligencia Artificial, Aprendizaje Automático y Computación Cognitiva.

Aclaración: Estas herramientas no pueden ser el único enfoque de una empresa. Se necesita trabajar en colaboración con todo lo demás, así que no vaya a gastar un dineral en comprar alguna versión junior de Watson. Aparte de la evidente brecha de oferta de los trabajadores calificados de la seguridad cibernética, estas herramientas pueden ser optimizadas para tamizar las enormes cantidades de grandes datos generados hoy. Los datos están en todas partes y lo es todo. Los correos electrónicos, las transacciones, las redes sociales, incluso las llamadas telefónicas que se han desplazado del cobre y las celdas y en los sistemas de voz sobre protocolo de Internet (sí, a veces la llamada telefónica que está haciendo es una llamada de datos y ni siquiera se dan cuenta).

La ventaja que ofrecen estas herramientas de aprendizaje es que no dependen de tecnologías basadas en firmas que puedan bloquear el malware conocido. Eso significa que no tienes que esperar a tener una foto del malo para empezar a actuar; al contrario, usted busca el mal comportamiento, sin importar de dónde viene. Esta técnica se denomina a veces "análisis basado en el usuario" o UBA )por sus siglas en inglés). Estas herramientas de aprendizaje también pueden asimilar grandes cantidades de inteligencia de amenazas cibernéticas para ayudar a orientar a operadores y analistas que de otro modo se verían abrumados por el gran volumen de alertas (algunas grandes organizaciones están experimentando un millón de alertas de seguridad cibernética por día). Actualmente, el 93% de la mayoría de las organizaciones no pueden clasificar todas las amenazas relevantes, y una cuarta parte de todas las alertas no se investigan suficientemente debido al volumen.

Recuerde, estas son sólo herramientas, no muletas, y los seres humanos todavía se necesitan en el timón.

2. El Instituto Nacional de Estándares y Marco de Tecnología de Seguridad Cibernética (NIST).

Cuando el NIST anunció el CSF en 2014 en Estados Unidos, éste fue diseñado para ser aplicable tanto al gobierno federal como a 16 áreas de infraestructura crítica (incluyendo instituciones financieras, transporte y atención médica). Hoy en día, el CSF se ha hecho obligatorio para el gobierno federal estadounidense, junto con los proveedores asociados.

La belleza de la CSF es que está diseñado para ser un documento  con un lenguaje llano para que pueda ser utilizado por las empresas no-tecnológicas para discutir y mejorar la organización de la postura de seguridad cibernética. Ustedes han oído decir repetidamente: "La seguridad cibernética no es solamente un problema de IT". No lo es. Y si encuentras a aquellos que continúan promoviendo esa visión, debes cuestionar realmente su motivación o comprensión de la cuestión.

Si el CSF es supuestamente tan fácil de usar, ¿cuál es el problema? No hay ninguno. Es sólo cuestión de usarlo. A diferencia del Reglamento General de Protección de Datos de la Unión Europea (GDPR), el CSF no es obligatorio. Es más una pieza de guía, pero tiene el beneficio de tener "tiempo en acción" como dicen. Ha habido adopción o incorporación al lado de otras piezas regulatorias y legislativas (HIPAA, el Consejo de Examen de Instituciones Financieras Federales, la Oficina del Contralor de la Moneda, el Departamento de Hacienda de EE.UU. y la Comisión de Valores de Estados Unidos, por ejemplo).

La principal diferencia entre el CSF y el GDPR es que muchas organizaciones no tendrán más remedio que cumplir con el GDPR si desean seguir haciendo negocios en la UE. Para las empresas que han estado utilizando el CSF, están por delante del juego porque el GDPR incorpora sustancialmente muchas de las ideas ya esbozadas en el CSF. Por lo tanto, en cierto sentido, los que ya están utilizando CSF están satisfaciendo múltiples reguladores y múltiples propósitos, lo cual es un beneficio real para las empresas multinacionales.

3. "Higiene cibernética".

Creemos que es seguro decir que la "higiene cibernética" ha alcanzado oficialmente el estado de “frase de moda” en 2017, y por buenas razones. La buena higiene cibernética debe ser la columna vertebral de todo lo que una empresa hace, las cosas simples, el ABC, tales como:

  • Actualizaciones oportunas y parches. Parche regularmente y parche frecuentemente.
  • Entrenamiento del empleado y progreso de la sensibilización. No se trata de hacer pruebas de elección múltiple en línea una vez, las cuales se olvidaron en el mismo momento que se completaron. Tiene que ser un ejercicio continuo y tiene que tocar a todo el mundo, incluyendo directores, oficiales y todos los empleados (que incluye personal de IT). Sí, esto puede sonar como un impuesto sobre las operaciones comerciales, pero 30 minutos al mes en algún entrenamiento regular puede ser mucho más barato que perder 143 millones de registros...
  • Buena identidad y principios de gestión de acceso, incluyendo la autenticación multifactor y el acceso menos privilegiado.

Prácticamente cada incumplimiento de este año se puede atribuir a una falla de uno de esos principios básicos.

4. Planificación de la respuesta a incidentes (y práctica).

Si una empresa tiene un plan pero no lo ha probado, no es un plan, es un documento. Es así de simple. Lo mismo ocurre con la continuidad del negocio y la comunicación de crisis. ¿Cuál es el punto de gastar decenas, si no cientos, de miles de dólares para crear un plan de respuesta a incidentes si no hay la menor idea de cómo usarlo? Prueba contra un ataque controlado (Equipo Rojo vs. Equipo Azul).

Cuesta mucho dinero remediar los ataques. Piensa en lo que tienes que tratar: forense, notificación, expertos externos. Y eso no incluye los posibles costos de investigación, litigios y liquidación, ni los posibles costos intangibles. Claro, usted puede ver el impacto en su capitalización de mercado, pero ¿qué pasa con el costo reputacional?

5. Respaldo de datos.

Sin duda, uno de los errores más comunes que las organizaciones tienen es no contar con suficiente respaldo de seguridad de sus datos. Justo cuando se necesita una copia de seguridad más que nunca (como durante un ataque de ransomware) no habrá una. Los procedimientos de copia de seguridad adecuados cuestan poco, pero pueden ahorrar mucho, y no hay nada malo en tener copias de seguridad de copias de seguridad. Las copias de seguridad generacionales o incrementales son herramientas útiles. Asegúrese de que funcionan las copias de seguridad. Antes de poner esa copia de seguridad en la estantería, pruébela. Usted no necesita el estrés adicional durante una crisis de saber que su copia de seguridad no funciona.

La seguridad cibernética no es fácil ni intuitiva, pues las amenazas cibernéticas y los ataques están cambiando constantemente. Lo básico descrito anteriormente realmente importa y puede ayudar a los ejecutivos de una empresa a dormir mejor por la noche.

* Los CyberAvengers son un "grupo de profesionales experimentados que han decidido trabajar juntos para ayudar a mantener esta nación y sus datos seguros y asegurada". El grupo incluye el columnista de seguridad cibernética de BRINK como Chuck Brooks, Paul Ferrillo, Kenneth Holley, George Platsis, George Thomas, Shawn Tuma y Christophe Veltsos.

Haga clic aquí para más noticias de BrinkNews (contenido en inglés)