Los principales errores de ciberseguridad que están cometiendo las empresas (y cómo evitarlos)


No existe un enfoque único para la seguridad cibernética. Aprenda algunos de los errores comunes y cómo puede llegar al camino correcto.

«data-credit =» gonin, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Calavera y tibias cruzadas hechas de cubos amarillos 3D rendering

Gonin, Getty Photos / iStockphoto

La seguridad cibernética es cada vez más importante a medida que ocurren más y más ataques todo el tiempo, lo que deja a las organizaciones luchando por encontrar soluciones. ¿Cómo puede mantener a su empresa a salvo de los ataques y las pérdidas financieras resultantes?

Discutí el tema con Alex Manea, director de seguridad y privacidad de Socios georgianos, un proveedor de soluciones de software package.

VER: Cómo convertirse en un profesional de ciberseguridad: una hoja de trucos (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Qué errores están cometiendo las empresas en ciberseguridad?

Alex Manea: Una de las peores cosas que puede hacer es intentar detener cada ataque, pero ese es un mistake bastante típico.

Es elementary comprender que la ciberseguridad perfecta es un objetivo que siempre debe luchar, pero que en última instancia nunca alcanzará. Asegúrese de comprender sus limitaciones organizativas, ya sean tecnológicas, presupuestarias o incluso políticas, y trabaje para minimizar el riesgo con los recursos que se le proporcionan. Piense en la ciberseguridad como un juego de optimización económica.

Por otro lado, tampoco querrás cometer el mistake de «cerrar la puerta y dejar la ventana abierta». No dedique la mayor parte de sus recursos de ciberseguridad a abordar un área única o implementar una tecnología específica.

Cuando aborde los riesgos de seguridad, piense en términos de gravedad y probabilidad. Mientras escuchas mucho sobre ciberataques de alto perfil como Stuxnet – ataques complejos de varias capas ejecutados por piratas informáticos de élite que trabajan para entidades de estados nacionales la mayoría de las infracciones cibernéticas son mucho más mundanas. De hecho, es mucho más possible que te golpee algo como
Quiero llorar
, una pieza relativamente simple de ransomware que causó $ 4 mil millones en daños. Utilizó una vulnerabilidad de Windows conocida públicamente que Microsoft había parcheado meses antes, pero que muchas compañías aún no habían implementado.

Comienza sentándote con tu equipo y preguntándoles si tienen un modelo de amenaza holístico de extremo a extremo para tu negocio. Anímalos a pensarlo desde el punto de vista de un hacker: ¿qué les gustaría lograr y cuál es la forma más fácil de lograrlo? Una vez que haya identificado sus joyas de la corona y el camino de menor resistencia, concéntrese en agregar obstáculos económicamente eficientes a ese camino.

«Si aún no ha establecido una buena arquitectura de ciberseguridad para supervisar (la implementación de seguridad), existe una alta probabilidad de que sea violado. La mejor defensa es comenzar a pensar en la ciberseguridad lo antes posible».
Alex Manea, director de seguridad y privacidad de Georgian Associates, un proveedor de soluciones de software.

Muchas compañías también pasan por alto la necesidad de aplicar pruebas de penetración a su propio entorno para ver qué tan pirateable puede ser. Si no tiene los recursos necesarios internamente, contrate probadores de penetración profesionales. Buscan vulnerabilidades de application sin parches, prueban la configuración de su firewall, intentan instalar malware en sus puntos finales, realizan ataques de inyección SQL en sus propiedades world-wide-web y utilizan campañas de phishing dirigidas para intentar entrar en su red. Pruebe su ciberseguridad al menos una vez al año, tomando los pasos necesarios para priorizar y corregir las vulnerabilidades identificadas.

Finalmente, no patee la lata en el futuro cuando se trata de implementar seguridad en su producto o servicio. Se debe «hornear» durante todo el proceso.

Si aún no ha establecido una buena arquitectura de ciberseguridad para supervisar esto, existe una alta probabilidad de que sea violado. La mejor defensa es comenzar a pensar en ciberseguridad lo antes posible. Eso incluye redactar una política de seguridad, establecer mecanismos de respuesta a incidentes y, lo más importante, asignar responsabilidades a un empleado o equipo de empleados específico. Tenga en cuenta que si todos están a cargo de la ciberseguridad, en efecto, nadie está a cargo.

Los ciberataques se están volviendo cada vez más sofisticados con el potencial de causar un daño mayor en un mundo electronic cada vez más complejo. La buena noticia es que nunca es demasiado tarde para corregir un error.

Scott Matteson: ¿Qué están haciendo bien las empresas?

Alex Manea: Hay mucho que decir para comenzar, y muchos lo han hecho. Cuanto más tiempo posterguen las empresas la inversión en ciberseguridad, más difícil se volverá cuando se vean inevitablemente obligadas a abordar el problema. La corriente constante de violaciones de datos de alto perfil está convirtiendo rápidamente la ciberseguridad de algo agradable a algo imprescindible.

Para hacerlo usted mismo, comience por construir un modelo de amenaza. Piense como un hacker: ¿dónde comenzaría si quisiera acceder a los activos más valiosos de la empresa? Sigue el camino de menor resistencia y coloca obstáculos efectivos para que sea más difícil pisar. Nunca puedes asegurarte de que no te piratearán, pero puedes hacer que sea lo suficientemente difícil como para que la mayoría de los hackers simplemente se muevan hacia objetivos más fáciles.

Una vez que esto esté en su lugar, asegúrese de que la ciberseguridad no sea una tarea única. Mantenga la conversación activa haciendo de la ciberseguridad y los riesgos potenciales una discusión frequent a nivel de junta.

Scott Matteson: ¿Cómo deberían las empresas educar a sus empleados?

Alex Manea: La forma más efectiva de cambiar el comportamiento de sus empleados es a través de acciones, responsabilidad y cambio cultural. El mensaje más importante para transmitir es que se toma en serio la seguridad como empresa y que todos son responsables de ello. Asegúrese de que sus acciones, procesos y sistemas respalden y refuercen este mensaje La mayoría de los empleados detectan y responden rápidamente a la hipocresía percibida.

Para arraigar la seguridad en su cultura, hágalo siempre presente. Puede hacerlo incluyéndolo como un elemento de la agenda en cada reunión importante y haciendo que los empleados sean responsables de las implicaciones de seguridad de sus decisiones. Reconozca y recompense las buenas prácticas, y evalúe el pensamiento de seguridad en la estrategia comercial, cultura, contratación y promoción.

Scott Matteson: ¿Qué sistemas o procesos deberían establecer?

Alex Manea: Comience siguiendo los principios fundamentales de privilegios mínimos, descentralización y redundancia.

  • Privilegios mínimos significa nunca otorgar acceso a más recursos de los necesarios para completar la tarea. Esto es cierto para el program, pero también para los sistemas basados ​​en humanos, como la concesión de acceso físico a un edificio de oficinas fuera del horario laboral.
  • Descentralización se aplica tanto a los procesos humanos como a las arquitecturas de application. Cuando se requieren dos personas para aprobar un proceso financiero o para agregar un usuario a un sistema de software, un proceso humano se descentraliza.
  • Finalmente, use y brinde servicios que se incorporen redundancia. Esto significa que múltiples instancias de su entorno están disponibles para reducir la probabilidad de que un atacante pueda interrumpir sus servicios por completo.

Cuando las cosas inevitablemente salen mal, aprenda de cada incidente investigando y descubriendo la causa raíz. Finalmente, elabore un prepare de remediación y practique su uso para que pueda recuperarse rápidamente.

Scott Matteson: ¿Debería haber una forma de penalización por ignorar las reglas de ciberseguridad?

Alex Manea: Por mucho que los gobiernos y los reguladores puedan intentar vigilar la ciberseguridad, el juez, el jurado y el verdugo definitivos son los propios piratas informáticos. El daño a la reputación de una violación grave puede ser un duro golpe para una empresa en crecimiento y será utilizado por los competidores para poner en duda su capacidad de manejar datos confidenciales en los próximos años.

Recuerde que las decisiones de ciberseguridad tienen efectos latentes a largo plazo. La razón por la que vemos tantas violaciones de datos a gran escala hoy es por las decisiones tomadas hace cinco, 10 o incluso 20 años. Eso significa que las decisiones que tome hoy determinarán en última instancia qué tan seguro está en el futuro.

Scott Matteson: ¿Cómo deberían los departamentos de TI y seguridad tratar de automatizar la ciberseguridad?

Alex Manea: Una de las formas más efectivas de automatizar la ciberseguridad es implementar un producto SOAR (Stability Orchestration, Automation, and Response). Este nuevo segmento de mercado ha surgido en los últimos años para resolver un problema que enfrentan casi todos los Centros de Operaciones de Seguridad (SOC): Cómo lidiar con la sobrecarga de señales de diferentes soluciones de seguridad y comprender el ciclo de vida completo de los incidentes de seguridad. Una plataforma SOAR efectiva puede ayudarlo a administrar eficazmente sus operaciones de seguridad de extremo a extremo, automatizar las tareas más comunes y brindarle una visibilidad completa de su entorno.

Scott Matteson: ¿Cuál es el ROI en soluciones de ciberseguridad?

Alex Manea: La mayoría de la gente piensa en el retorno de la inversión en ciberseguridad en términos de reducir los riesgos de ataques cibernéticos y violaciones de datos a gran escala, pero eso es solo la punta del iceberg. El verdadero ROI proviene de construir una marca fuerte y confiable con sus clientes, dándole una ventaja competitiva medible y mejorando la adquisición y retención de clientes.

La ciberseguridad es solo una pieza del rompecabezas de la confianza. Comience por tener una responsabilidad adecuada en su organización, cree una arquitectura de ciberseguridad sólida, proteja la privacidad del cliente, garantice prácticas comerciales justas, cree un sistema confiable y sea lo más transparente posible. En Georgian Partners, creemos que las empresas que se diferencian en confianza superarán a sus competidores a largo plazo, y ponemos nuestro dinero detrás de esta tesis elementary.

Ver también





Enlace a la noticia primary