Asegurando a los no asegurados: estado de ciberseguridad 2019 – Parte I


Recientemente el Straight Chat Insights El equipo de HCL Systems invitó a un panel social a discutir una cuestión crítica en el centro de las transiciones digitales de hoy: ¿Cómo las empresas apuntan a las inversiones y cambian la cultura para evitar ser la próxima víctima de un ciberataque?

Junto con algunos líderes y estrategas tecnológicos fantásticos de HCL, Oracle, Make clear360, Duo Safety y TCDI, exploramos los desafíos del equipo de seguridad hiperconectado y extendido de hoy.

Hoy, las empresas operan en un mundo donde en los últimos años, más del 85% de los líderes empresariales encuestados por Dell y Dimensional Research dicen que creen que los equipos de seguridad pueden habilitar mejor las iniciativas de transformación electronic si se incluyen temprano. Además, el 90% dice que pueden habilitar mejor el negocio si se les dan más recursos. ¡Sin embargo, la mayoría de estos mismos líderes afirman que la seguridad está llegando demasiado tarde para permitir las iniciativas de transformación digital! Estas tendencias de transformación electronic (nube, datos, análisis, dispositivos) son críticas para la próxima generación de experiencias de clientes y empleados, y para la clara mayoría de las empresas, ¡la transición de las cadenas de valor ya está en progreso!

Recopilamos las tips del curso de la discusión …

P1: ¿Cuáles son algunas de las tendencias de seguridad de TI para 2019? ¿Existen desafíos particulares de ciberseguridad relacionados con las tendencias digitales?

Lo digital no es una tendencia, son muchas. Además, no podemos dejar de administrar el negocio hoy. Esto obliga a una división de la inversión en habilidades que está disponible para las empresas, de la cual los MSSP y los integradores de sistemas pueden cubrir parte. El mayor desafío es la extensión de seguridad de la información en un mundo de nubes múltiples. Toda empresa grande es multi-nube e híbrida. Sin embargo, pocos equipos de operaciones de seguridad están preparados para eso.

Parte de la resolución de ese desafío es traer formas incipientes de identificar anomalías y ganar escala, por ejemplo, a través de la tecnología de la teoría de gráficos, crítica para encontrar los pequeños rastros que representan la capacidad defensiva. El aprendizaje automático estará pronto en la pila de tecnología de seguridad de la información. Este cambio debe suceder, ya que el desafío es más que nuevos entornos. Los volúmenes de registro en la nube son materiales, y usted paga por ellos, por cierto, los formatos son diferentes, las colecciones son diferentes y la visibilidad está fragmentada.

Lo más difícil aquí es que los equipos de seguridad de la información deben ajustarse a TODO esto en UNA VEZ. Genial, tienes AWS Cloud Trail. Permítame hacerle una pregunta: ¿Cuál de su pila de seguridad puede ver que Y está sintonizado para Y Y puede unificar el riesgo identificado allí con visibilidad derivada in situ? Y si puede responder eso de manera positiva, ¿qué pasa cuando le pregunto lo mismo a Azure? ¿Estás comenzando a pensar en el cambio a la resiliencia, o todavía estás pensando exclusivamente en la defensa y el control?

Sin embargo, pregunto, ya que su equipo está invirtiendo en la nube, ¿están invirtiendo en la comprensión y la disposición para proteger la ciencia de datos? ¿Está preparando el ciclo del proyecto para que su equipo de seguridad sea ahora también iterativo e incluso brinde estos servicios? La gestión de identidad y acceso es parte de la solución como base elementary. La gobernanza y la estrategia eficaces pueden ayudarlo a descubrir qué plataformas tienen datos relevantes para la seguridad. Si bien es fácil decir «ver y guardar todo», descubres rápidamente lo caro que es y cuánta basura hay allí. En ese punto, puede comenzar a pensar en la automatización.

Centrarse en el almacenamiento de datos y los datos en movimiento nos ha llevado a considerar una mayor confianza cero para reducir la complejidad de la seguridad intersticial. Para darse cuenta de esa visión, la tokenización e indexación y muchas otras tecnologías deben continuar expandiéndose. Nos enfrentamos a una extraña dualidad entre la confidencialidad y la accesibilidad de hacer que los datos sean útiles en la experiencia digital de los empleados y la experiencia del cliente.

Se trata de algo más que agregar automatización para conquistar la complejidad. La automatización debe tener inteligencia y debe funcionar de una manera que sea más que «Compré tecnología con palabras de moda». Muchas plataformas y productos dicen que hacen estas cosas, pero a medida que compra e implementa, debe centrarse en cómo, y lo difícil que es construirlos y vincularlos. Además, ¿cómo vas a mantenerlos? Tenga cuidado mientras nos adaptamos para mantener el ritmo de la transformación electronic de que no estamos intercambiando un problema por otro.

Finalmente, quisiera señalar que en todos los niveles de la organización de seguridad de la información, no solo en el CISO, las personas deben tener un sentido de propósito. ¿Qué valor agrega como profesional de seguridad a la experiencia del cliente? ¿Por qué existes? Debemos recordar eso, ya que los viajes de los clientes son la forma en que se muestra la transformación digital. Tenemos que pensar de principio a fin.

P2: ¿Qué pueden hacer las empresas para protegerse contra las vulnerabilidades creadas por los dispositivos IoT?

Comience con la adquisición. Mire, me encantaría decirle que la seguridad de IoT es un problema de application, pero eso es solo una parte. Realmente comienza con la compra de tecnología que está bien diseñada, y tanto el cliente como el proveedor principal deben aplicar el Ciclo de vida de desarrollo seguro (SDLC) internamente.

Hasta cierto punto, necesitamos ver IoT como completamente no confiable. Google BeyondCorp es un buen objetivo para la visión de alto nivel de toda una organización de cero confianza. La introspección de datos y los comportamientos del dispositivo deben tener una alta inspección en lugar de suposiciones de rendimiento. Tenemos la ventaja de que ahora vivimos en una sociedad llena de herramientas donde la realidad es que la sobrecarga de cifrado es casi insignificante con las mejoras basadas en RISC a los activos de nivel de interfaz de purple. La organización puede pensar de manera diferente sobre la protección de datos en ese tipo de mundo con un costo de encriptación (relativamente) barato para la latencia y el rendimiento.

Cuando pienso en la seguridad de IoT, continúo volviendo a un ejemplo que realmente me impresionó hace un par de años: si el equipo de IKEA puede vender una barra de luces de IoT a bajo precio que tiene una aleatorización básica, servicios bloqueados y una plataforma mínima construir … Tengo que pensar que ciertamente podemos mejorar en tecnología de la salud, sistemas de control industrial y tecnologías de fabricación.

Cuando se trata de gobernanza, IoT tiene el potencial de convertir los problemas de gestión de activos en «11» en la escala de preocupación de 10 puntos. ¿Cómo determine un dispositivo autorizado? ¿Autorizar un dispositivo no confiable para enviar datos al sistema? ¿Qué reconoces como dispositivo administrado? ¿Cómo tomará su organización decisiones de acceso condicional para usar, agregar y modificar datos? La «arquitectura empresarial» (EA) debe ser parte del plan para una gobernanza efectiva. De alguna manera, como industria, EA se vio arrastrado por el auge y la caída de modelos analíticos específicos de arquitectura que no demuestran casos de valor en muchas organizaciones. En el mundo electronic iterativo de hoy en día, la arquitectura y la simplicidad deben ser parte del producto mínimo practical del proyecto IoT para obtener la escala necesaria más adelante.

No podemos administrar IoT como las computadoras portátiles: estos dispositivos tienen menos capacidades. En cambio, necesitamos enfoques más afirmativos que integren los componentes del ecosistema de una manera predecible y definida, como una nube confiable. La expectativa predeterminada para un dispositivo destinado a ser utilizado en un entorno de administración reducido debe tener un cifrado pesado, una validación PKI y una ejecución bloqueada controlada por la aplicación integrada de inmediato.

Cuando das un paso atrás y miras el problema como social en lugar del microcosmos del producto o implementación de una compañía específica, la política pública debe entrar en la intersección de la ley y los dispositivos a escala. Tenemos que resolver preguntas difíciles como el papel de la responsabilidad y los incentivos comerciales para construir e implementar plataformas de dispositivos de manera responsable. Como un ejemplo, cuando las decisiones de IoT dirigidas por el aprendizaje automático crean una catástrofe, ¿quién es responsable? La empresa propietaria? El vendedor de software? El integrador del sistema? ¿Todo lo anterior? En espacios críticos como los servicios públicos y el cuidado de la salud, necesitamos centrarnos en cumplir algún nivel de criterio para que los dispositivos tengan una seguridad mínima razonable.

Incluso a esta escala, este también podría ser un gran lugar para la teoría de gráficos y los enfoques dirigidos por el aprendizaje automático para asegurar los desafíos de dispositivos a nivel social como las elecciones. Se expresa fácilmente como matemática: se identifica fácilmente para loci y desviaciones de línea de foundation. Sin embargo, necesitamos inversiones de fuentes gubernamentales o no tradicionales, ya que el gobierno estatal / local y los sectores de educación tienen ciclos de compra muy largos, y el presupuesto disponible para este problema aún no ha justificado los costos extendidos de I + D de este tipo de cambios tecnológicos. .

Aun cuando estos cambios en las políticas públicas están surgiendo, la mayor propensión de la ley de privacidad localizada ha creado obstáculos operativos para las empresas. Como microcosmos, la introducción de salvaguardas de privacidad en la ley de localización de datos de la India representa muchos intereses diferentes que intentan equilibrarse en un enfoque. Esto ha creado un costo más alto para las multinacionales externas, ya que crean almacenamiento duplicado e incluso ha frenado la transformación electronic y ha creado un obstáculo para el crecimiento de los motores económicos de consultoría y externalización de procesos comerciales basados ​​en India. Podría hacer el mismo análisis para CCPA o GDPR, pero estas mismas medidas han ayudado a la privacidad, potencialmente, para los ciudadanos.

Para ayudar a las empresas a superar estos desafíos, estamos viendo organizaciones como ENISA y la Autoridad de Seguridad de NCSC brindando asesoramiento. Esto lleva a la definición de un estado de práctica razonable. Cuando agregamos ese tipo de dimensión práctica a los estándares ISO como la serie 27000, y los Top rated 20 del Centro de Seguridad de World wide web, y otros, ayudamos a las organizaciones a navegar en lo que parecen los conceptos básicos para la aplicabilidad práctica de seguridad en IoT y seguridad en normal.

En la Parte II de esta serie, exploraremos la amenaza del criptocrimen, la naturaleza de las amenazas de ciberseguridad en el futuro cercano y los pasos que las pequeñas y medianas empresas pueden tomar para protegerse.





Enlace a la noticia authentic