Cómo las métricas de miseria de la ciberseguridad no logran …


Los dólares perdidos y los registros de datos expuestos son medidas valiosas, pero el verdadero dolor de un incidente de ciberseguridad va mucho más allá de eso. Le preguntamos a los profesionales de infosec cómo expresan el dolor que sienten cuando sus defensas se desmoronan.

(imagen de Julia, a través de Adobe Stock)

(imagen por Julia, a través de Adobe Inventory)

Haruki Murakami tenía corriendo en su mente cuando el escribio, «El dolor es unavoidable, el sufrimiento es opcional.» Para muchos en ciberseguridad, la inevitabilidad de los problemas de seguridad dolorosos es seguida por el sufrimiento de encontrar el lenguaje correcto para describir completamente las consecuencias. La pregunta es si hay formas precisas de hablar sobre problemas de seguridad sin restringir el lenguaje a «dólares perdidos» y «registros expuestos».

Cuando se pregunta a los expertos en ciberseguridad si los dólares y los registros son suficientes para pintar una imagen completa del dolor que inflige una violación o un ataque cibernético, la mayoría dice «no». Sin embargo, presentar un conjunto consistente de alternativas es un desafío.

«Esta es una pregunta difícil porque la miseria se presenta de muchas formas durante una violación», dice Bob Maley, jefe de seguridad de NormShield. Además, pregunta: «¿Cómo cuantificas la miseria?»

Algunas de las formas más comunes que usan los ejecutivos para tratar de cuantificar su miseria pueden ser engañosas, dice Joseph Carson, arquitecto jefe de seguridad de Thycotic. «Cada vez que hay una nueva violación de datos, tendemos a centrarnos en el contexto incorrecto. A veces, la cantidad de registros es irrelevante», sostiene, explicando, «No todas las violaciones de datos son iguales».

Heridas ocultas

Un ejemplo de un incidente de ciberseguridad que es grave pero difícil de medir con estas dos métricas estándar es una violación de credenciales en un servicio de citas en línea.

Ameya Talwalkar, cofundadora y directora de producto en Cequence, señala que estas credenciales podrían usarse para lanzar estafas románticas contra los clientes del sitio. Los clientes, que para empezar pueden ser algo emocionalmente frágiles, encuentran a alguien, entablan una «relación» y luego se les rompe la confianza cuando el nuevo contacto pide dinero, lo recibe y luego desaparece.

«Hay un importante costo emocional no medido y no hablado allí», dice Talwalkar, seguido de la renuencia de la víctima a seguir usando el sitio. Es imposible medir el complete agregado de lo que podría haber sido si no fuera por una violación significativa de credenciales, dice, pero aún es críticamente importante tener en cuenta tales efectos.

Sin registros perdidos no significa sin costo

El caso contra el uso del número de registros comprometidos como una de las únicas métricas para un evento de ciberseguridad se fortalece cuando el evento no involucra ningún registro.

Mary Galligan, directora gerente de servicios de riesgo cibernético de Deloitte & Touche, dice que los ataques contra sistemas operativos también causan dolor. «Una interrupción en el servicio o la pérdida del servicio significa que habría otras métricas que serían importantes», dice ella.

Galligan continúa: «Tendría que tener en cuenta el costo de si habrá un aumento en las primas de mi seguro. ¿Habrá una pérdida de las relaciones con los clientes? ¿Se perderán los ingresos del contrato? ¿Es mi empresa nombre va a tener menos valor en el mercado? «

Otro ejemplo: Talwalker describió una pequeña organización bancaria cuyo portal de pacientes con acceso a la website fue golpeado por un enjambre de bots empeñado en el relleno de credenciales. El problema no period que los ataques fueran exitosos, sino que había muchos de ellos.

Talwalker dice que el banco había dimensionado su infraestructura de entrega de aplicaciones para manejar cómodamente un millón de inicios de sesión por día, una tasa que parecía prudente dada la base de clientes de la compañía. Sin embargo, los bots comenzaron a llegar al servidor con más de 40 millones de intentos de inicio de sesión por día.

El resultado, dice, es que «su aplicación deja de estar disponible, lo que significa que sus clientes reales no pueden hacer negocios con la aplicación». Y si los ejecutivos entran en pánico y solicitan una infraestructura dimensionada para manejar los 40 millones de intentos diarios, significa que han dimensionado el sistema unas 40 veces más de lo que debería ser requerido, y han pagado un alto precio por hacerlo.

Marcos útiles

Galligan dice que poder responder a estas preguntas difíciles de cuantificar es especialmente importante para las empresas que viven dentro de dominios regulatorios rigurosos.

«Si está en servicios financieros, es la Fed o la FDIC que dice, oye, necesitamos tener definiciones estándar del riesgo cibernético». Otras industrias reguladas, como la salud, tienen preocupaciones similares con diferentes reguladores.

Galligan dice que sus reuniones le muestran que las juntas ejecutivas de compañías grandes y pequeñas están desesperadas por encontrar formas de hablar sobre el dolor de la ciberseguridad, con o sin métricas. Ella señala un marco de seguridad cibernética existente que puede ayudar con la conversación.

«La mayoría de las empresas e instituciones están hablando de ello en el contexto del marco NIST», dice Galligan. los Marco de Ciberseguridad NIST es obligatorio para la mayoría de los departamentos y agencias del gobierno federal, y completamente opcional para las entidades privadas. Además de las secciones prescriptivas sobre cómo proteger varios activos y partes de la infraestructura, el Marco NIST tiene etiquetas y métricas estándar que se pueden usar en la planificación, autopsias y discusiones con socios sobre seguridad cibernética.

Maley se refiere al trabajo de la Marco de riesgo cibernético justo como uno que puede ayudar a las organizaciones a descubrir las métricas adecuadas y las formas más poderosas de discutirlas. El marco Honest (Variable Examination of Information and facts Danger) ha sido adoptado por miles de organizaciones desde Fortune 500 hasta pequeñas empresas que quizás ni siquiera tengan un equipo dedicado de seguridad cibernética.

Independientemente del tamaño o la naturaleza del negocio, Gallager dice que cada junta y equipo de TI tienen algo en común: «Vas a tener que tomar estas decisiones comerciales con información incompleta o, a veces, inexacta». La gran velocidad de los incidentes de ciberseguridad los diferencia de cualquier otra amenaza constante que las empresas hayan enfrentado.

El resultado, dice, es: «… algo que no se puede cuantificar, y no sé si alguna vez se podrá cuantificar: el estrés, la presión y la larga cola del ciber incumplimiento por el que pasan estos ejecutivos «.

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Darkish Looking at. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y movie para Dark Looking at y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más tips





Enlace a la noticia original