Cómo conduce la seguridad en Starbucks y Microsoft …



Los ejecutivos discuten los incidentes de seguridad que más les preocupan y los pasos que toman para prepararse para ellos.

En el panorama de amenazas cada vez más concurrido de hoy, puede ser difícil determinar qué amenazas deben priorizar las empresas. Para aquellos que están estancados, es útil considerar las principales organizaciones preocupadas y los pasos que están tomando para combatir ese tipo de ataques.

Esta fue la premisa detrás de «Preparación y respuesta a una violación», un panel que tuvo lugar en la Conferencia RSA de la semana pasada en San Francisco. Los líderes de seguridad de Starbucks, Microsoft, WhiteHat Security y SecurityScorecard discutieron las lecciones que aprendieron de las numerosas infracciones que tuvieron lugar en 2019 y cómo planean aprender de estos incidentes para defenderse de las amenazas del futuro.

El año pasado trajo 5.283 infracciones de seguridad, dijo el moderador John Yeoh, jefe de investigación de la Alianza de Seguridad de la Nube, iniciando el panel. Las organizaciones colectivamente perdieron 7.9 mil millones de registros, dijo, y los incidentes indican «las mismas cosas que están sucediendo una y otra vez». Preguntó, ¿qué tipos de ataques fueron más frecuentes y qué aprendieron las organizaciones de ellos?

«En cuanto a los tipos de ataques que vemos, (ellos) generalmente tienden a ser ataques de seguridad de aplicaciones, ataques de phishing, configuración incorrecta de entornos de nube, este tipo de cosas», dijo Anthony Bettini, director de tecnología de WhiteHat. Y aunque estas amenazas son viejas noticias para los profesionales de seguridad, sus colegas panelistas acordaron que también son las que las organizaciones deberían tener en mente para las estrategias defensivas.

«La razón por la que sigues escuchando sobre phishing de oradores como nosotros … no es porque queremos aburrirte con la repetición», dijo Diana Kelley, directora de tecnología de seguridad cibernética de Microsoft. «Es porque el phishing todavía funciona». Las vulnerabilidades de la aplicación, la configuración incorrecta y el phishing son las tres áreas donde los atacantes están teniendo el mayor éxito, por lo que se les debe dar prioridad.

Algunos líderes, como SecurityScorecard CISO Paul Gigliardi, están más preocupados por cómo los atacantes usan los datos que roban. «Una cosa que a menudo veo es que los grupos criminales algo sofisticados están comenzando a usar las secuelas de las violaciones para realizar ataques de phishing o ingeniería social aún más específicos a escala», explicó. «No es solo el hecho de que se produjo una violación es que todos los datos de nuestra empresa están de alguna manera ahí».

La reutilización de credenciales es una preocupación principal para el CISO world de Starbucks, Andy Kirkland, quien habló sobre una preocupación que prevalece en las industrias minorista y hotelera. «Cada vez que estas credenciales están disponibles, nos convertimos en un lugar donde la gente quiere ver si trabajan», dijo. Compartir nombres de usuario y contraseñas en múltiples plataformas es «algo muy importante» para las empresas. Las configuraciones erróneas en la nube, que Kirkland llama «el cambio de nombre de la TI en la sombra», son otra preocupación.

«Casi cualquier persona puede obtener un cubo S3 y hacer lo que quiera con él potencialmente poner lo que quieran allí», señaló Kirkland. Es responsabilidad de los profesionales de seguridad identificar estas instancias dentro de una organización cuando suceden.

Práctica práctica práctica

Los panelistas hablaron sobre estrategias de capacitación de empleados y clientes, ejercicios de mesa y otros pasos que toman para prepararse mejor para incidentes de seguridad. Una conclusión clave fue la importancia de trabajar la capacitación de los empleados en la cultura corporativa para todos. A medida que las organizaciones cambien con el tiempo y se incorporen nuevas personas, habrá brechas en el conocimiento de la seguridad cibernética.

«Tengo que tomar capacitación en seguridad cibernética en Microsoft como todos los demás», dijo Kelley. «No asumimos simplemente porque alguien tiene un título, sino que están exentos de ese entrenamiento». Aconsejó capacitación de seguridad anual o semestral para todos los empleados. «Psicológicamente, los humanos son mucho mejores para aprender cuando tenemos un poco de una bomba de adrenalina». Si un empleado es atrapado siendo estafado, pueden recordar ser más cautelosos la próxima vez.

«El mejor entrenamiento es el entrenamiento en el momento», enfatizó Kirkland. Si bien se realizan algunos entrenamientos para el cumplimiento, los correos electrónicos de phishing inesperados brindan momentos de aprendizaje reales.

También aboga por ejercicios de mesa con todos los ejecutivos para planificar ataques cibernéticos. Los ejecutivos senior programan un bloqueo de cuatro horas durante el cual crean una narración completa de la violación. A veces, dijo, es la primera vez en mucho tiempo que los líderes se unen para decidir cómo responderán a un incidente de seguridad, y los resultados han tenido un efecto más allá de la ciberseguridad.

«Las decisiones, y las cosas que aprendieron en esos ejercicios de mesa, han informado la forma en que respondemos como organización a todo tipo de incidentes no necesariamente aquellos relacionados con el ciber», dijo Kirkland. Aprender cómo colaboran los líderes empresariales «no solo es educativo para ellos es educativo para usted como profesional de seguridad», agregó.

Los ejercicios de mesa deberían informar un procedimiento operativo estándar para los ataques cibernéticos, dijo Kelley. Ya sea en línea o impreso, todas las empresas deben tener una guía sobre cómo los empleados pueden escalar incidentes potenciales y cómo deben responder a ellos. Estos procedimientos no necesitan ser 100% precisos, después de todo, cada incumplimiento es diferente, pero deben proporcionar información básica sobre qué organizaciones internas y externas (proveedores de la nube, aplicación de la ley) deben ser notificadas.

«Te sorprendería, con este tipo de actividades, lo fácil que es olvidar lo que hay que hacer», explicó. Si un empleado no conoce la información correcta o no puede acceder a ella, es posible que no tenga strategy de cómo avanzar en la dirección correcta.

Los practicantes también extraen lecciones de incidentes de seguridad anteriores: para informar entrenamientos anuales sobre la respuesta a los incidentes y la continuidad del negocio, Gigliardi vuelve a los datos de incumplimiento histórico para evaluar cómo se veía la seguridad antes de un incidente. La divulgación de incumplimiento es obligatoria según HIPAA y GDPR, señaló, y hay miles de incumplimientos que no se informan públicamente, pero son igual de importantes. Las empresas «pueden obtener mucho valor» en las lecciones de estos eventos.

Contenido relacionado:

Kelly Sheridan es la Editora de individual de Darkish Looking at, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policy & Engineering, donde cubrió asuntos financieros … Ver biografía completa

Más tips





Enlace a la noticia initial