Evitar los peligros de las comunicaciones electrónicas



Twitter, Slack, etcetera., se han vuelto innegablemente importantes para los negocios de hoy, pero pueden causar mucho daño. Es por eso que una estrategia de comunicación ágil es tan importante.

Uno de los ejercicios más difíciles y largos para los líderes de seguridad es analizar los canales de comunicación electrónica de su empresa y trabajar para codificar e implementar procesos que tengan en cuenta la higiene de seguridad adecuada. En mi experiencia, no existe un enfoque único para todos porque cada empresa se comunica de diferentes maneras y utiliza diferentes herramientas.

Debido a la proliferación de herramientas de colaboración y aplicaciones de redes sociales, es posible que ni siquiera se dé cuenta de cuántas herramientas están utilizando sus empleados para comunicarse. Por ejemplo, el calendario de su CEO probablemente no debería estar disponible públicamente para toda la empresa, ya que puede haber riesgos significativos por el libre acceso a esta información. Porque un calendar es una aplicación confiable, probablemente no lo pensaría dos veces antes de hacer clic en un enlace de una fuente conocida.

Evolución de las redes sociales
Para ser sinceros, las aplicaciones de redes sociales han convertido las comunicaciones electrónicas en una bestia difícil de abordar para los CISO. Toma Twitter Esta aplicación única le permite llegar a audiencias globales al instante. Si bien Twitter se puede utilizar como portavoz para difundir rápidamente las noticias y difundir la conciencia, ha habido grandes inconvenientes, y nuestra sociedad aún no ha entendido completamente las ramificaciones de estos.

Uno de los incidentes más notables ocurrió en 2013, cuando un solo tweet de la cuenta verificada de Linked Press compartió que hubo explosiones en la Casa Blanca y que el presidente Obama resultó herido. Un grupo de piratas se atribuyó la responsabilidad del tweet y la caída en picado resultante del mercado de valores borró más de $ 136 mil millones en valor de mercado de acciones en los tres minutos posteriores al tweet. El hecho de que un tweet pudiera causar tanto daño fue una llamada de atención que necesitamos pensar detenidamente sobre cómo los sistemas están diseñados para frenar el posible abuso.

Además, cualquier organización con propiedad intelectual wise debe tener en cuenta los esfuerzos que los actores sofisticados harán para violar sus comunicaciones electrónicas, especialmente las redes sociales, incluido el uso de información privilegiada. Por ejemplo, a fines de 2019, fue reportado que dos ex empleados de Twitter estaban trabajando para Arabia Saudita para espiar a usuarios específicos. Es crucial tener en cuenta estos canales en la capacitación de los empleados. Si bien pueden no asociar Twitter, Instagram o Fb con una amenaza relacionada con el trabajo, dada la confianza que depositamos en nuestras aplicaciones de redes sociales favoritas, las vulnerabilidades en ellas pueden ser apalancado por adversarios expertos como punto de apoyo en la crimson de una organización.

Si bien algunos podrían pensar en las amenazas tradicionales de comunicaciones electrónicas como simples intentos de phishing con su correo electrónico, hay docenas de canales que un CISO debe considerar al establecer las políticas de la compañía. Debido al impacto de un solo tweet o publicación, estas aplicaciones para su C-suite y líderes senior deben bloquearse y el acceso debe estar limitado a la menor cantidad de personas posible. Además, las mejores prácticas, como la implementación de la autenticación de dos factores, ayudarán a proteger su organización.

Las políticas de comunicación deben ser ágiles
En MongoDB, nuestra herramienta de comunicaciones más utilizada es Slack. La plataforma Slack es essential para el trabajo asincrónico con una foundation international de empleados y, en complete, más de 50 personas estuvieron involucradas en el proceso de redacción de nuestra nueva política antes de que las pautas finales se compartieran en toda la compañía. Consultamos a representantes de diferentes equipos de la compañía para obtener comentarios sobre las políticas y la redacción para asegurarnos de que resuena con todos.

Puede que esto no sea una sorpresa, pero los comentarios de los miembros de nuestros equipos de ingeniería fueron que no debería haber ambigüedad en la política. Era importante escribir y establecer una política que terminara siendo muy prescriptiva sin sonar condescendiente. Además, también incorporamos diferentes estándares de retención de datos para cosas como archivos adjuntos, mensajes directos y toda comunicación en canales públicos compared to privados.

Es importante educar a nuestros empleados sobre la clasificación de datos. A continuación se muestra cómo clasificamos los datos en cuatro grupos como parte de la política de seguridad de datos de nuestra empresa.

Nivel de clasificacion

Resumen

Daño a la empresa si se filtran datos

Datos públicos

Destinado al consumo público

Ninguna

Solo para uso interno

Destinado al consumo generalizado de la empresa, pero no practical

Muy menor a ninguno

Confidencial

Reasonable y destinado solo a personas limitadas

Considerable

Altamente confidencial

Muy practical, necesita saber y distribución limitada.

Grave, grave


Tener una política de seguridad de datos exhaustiva y prescriptiva disponible como documento vivo para todos los empleados puede proporcionar un recurso valioso para el trabajo asincrónico. Participar en una educación continua durante todo el año ayuda a construir una cultura segura y garantizar que esta información sea lo más importante para los empleados. Esto puede ser tan straightforward como un correo electrónico trimestral para algunas personas o abordar preguntas relacionadas con la seguridad en nuestra reunión mensual de todos.

Por qué la seguridad permite la innovación en nuestro mundo API
Dadas nuestras raíces como empresa desarrolladora, las herramientas modernas para el desarrollo de program se realizan a través de las API. Estos se integran en Slack, que crea alertas y canales de comunicación adicionales. Si bien estas integraciones son de gran ayuda, la mejor manera de tener en cuenta la seguridad es hacer que cada aplicación potencial sea examinada por la seguridad de la seguridad y evaluada por nuestros equipos de compras y seguridad antes de la integración de la red.

La gestión de identidad y acceso con sus API en la nube es critical, ya sea que esté desarrollando computer software o trabajando en un equipo diferente. Por ejemplo, alguien que no está en un equipo de ingeniería en MongoDB probablemente no necesita acceso a nuestra API de GitHub en Slack. Si hay una razón advertisement hoc, eso puede pasar por los protocolos adecuados para autorizar solo a ese usuario.

Creemos que la gestión de identidad y acceso no solo nos mantiene seguros sino que también fomenta una mayor innovación. Ser capaz de implementar procesos seguros en los flujos de trabajo y mantener políticas ágiles para las herramientas de su organización es una de las partes clave del trabajo de un líder de seguridad, pero no se sorprenda de lo difícil y laborioso que es.

Contenido relacionado:

Lena se unió a MongoDB con más de 20 años de experiencia en ciberseguridad. Antes de unirse a MongoDB, fue la directora global de seguridad de la información de la empresa internacional de tecnología financiera, Tradeweb, donde fue responsable de todos los aspectos de la ciberseguridad. Ella también sirvió … Ver biografía completa

Más tips





Enlace a la noticia primary