Cómo un consorcio industrial puede reinventar la seguridad …



Al comprometerse a pruebas independientes para determinar el valor, los proveedores se asegurarán de que sus productos hagan lo que dicen que hacen.

El desafío con las pruebas de conceptos (PoC) para las soluciones de seguridad cibernética es que principalmente les dicen a los directores de seguridad de la información (CISO) y a sus equipos que un producto se integrará rápidamente y tiene una interfaz de usuario sólida. Estas cosas son fáciles de medir. ¿Pero si las soluciones realmente funcionan en términos de derrotar ataques y mitigar riesgos? Esa es una capacidad mucho más difícil de evaluar. Desafortunadamente, cuando el PoC no puede evitar la exposición, los CISO con demasiada frecuencia quedan atrapados en el medio después de un ataque paralizante.

¿Por qué los PoC se quedan cortos? Esto se debe a que el costo de realizar pruebas en profundidad sigue siendo prohibitivo para muchas organizaciones. Los proveedores de ciberseguridad aprovechan al máximo porque no tienen ningún incentivo para hacer mucho más que simplemente medir la interfaz de usuario y la facilidad de integración. Es por eso que ya es hora de derribar y reconstruir la forma en que llevamos a cabo evaluaciones de soluciones.

Tenga en cuenta el uso de la palabra «nosotros» aquí. Estamos condenados a seguir haciendo girar nuestras ruedas a menos que nos unamos como industria.

Si bien los proveedores han introducido algunas iniciativas notables, como NetSecOpen, la industria no puede confiar totalmente en los proveedores para proporcionar un plan o marco para un enfoque más estandarizado para evaluar y luego probar nuevas soluciones. Las empresas deben tomar la iniciativa si queremos ver un cambio real. Ahora más que nunca durante nuestra existencia COVID-19, necesitamos un consorcio de la industria para capacitar a las empresas para evaluar mejor los productos, especialmente para las organizaciones que no tienen los márgenes para supervisar PoC efectivos por su cuenta.

En algunos casos, un primer paso lógico es confiar en las evaluaciones ya realizadas por los gobiernos. Por otro lado, si bien es importante tener en cuenta que existen diferencias significativas entre los gobiernos y las entidades comerciales, no siempre está claro que sus requisitos de seguridad sean los mismos. Además, cada gobierno tiene su propio enfoque y opinión, un verdadero desafío para las empresas globales.

Un mercado fragmentado
El mercado de soluciones y servicios de ciberseguridad se ha fragmentado cada vez más, y el asediado CISO está bajo una inmensa presión para demostrar el ROI. Por lo tanto, un consorcio, uno que reúne a múltiples compradores de una herramienta para colaborar en su verdadero valor antes de la compra y la implementación, resulta crítico. El consorcio resolvería fácilmente los problemas de costos, ya que las compañías agruparían colectivamente su presupuesto de PoC para financiar pruebas más exhaustivas de caja blanca y caja negra.

Es cierto que estas empresas compiten entre sí en el mercado. Pero también son compañeros. Es mucho mejor colaborar con compañeros / competidores para saber lo que se desconoce. antes de gastando incontables dólares en una herramienta que bien podría fallarles en poco tiempo. Además, no es como si un miembro del consorcio ganara ventaja competitiva sobre otro al combinar recursos para las pruebas todos están en igualdad de condiciones.

Para que esto funcione, las organizaciones participantes deben designar probadores independientes como un componente indispensable. Los probadores servirían como buscadores de la verdad incuestionables sin piel en el juego. Ellos son estrictamente los «inspectores de viviendas» aquí, no los compradores o vendedores de la casa.

En cuanto a la metodología, los probadores independientes deben garantizar que los productos protejan tanto contra las amenazas existentes como contra las futuras, aún desconocidas. Deben exigir a los proveedores que revelen detalles completos sobre sus diseños, implementación y prácticas de ingeniería, sin permitirles esconderse detrás de la «confidencialidad comercial» como medio para evitar la divulgación.

Evaluaciones intensivas y revisiones
Con esto, los evaluadores podrán realizar evaluaciones intensivas del diseño detallado y la documentación de implementación, junto con revisiones del código fuente. Luego pueden proceder con pruebas exhaustivas de la caja blanca contra ataques conocidos, así como posibles futuros en el supuesto de que los atacantes eventualmente estarán armados con pleno conocimiento del diseño y la implementación. Por supuesto, tal nivel de pruebas extensas equivaldrá a una propuesta costosa. Pero, una vez más, los miembros del consorcio compartirían la carga de costos al agrupar sus fondos disponibles.

Además, si este nivel óptimo de evaluación surge como la norma, obligará a los proveedores a realizar cambios por su cuenta. En aras de la supervivencia pura, presupuestarán una investigación interna aún más rigurosa de lo que pretenden llevar al mercado.

Las empresas y sus CISO se enfrentan a un amplio espectro de actividades de mitigación de riesgos cibernéticos y problemas operativos que les dificultan prestar atención a las opciones de evaluación y prueba de productos disponibles. Las empresas con objetivos similares pueden confiar entre sí para determinar las pruebas correctas que requieren colectivamente. La potencia en números y los fondos en dólares más grandes permitirán al prepare del consorcio impulsar un cambio true.

No podemos retrasarnos. El estado genuine de los procesos de PoC, la evaluación del producto y las pruebas no nos dirá lo suficiente de lo que necesitamos saber. Pero al comprometerse con un consorcio con pruebas independientes para determinar el verdadero valor, los proveedores lo harán tener para garantizar que los productos hagan lo que dicen que hacen o corren el riesgo de extinción.

Contenido relacionado:

Henry Harrison es cofundador y director de tecnología de Garrison, y un experimentado ejecutivo de la industria de TI, emprendedor en serie y el cerebro detrás de las tecnologías centrales de Garrison. Henry tiene experiencia en liderar el desarrollo de la innovación en seguridad cibernética y Garrison fue fundada para crear … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia original