Historias de las trincheras muestran problemas de seguridad …


El CISO de Indiana University Health and fitness dice que las políticas simples, la buena comunicación y la autenticación sólida van mucho más allá que las herramientas de los proveedores para resolver problemas de seguridad.

Mitchell Parker ve mucho mal en la seguridad de la información, especialmente en la industria de la salud, donde ha trabajado durante más de una década.

Como director de seguridad de la información de Indiana College Health and fitness, ha visto una variedad de problemas: sobrecarga de información de evaluaciones de riesgo, computadoras antiguas, en años de Online, que administran sistemas y dispositivos físicos, un caótico desorden de sistemas de contraseñas que no interoperan, y datos heredados que no se pueden descifrar, dijo durante una presentación virtual de Black Hat United states el 5 de agosto.

Muchos de estos problemas fueron autoinfligidos por equipos de seguridad que encontraron su camino. Otros problemas se produjeron debido a un problema común: los proveedores prometen demasiado, incluso venden directamente aceite de serpiente. Desde compañías de seguridad de datos que amenazan con multas gubernamentales sobre quienes no usan sus productos, hasta proveedores de cifrado patentados que dejan de admitir sus productos de descifrado, una variedad de trampas aguardan a los equipos de seguridad menos que escépticos, dijo Parker.

«Si alguien te dice que puedes intentar resolver todos tus problemas al instante, así es como sabes que tienes aceite de serpiente», dijo durante su presentación. «O alguien afirma que puede arreglarlo todo sin hablar contigo, sin analizar o tratar de satisfacer tus necesidades».

Las políticas bien implementadas, algunas tecnologías específicas y un grupo de seguridad comunicativa pueden proporcionar a las organizaciones una defensa cibernética sólida, dijo durante la sesión informativa.

Como ejemplo, describe una estrategia para combatir el compromiso del correo electrónico empresarial: agregar una devolución de llamada obligatoria para un número publicado cada vez que un ejecutivo solicita un pago, especialmente si la cuenta de destino está en el extranjero, prácticamente ha eliminado el fraude BEC, dijo. ¿Software antivirus? No es muy útil. Sin embargo, el software program de respuesta y detección de terminales es mucho más útil para evitar un compromiso emergente.

El arma secreta contra los ataques que utilizan credenciales robadas y reutilizadas fue, como period de esperar, la autenticación de dos factores.

«Si hay una tecnología que ha detenido la mayoría de los intentos de piratería, es una buena autenticación de dos factores», dijo. «Muchos de los ataques encuentran cuentas comprometidas de un sistema de salud e inmediatamente prueban las credenciales contra todos los demás sistemas de salud».

Los equipos de seguridad que se comunican bien son aquellos que continúan capacitándose en menos de cinco minutos, relacionan cualquier lección precise con problemas urgentes de seguridad, reducen los avisos a menos de 200 palabras y se concentran en el 20% excellent de los resultados de la evaluación de seguridad.

Sin embargo, hay dos problemas importantes que no son tan fáciles de solucionar. Los dispositivos médicos y los sistemas físicos a menudo se ejecutan en, o son administrados por, computadoras que ejecutan versiones antiguas de Windows. Estos sistemas tienden a tener una vida útil prolongada y están conectados a Net, dijo.

«Eso significa que si bien hemos hecho un gran trabajo con nuestras computadoras de escritorio y EMR (sistemas de registros médicos electrónicos), tenemos muchas máquinas sin parches con acceso a la purple que ejecutan versiones anteriores de Home windows que ejecutan nuestra infraestructura física», dijo. «Y de manera realista, eso Sistema Amiga que ejecuta el HVAC porque un distrito escolar de Michigan period más seguro porque no tenía acceso a Web «.

El otro problema importante es la integridad de los datos. Los datos de salud deben estar seguros, pero también deben ser accesibles en el futuro, a veces 40 años o más en el futuro, dijo Parker. Desafortunadamente, muchos sistemas de archivos utilizados en entornos de atención médica no tienen verificación de integridad. Peor aún, gran parte de los datos están protegidos por application de cifrado patentado.

«Vemos una pérdida significativa en el mercado de proveedores de cifrado, lo que significa que los datos que tiene ahora no se podrán descifrar en 10 años», dijo. «Las soluciones de código abierto funcionan, porque tendrá una mejor oportunidad de leer sus datos porque el proyecto de program se actualizará y mantendrá».

Parker también recomendó que las organizaciones sanitarias comprendan que las evaluaciones externas no siempre ofrecen una buena imagen de la seguridad de la organización. Esto se debe a que los gerentes y ejecutivos internos a menudo no están dispuestos a discutir los problemas de seguridad con empresas de evaluación externas.

«Nadie le dirá a un forastero dónde están los agujeros de seguridad. ¿Por qué? Porque cuando la gente piensa en un forastero, piensa en un auditor», dijo. «Esto no es un golpe para las grandes empresas con las que he trabajado, pero los de afuera no obtienen respuestas. Los de adentro sí».

contenido relacionado

Regístrese ahora para el Black Hat Usa totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world wide web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Looking through, MIT&#39s Technological know-how Review, Preferred Science y Wired News. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia original