Los CISO universitarios dicen que la confianza cero es la mejor defensa contra la amenaza existencial del phishing


Stanford ha reemplazado los inicios de sesión y las contraseñas con una clave digital para mejorar la seguridad de los terminales.

proofpoint-superior-ed-ciso-roundtable.jpg

Proofpoint organizó una mesa redonda de oficiales de seguridad de la información organizada por Ryan Witt, director de estrategia de ciberseguridad, educación, Proofpoint (parte excellent izquierda) que incluyó a Helen Patton de la Universidad Estatal de Ohio, Erik Decker de la Universidad de Medicina de Chicago y Michael Duff de la Universidad de Stanford.

Imagen: TechRepublic

Los CISO de la Universidad de Stanford, la Universidad de Medicina de Chicago y la Universidad Estatal de Ohio enumeran el phishing como la principal amenaza para la seguridad de estudiantes, profesores e investigadores. El grupo también acordó que la confianza cero es el mejor enfoque de seguridad, pero difícil de vender en un entorno académico.

Los directores de seguridad de la información de estas escuelas hablaron con Ryan Witt, el líder de la estrategia de ciberseguridad en Proofpoint, durante un seminario website sobre cómo COVID-19 está cambiando su trabajo y cómo están asegurando las redes y los datos de las universidades.

El phishing es una de las principales preocupaciones, así como también cómo educar a los estudiantes sobre las mejores prácticas de seguridad en plataformas que son nuevas para ellos.

El equipo de seguridad de la Universidad de Stanford también ejecuta campañas de phishing entre los empleados de la universidad dos veces al mes, dijo Michael Duff, CISO y director de privacidad de la Universidad de Stanford, durante el seminario world-wide-web.

«Reconocemos el phishing como la mayor amenaza para nuestra privacidad y seguridad», dijo.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

A principios de marzo, los estafadores enviaron un coronavirus correo electrónico de información que pretende ser del sistema de alertas de salud de la universidad, una de varias campañas pandémicas destacadas en la colección de correos electrónicos de phishing reales de la escuela.

En marzo, Stanford lanzó Llave cardinal para reemplazar inicios de sesión y contraseñas. Un usuario dispone de un certificado digital por cada dispositivo que se conecta a las redes universitarias. Las computadoras deben ejecutar BigFix o VLRE y los dispositivos móviles deben ser administrados por Cellular Product Administration para usar los certificados digitales. Cardinal Important no es compatible con máquinas Linux ni teléfonos Android.

«Esto nos da un mecanismo para garantizar que los dispositivos de los usuarios sean seguros sin importar dónde se encuentren», dijo Duff.

Duff también dijo que confía en la aplicación automatizada de las reglas de seguridad más que en los esfuerzos de educación y concienciación del usuario.

Helen Patton, CISO de la Universidad Estatal de Ohio, dijo que el desafío es que los estudiantes universitarios son usuarios sofisticados de pocas plataformas, no de la tecnología en typical.

«No están seguros en la forma en que manejan las nuevas tecnologías en la escuela, así que tenemos que enseñarles cómo estar seguros con la tecnología que ofrecemos», dijo.

Patton dijo que su equipo también ataca a los estudiantes de forma regular con el objetivo de crear conciencia.

Erik Decker, director de seguridad y privacidad de la Universidad de Medicina de Chicago, dijo que la mayor presencia en línea de todos en las plataformas de redes sociales y video clips hace que el spearphishing sea aún más fácil.

«Es muy fácil para las personas que quieren realizar un ataque dirigido encontrar a las personas adecuadas», dijo.

Las universidades han sido un objetivo preferred de los piratas informáticos en los últimos años. En mayo, Blackbaud, el mayor proveedor mundial de software de administración de educación, recaudación de fondos y gestión financiera, fue retenido para pedir rescate por piratas informáticos y pagó un rescate no revelado a los ciberdelincuentes.

Durante la parte de preguntas y respuestas del seminario web, un miembro de la audiencia preguntó al panel de qué estado-nación estaban más preocupados por defenderse. Todos se negaron a responder.

Venta de un enfoque de seguridad cero

Además de pasar a los certificados digitales para la autenticación, el equipo de seguridad de la información de Stanford también está probando un modelo de seguridad de confianza cero. Decker, de la Universidad de Medicina de Chicago, dijo que este enfoque debería ser la nueva mentalidad y misión para los equipos de seguridad, particularmente en esta época de trabajo remoto como norma.

«Dondequiera que vayamos a trabajar, asumimos que el ambiente está sucio pero aún tenemos que trabajar», dijo.

Patton dijo que este «enfoque de no confiar en nadie» es contrario al funcionamiento de las universidades, por lo que es difícil venderlo a investigadores y profesores que priorizan la apertura, el intercambio y la colaboración.

«COVID dejó el imperativo más claro, pero no facilitó el camino para llegar allí», dijo.

Patton también analizó cómo el ciclo de vida de la investigación en sí (lluvia de ideas, investigación enfocada, solicitudes de patentes, artículos revisados ​​por pares y presentaciones de conferencias) requiere niveles cambiantes de seguridad.

«Tengo que alinearlo con la libertad académica y la necesidad innata en el espacio de investigación de compartir información con la gente, incluso si no sabemos completamente quiénes son», dijo.

Para los estudiantes y profesores que regresan, los CISO recomendaron las mejores prácticas de seguridad básicas, como la automatización de actualizaciones y el uso de contraseñas únicas en múltiples plataformas.

Patton sugirió que los profesores reduzcan la velocidad y piensen en qué tipo de datos están compartiendo en línea, en lugar de simplemente cambiar el enfoque en persona a un entorno electronic.

Duff dijo que ha mejorado la protección de los terminales y ha reorientado la estrategia de seguridad para centrarse en plataformas de colaboración como las videoconferencias.

Decker dijo que está revisando su estrategia en la nube y pensando en cómo prepararse para un posible aumento de COVID-19 en el invierno y cómo ajustar las operaciones en consecuencia.

Ver también



Enlace a la noticia first