No cometa estos errores de ciberresiliencia


Descubra por qué podría ser el momento de cambiar sus estrategias de prevención de ciberseguridad a la resiliencia y qué no hacer en el proceso.

Especialista en seguridad de sistemas que trabaja en System Control Center. La habitación está llena de pantallas que muestran información diversa.

Imagen: iStockphoto / gorodenkoff

Los profesionales de la ciberseguridad están cansados ​​de perder terreno frente a los ciberdelincuentes, por lo que están trabajando con miembros de los C-suites y juntas directivas de sus empresas para implementar un proceso que algunos consideran más realista que la prevención: la ciberresiliencia. La resiliencia significa que una empresa puede seguir obteniendo el resultado esperado, incluso en una crisis. Reúne seguridad de la información, continuidad del negocio y resiliencia, creando una organización que puede sobrevivir a los ciberataques.

Al involucrar a los tomadores de decisiones, los silos de información (que impregnan la mayoría de las organizaciones) se derriban. Y, lo que es más importante, la aceptación combinada de los expertos y los responsables de la toma de decisiones silenciará la actitud de «nosotros contra ellos».

VER: Approach de recuperación ante desastres y continuidad empresarial (TechRepublic High quality)

Errores a evitar con la ciberresiliencia

Alex Manea, un oficial de seguridad de Georgian Companions, ofrece una perspectiva interesante sobre qué evitar cuando se habilita la resiliencia cibernética en su artículo Evite estos cuatro errores principales de ciberseguridad en Jefe Ejecutivo. En la introducción del artículo, dijo:

«A lo largo de los años, he visto algunos enfoques fantásticos para la mitigación de riesgos y algunos enfoques no tan fantásticos. Lo que tengo claro es que las empresas que adoptan un enfoque holístico e incorporan la ciberseguridad en esa estrategia desde el principio, terminan teniendo más éxito abajo de la línea.»

Manea dijo en su experiencia que cuatro errores surgen la mayoría de las veces, y si las personas que implementan la resiliencia cibernética los evitan, probablemente le dará a su empresa una ventaja competitiva.

1er mistake: intentar proteger todo

Manea comienza compartiendo el conocido axioma de que los defensores deben proteger cada posible apertura donde los atacantes solo necesitan una entrada. Si es realista, esa perogrullada sola debería ser suficiente para reemplazar una actitud de prevención por una basada en la resiliencia.

Manea luego sugiere precaución. «Asegúrese de comprender las limitaciones de su organización, ya sean tecnológicas, presupuestarias o incluso políticas, y trabaje para minimizar el riesgo con los recursos que le brindan. Piense en ello como un juego de optimización económica».

Segundo mistake: falta de un modelo de amenaza que lo abarque todo

En pocas palabras, se requiere una evaluación electronic de riesgos y amenazas. Manea sugiere que un equipo que incluya a representantes del departamento de TI, las unidades de negocio y la alta dirección trabaje en conjunto para crear un modelo de amenazas a la seguridad de la organización, teniendo en cuenta:

  • ¿Qué querría lograr un atacante?

  • ¿Cuál es la forma más fácil de lograrlo para un atacante?

  • ¿Cuáles son los riesgos, su gravedad y su probabilidad?

Un modelo de amenazas preciso permite al private del departamento de TI implementar medidas de seguridad donde más se necesitan y no desperdiciar recursos. «Una vez que haya identificado sus joyas de la corona y el camino de menor resistencia, concéntrese en agregar obstáculos a ese camino», dijo.

3er mistake: no obtener una prueba de penetración independiente

Según Manea, no hay forma de evitar una prueba y evaluación de penetración de seguridad cibernética independiente. «Pensar que está seguro sin realizar una evaluación de piratería (ética) de &#39sombrero blanco&#39 es como poner su producto en el mercado antes de realizar pruebas de calidad», dijo Manea. «No puede razonablemente afirmar que está seguro, o informar a su junta directiva de que lo está, hasta que los investigadores de seguridad ética intenten atacarlo».

Manea también dijo que es importante realizar pruebas de penetración al menos una vez al año, ya que se encuentran nuevas debilidades y se desarrollan nuevos vectores de ataque todo el tiempo. Y, tan pronto como sea posible, corrija las debilidades identificadas.

VER: Política de escaneo y pruebas de penetración (TechRepublic Top quality)

Algo que Manea no enfatiza lo suficiente es la necesidad de obtener la aceptación de la alta dirección para este tipo de pruebas. Bruce Schneier en su puesto ¿Vale la pena realizar pruebas de penetración? dijo: «Realmente no desea un informe extenso que documente todas las formas en que su red es insegura. No tiene el presupuesto para arreglarlas todas, por lo que el documento se quedará esperando para que alguien se vea mal».

O peor aún, ¿qué pasa si el informe de la prueba de penetración se descubre en una demanda? «¿Realmente desea que un abogado de la oposición le pida que explique por qué pagó para documentar los agujeros de seguridad en su red y luego no los solucionó?» Dijo Schneider. «Probablemente, lo más seguro que puede hacer con el informe después de leerlo es destruirlo».

Cuarto error: hacer de la ciberseguridad una ocurrencia tardía

Los ejecutivos de alto nivel y los gerentes de departamentos de TI ven la ciberseguridad de manera muy diferente. «Las empresas a menudo están tan concentradas en sacar su producto o servicio por la puerta que pierden de vista su riesgo de ciberseguridad», dijo Manea. «Las empresas emergentes en rápido movimiento, en specific, pueden sentirse &#39seguras&#39 porque pasan desapercibidas, pensando que no tienen suficientes datos, información de clientes o dinero para que los piratas informáticos se preocupen por ellas, pero de repente , su negocio ha crecido hasta el punto de inflexión en el que ahora tiene valor y la gente lo está notando, incluidos los piratas informáticos «.

Compartir información es la clave

Compartir información relevante para el estado de la ciberseguridad de una empresa es primordial. Informe del Departamento de Seguridad Nacional Respuesta y resiliencia cibernética (PDF) dice que permitir que las partes interesadas creen relaciones interdepartamentales e intercompañías conducirá a compartir información y recursos, y aumentará significativamente la conciencia de la situación cibernética, así como la resiliencia y la mitigación de amenazas.

En una nota mucho más straightforward, a veces la magia ocurre cuando las personas se unen hacia un objetivo común, como la supervivencia de la empresa que los emplea.

Más sobre ciberresiliencia

Si desea obtener más información sobre la resiliencia cibernética, lea estos artículos de TechRepublic: Cómo ser ciberresiliente para evitar desastres de ciberseguridad, los CISO se ven obligados a adaptarse a la pandemia y otros riesgos geopolíticos, solo el 17% de las organizaciones globales se consideran líderes en ciberresiliencia «, y PwC: impulsar la resiliencia digital es la mejor defensa contra los ciberataques.

Ver también



Enlace a la noticia unique