La ciberseguridad debe ser proactiva con la participación de los líderes empresariales


En un seminario world wide web el miércoles, el exdirector de Seguridad Nacional de EE. UU., Christopher Krebs, también sugirió que las organizaciones tienen coordinadores de fuerza laboral de COVID y que los proveedores de correo en la nube activan MFA de forma predeterminada.

la seguridad cibernética

Imagen: iStockphoto / Metamorworks

Los CISO efectivos y otros líderes son aquellos que planean para hoy pero con la mirada puesta en el mañana, y siempre anteponen a las personas, según Christopher Krebs, exdirector de la agencia de infraestructura y ciberseguridad del Departamento de Seguridad Nacional.

«Siempre hay que ser ágil en cuanto a cómo están cambiando las operaciones comerciales», dijo Krebs, durante una «charla informal» el miércoles con el CEO de OneLogin, Brad Brooks, que abordó temas como trabajo remoto, votación en línea y contraseñas.

«Si puede planificar con anticipación, es genial, pero siempre debe consumir información y adaptarse sobre la marcha».

El lema de la agencia period «defender hoy, asegurar mañana», dijo Krebs, quien fue despedido por el presidente Donald Trump después de afirmar repetidamente que las elecciones de 2020 no fueron manipuladas. «Sí, tenemos que lidiar con los problemas de hoy, pero también tenemos que pensar en cualquier momento dado, con seis meses de anticipación, ¿qué desearíamos haber hecho de manera diferente entonces?»

VER: ¿Puede su organización obtener una ciberseguridad razonable? Sí, y así es como (TechRepublic)

Krebs y Alex Stamos, ex CSO de Facebook, formaron recientemente una empresa de consultoría. Su primer cliente importante es SolarWinds, que fue pirateado en la peor infiltración conocida de los sistemas gubernamentales.

Dirigiendo el DHS durante una pandemia, Krebs dijo que los funcionarios se esforzaron en realizar reuniones semanales sobre varios temas, como cómo optimizar la tecnología para que sea efectiva y cómo abordar problemas culturales como los disturbios civiles y el movimiento Black Lives Make a difference.

«Esas son conversaciones realmente desafiantes para tenerlas en persona, y mucho menos de forma remota, donde tienes cajas de chat anónimas donde la gente puede arrojar bombas», observó Krebs. «No importa lo incómodas o difíciles que sean las conversaciones, los empleados deben saber que los está cuidando y que tiene cierto grado de empatía».

Cada CISO necesita saber cómo trabajar con RR.HH., dijo Krebs, y agregó que «cada organización debe tener un coordinador de fuerza laboral remota / COVID y debe comprender cómo ha cambiado el cálculo de riesgos».

También predijo que un regreso al lugar de trabajo podría ocurrir en algún momento a mediados del verano, pero que una sensación de normalidad podría no ocurrir por un tiempo. «Decir dentro de un año es discordante, pero es la realidad».

Krebs también dijo que cree que COVID-19 no será la última pandemia que vea el mundo.

En respuesta a una pregunta de Brooks sobre sus pensamientos sobre la ID authentic, una ley aprobada por el Congreso en 2005, Krebs dijo que ha llevado años implementarla ya un gran costo. «Aquí estamos, años después, y estamos en la cúspide de una aceptación nacional de Genuine ID».

De cara al futuro, «tiendo a pensar que ninguna solución única abordará todo» relacionado con la identidad, dijo. «Al igual que todo lo demás en seguridad de la información, no habrá una sola fórmula mágica».

La paradoja del voto online

Brooks preguntó cuáles son los obstáculos para hacer realidad la votación en línea.

Krebs señaló que existe una paradoja porque, a diferencia de muchas transacciones que las personas realizan en línea y que requieren el anonimato, el voto electrónico debe ser transparente y la identidad debe ser demostrable.

Si bien se ha hablado mucho sobre el uso de blockchain y libros de contabilidad inteligentes, Krebs dijo que no se siente cómodo con esas opciones.

«Probablemente no estemos muy cerca de donde debemos estar en la pila completa de votación en línea», dijo. «Creo que sí, hay una manera de autenticar la identidad, pero luego te metes en la paradoja de autenticar la identidad» porque la gente quiere permanecer en el anonimato, pero aún así su voto se lleva a cabo en el sistema.

«Dicho esto, mi objetivo sería … cada voto debe tener un papel asociado para su auditabilidad», en caso de que sea impugnado, como fue el caso en Georgia el año pasado, dijo Krebs.

El enigma continuo de las contraseñas

El problema más contradictorio con las contraseñas es que son «demasiado fáciles de adivinar y demasiado difíciles de recordar», dijo Krebs. La autenticación multifactor sin fricciones tiene que ser el futuro, enfatizó. «Un solo element está tan lleno de peligros».

Sugirió que los proveedores de correo basados ​​en la nube deberían activar MFA de forma predeterminada en sus sistemas, pero reconoció que eso crearía «agotamiento» para los CISO y otros profesionales de la seguridad de la información.

«Se lo estamos poniendo demasiado fácil a los malos», dijo Krebs. «Lo que realmente va a cambiar esta (mentalidad) sobre MFA por defecto son los líderes. Tienen que aceptar la ciberseguridad como un riesgo comercial ese es el diferenciador clave».

Reiteró que los líderes deben comprender tanto los riesgos de hoy como los riesgos del mañana y reconocer que tienen «políticas heredadas» que deben actualizarse. «No quieren estar en una posición en la que estén respondiendo preguntas de un reportero dentro de seis meses» debido a una situación de piratería.

Como ejemplo de cómo hacer las cosas correctamente, Krebs recordó cómo, en 2003, después de que Microsoft XP experimentó «una serie de vulnerabilidades», la empresa abordó el asunto de frente y anunció que se comprometería a arreglar la plataforma.

«Se puede salir de estas cosas, pero se necesita liderazgo, compromiso e inversión en seguridad», y así es como las empresas pueden diferenciarse, dijo. «Con cada desafío hay una oportunidad. Parte de esto es humildad y aceptar un poco el dolor en este momento, pero lo superarás cuando tengas un incidente «.

En términos de lo que está en su lista de deseos de herramientas y políticas tecnológicas, Krebs dijo que le gustaría ver conversaciones más transparentes sobre los riesgos de terceros en los entornos de las organizaciones.

Krebs dijo que su segundo deseo es que las corporaciones se unan y se conviertan en mejores ciudadanos en la lucha contra los adversarios cibernéticos extranjeros. «Todos estaremos mejor si hacemos que Net sea más seguro si todos nos inclinamos hacia adelante y somos parte de la defensa colectiva».

Ver también



Enlace a la noticia initial