El CEO de SolarWinds otorga autoridad al director de seguridad y cobertura aérea para hacer de la seguridad del computer software una prioridad


El nuevo líder también está realizando cambios en el proceso de desarrollo de computer software para que sea más difícil para los atacantes encontrar vulnerabilidades.

istock-1128503636.jpg

Imagen: iStock / Andreus

El director ejecutivo de SolarWinds, Sudhakar Ramakrishna, está haciendo cambios a nivel de la junta y en las operaciones diarias para cambiar la mentalidad de seguridad de la empresa. La compañía lanzó una iniciativa Secure by Design and style en respuesta al reciente ataque de ciberseguridad. Este proyecto está diseñado para incorporar la seguridad en la fase de diseño del desarrollo de software package y hacer que la seguridad sea una prioridad continua en lugar de una prioridad posterior a los hechos.

Durante un panel de discusión sobre ciberseguridad, Ramakrishna dijo que usó su experiencia como ingeniero y gerente para dar forma a la respuesta de la compañía al ataque. Creó un comité de ciberseguridad para la junta que lo incluye a él y a dos miembros de la junta en ejercicio. También dijo que le ha dado al director de seguridad de la compañía el poder de detener cualquier lanzamiento de computer software si es necesario para abordar los problemas de seguridad.

«Estamos brindando independencia, confianza y protección de aire para crear un nivel de comodidad y crear un asiento en la mesa», dijo.

Dijo que las empresas tienen que elevar el perfil de los oficiales de seguridad al nivel de la junta para ilustrar la importancia del papel para toda la empresa.

«De lo contrario, simplemente se convierte en una línea de costos en las pérdidas y ganancias», dijo.

Ramakrishna describió su strategy para cambiar la cultura de seguridad de la empresa durante un panel de discusión sobre «Grandes infracciones» con los autores de un nuevo libro y varios expertos en seguridad de la industria.

En una discusión sobre cómo reducir la frecuencia de estos ataques, Jimmy Sanders, jefe de seguridad de Netflix y la Junta Directiva de ISSA Intercontinental, dijo que la industria necesita adoptar un enfoque de seguridad diferente, uno que requiera que los malos actores tengan éxito con un ataca varias veces para obtener acceso en lugar de solo una vez.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Ramakrishna dijo que su empresa está experimentando con un enfoque como este. La compañía está probando un proceso de diseño que usa varias cadenas de construcción paralelas simultáneamente para crear software program en lugar de solo una.

«Queremos establecer la integridad del computer software a través de dos o tres canales para evitar ataques a la cadena de suministro y, como dijo Jimmy, asegurarnos de que los atacantes tengan que acertar en tres ocasiones diferentes para tener éxito», dijo.

La conversación también incluyó a Royal Hansen, vicepresidente de seguridad de Google Robert Rodríguez, presidente y fundador de SINET y Gary McGraw, experto en seguridad de software package y cofundador del Berryville Institute of Machine Learning. Neil Daswani, codirector del Programa de Certificados de Ciberseguridad Avanzada de Stanford On-line y ex CISO de Symantec CBU y LifeLock, y Moudy Elbayadi, vicepresidente senior y director de tecnología de Shutterfly, escribieron el nuevo libro «Big Breaches: Cybersecurity for Anyone, «y participó en la discusión también.

Dan Boneh, líder del grupo de criptografía aplicada de la Universidad de Stanford y codirector del laboratorio de seguridad informática y del Centro de Investigación Blockchain, moderó la conversación.

El panel de discusión cubrió las causas fundamentales de las infracciones, la seguridad de la cadena de suministro, la computación en la nube y la seguridad y la colaboración entre la industria de la seguridad y el gobierno federal. El grupo discutió el ataque SolarWinds, así como lo que la industria y el gobierno federal de los EE. UU. Pueden hacer para reducir la frecuencia de estos ataques.

Las causas fundamentales de las violaciones de seguridad

Daswani dijo que ve dos grupos para la causa raíz de las brechas de seguridad: gerencial y técnica. Las razones de gestión son:

  • No priorizar la seguridad
  • No invertir en soluciones adecuadas
  • No ejecutar con éxito las iniciativas de seguridad existentes.

Las causas fundamentales técnicas de las violaciones de seguridad son:

  • Suplantación de identidad
  • Software program malicioso
  • Vulnerabilidades de software program
  • Compromiso de terceros
  • Datos no cifrados
  • Errores involuntarios de los empleados

Daswani dijo que cuando las organizaciones hacen las inversiones de seguridad adecuadas, eso proporciona una defensa adecuada. Usó el ejemplo de Google emite llaves de seguridad físicas a sus empleados como una inversión de seguridad exitosa.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Elbayadi dijo que la industria debe priorizar la seguridad por igual con la conveniencia al construir productos de consumo.

«Las partes interesadas del negocio no quieren agregar más fricción para que el consumidor se involucre con la experiencia, pero el listón debe elevarse en las prácticas de seguridad aceptadas», dijo.

Sanders dijo que también debería haber consecuencias para las empresas que constantemente no siguen los estándares de seguridad de la industria, como siempre encriptar datos.

«No permitiría que un fabricante de automóviles fabricara automóviles con frenos constantemente defectuosos, pero las empresas continúan saliéndose con la suya con estas malas prácticas de seguridad», dijo.

Hansen dijo que otra prioridad debería ser priorizar ciertos paquetes de software program de código abierto que se utilizan con mayor frecuencia en la industria.

«No va a resolver todos los problemas, pero resolverá grandes porciones y también nos enseñará herramientas y métodos», dijo.

Ramakrishna dijo que es posible que la empresa nunca pueda identificar al «paciente cero» en el ataque a la empresa que involucró al menos cuatro cepas de malware. Los investigadores han reducido la fuente possible a uno de estos tres posibles puntos de entrada:

  • Un ataque de spear phishing muy dirigido
  • Una vulnerabilidad en el computer software de terceros que no fue parcheada
  • Compromiso de credenciales de algunos usuarios específicos

Dijo que la compañía se remonta a fines de 2019 para recopilar pruebas.

Ver también



Enlace a la noticia initial