No confíes en nadie, ni siquiera en ti mismo: es hora de tomar la confianza cero en serio


En el mundo laboral, existe la posibilidad de que encuentre su parte justa de ejercicios y talleres de formación de equipos. Hay un ejercicio que me viene a la mente que a menudo resulta en preocupado, y caras inquietas durante estos seminarios: The Trust Fall. Esto es donde cae hacia atrás con la expectativa de que su colega lo atrape antes de tocar el suelo.

Wsi tienes estado en una organización durante muchos años o acaba de empezar, la misma sensación de "hoyo en el estómago" reverbera a través de los vientres cuando las personas intercambian miradas nerviosas y sopesan sus probabilidades con cualquier persona con la que puedan estar emparejados cuando TSe anuncia el Trust Fall. Ese sentimiento es duda y no es divertido. Y el problema es que, una vez que se introduce la duda, tiende a expandirse sigilosamente en sus formas siempre activas, silenciosas y transparentes, ya sea sirviendo como una presencia incesante en la parte superior de la mente o manteniéndose a raya solo para levantar su inquietante cabeza en un momento. momento inesperado hasta que se aborde.

"Vi a Chris soltar la grapadora una vez, ¿me dejará caer?" "Sé que Betsy es la madrina de mis hijos, pero ¿y si estornuda mientras me caigo?" "¡Acabo de empezar en esta empresa ayer, no confío en nadie que no conozca!"

Si se pregunta qué tiene que ver Trust Falls con la ciberseguridad, solo tenemos que analizar más profundamente el concepto de confianza en su definición más simple. Tel óxido es un concepto concreto: o está ahí o no está. Confiar en tus compañeros está basado en múltiple parámetros; ¿Serán lo suficientemente fuertes para atraparme? ¿Parecen lo suficientemente maduros para tomar esto en serio? cómo ¿Se comportaron cuando se anunció el juego? – la confianza no se gana fácilmente y lata además perderse rápidamente.

Esta es una necesidad en las empresas de hoy. como informática se ha mudado de privado centros de datos a casi todo consumird como servicio. Taquí hay infinitas opciones para comparar, contrastar y comprender una tecnología apilar, pero cuando las organizaciones comienzan a aprovechar el exterior infraestructura, herramientas y solucióniones: el sentido de confianza en estas soluciones se debilita, ya que la integridad puede ser prometida, pero nunca debe asumirse.

Ejemplos de de esta son abundantes. A medida que vemos, las organizaciones exploran más y más el concepto de confianza. intento de alinear las prácticas con la realidad de circunstancias de seguridad de hoy, estamos viendo un número cada vez mayor de modelos de confianza que se explotan a través de una mala gestión. La intención y la implementación no son suficientes contra amenazas de hoy.

Entonces, mi pregunta a personal del centro de operaciones de seguridad (SOC), Líderes de TIy la c-suite es: Tienes completo confía en tu actual seguridad ¿infraestructura?

Con toda honestidad, ¿puede usted, sin ninguna duda en su mente, decir que su organización datos y computación son seguras? Está ahí cualquier área sobre la que no esté seguro?

Si vaciló al responder, incluso si por un momento, sigue leyendo.

Lo de siempre no es un espacio seguro

Ponerse protectores, mirar constantemente por encima del hombro, esperar siempre lo peor o que se caiga el otro zapato, no son sentimientos deseables. Como un profesional de seguridad, estos son los sentimientos que les hacen abastecerse de antiácidos, sabiendo que son la defensa de primera línea que mantiene a una organización segura y en turno, flujo de ingresos. Para el CIO y CISO, la responsabilidad es desalentadora mientras enfrentan el desafío para reconstruir la infraestructura fragmentada y dispar desde un punto de vista estratégico para servir mejor al negocio de una manera eficiente y transparente todas tiempo simultaneamente mantener el cumplimiento y la integridad de los datos.

Si bien queremos creer que la confianza es un rasgo intrínseco, que nacemos con los ojos brillantes y la cola tupida listos para soltar sólo la verdad – también sabemos, lamentablemente, que la realidad es que no todo el mundo tiene buenas intenciones. Constantemente vemos que esto se desarrolla en la industria de la seguridad donde una empresa es violada, reconociendo las fallas que permitieron que ocurriera la violación., para luego implementar una solución para arreglar la asunto. Esto romper-arreglar ciclo puede resultar en siempre mirar hacia atrás y apresurarse para solucionar el problema de ayer para poner en funcionamiento rápidamente las funciones comerciales sin mirar subyacente problemas o asuntos.

Y ninguna industria es inmune. Los piratas informáticos persiguen todo, desde Horas felices y rutinas de desayuno a Nuestros datos más personales y de alto riesgo en todo el servicios financieros y cuidado de la salud Industrias. Ellos son más estratégicos también, y solo podemos esperar que seguir evolucionando. Adversarios hoy están buscando objetivos de "fruta madura" para aprovechar de modelos de confianza y moverse lateralmente dentro de una organización: primero encontrar una vía para explotar e ingresar para luego obtener acceso a mayor valor objetivos, datos y activos.

Thmi apresurarse para hacer negocioscomohabitual de nuevo en la pista se hace doblemente difícil como negocio impulso no se detiene. Las organizaciones están introduciendo nuevos servicios SaaS, los equipos de desarrollo están escribiendo código nuevo, e incluso el software que ya ha revisado tiene nuevas funciones implementadas. La riqueza de las aplicaciones en la nube personales y corporativas puede llevar a decisiones apresuradas; aumento de la expansión de la pila tecnológica de una organización como nuevas herramientas y se introducen soluciones; así como nuevas políticas, actualizaciones y procedimientos para que el personal aprenda y ejecute. Esto puede todas compuesto en más tiempo dedicado a abordar y arreglar el pasado con blinDers sobre el futuro y otras vulnerabilidades que puedan existir.

De cero a heroe

Si este pasado lleno de pandemia El año nos ha enseñado algo, es que los planes no siempre salen según lo planeado.

Organizaciones que tengo apalancamiento tradicionalmenteD a más fragmentado y enfoque basado en soluciones a la seguridad fueron tomados por sorpresa cuando se impuso la era del trabajo desde el hogar ellos. Desde empresas que actualizan o adoptan herramientas de colaboración, comparten más datos digitalmente y abren el acceso a usuarios externos para crear mayores eficiencias: la regla El libro fue arrojado por la ventana y los actores maliciosos comenzaron a mirar todos los datos que se producían y compartían como niños en una tienda de golosinas.

El impacto de estos planes que salieron mal no es nada agradable y quizá el riesgo podría haberse mitigado usando un mínimo o ganado modelo de confianza como marco estratégico para garantizar una postura de seguridad sólida. La "Confianza cero" El concepto acuñado hace más de una década que describe un modelo para restringir el acceso y el control en la infraestructura de una organización recién ahora está recibiendo mayor atención.

La dura realidad es el ciberdelito ha aumentado un 300% desde que comenzó la pandemia, según el Centro de Quejas de Delitos en Internet (IC3) del FBI. En un momento en quenorte los resultados son más importantes que nunca a medida que las empresas se recuperan, nuestro Costo oculto del delito cibernético informe agrega que el 35% de los encuestados sayuda Los incidentes de seguridad que resultan en un tiempo de inactividad del sistema les cuesta entre $ 100,000 y $ 500,000.

Tla correlación de la ocurrencia de una pandemia y actores malintencionados que se aprovechan de las debilidades causadas por ella es claro como el cristal, lo que lleva a una mayor conciencia. En su Respondiendo a COVID-19: lo que escuchamos de los líderes legales y de cumplimiento informe, Gartner afirma que 52% de los líderes legales y de cumplimiento están preocupados por la cibernéticariesgos de seguridad desde COVID-191. Sabiendo que el mayor número de trabajadores remotos y sus dispositivos móviles (y potencialmente no administrados) puntos finales están dando lugar a más infracciones y que estas infracciones son cada vez más costoso, organizaciones necesitan manejar su arquitectura existente y pasar de la conciencia a la acción, eliminatoriaEn g suposiciones de quién está seguro o con acceso permitido.

Una mentalidad de Confianza Cero permite a las organizaciones restringir y compartimentar el acceso y manipulación de datos mientras se mantiene una experiencia de usuario y unos niveles de productividad óptimos. Directrices como las de thmi Instituto Nacional de Estándares y Tecnología (NIST) puede proporcionar un marco práctico para explorar e implementar Zero Trust.

Con hackers cada vez más sofisticados Para hacerse pasar por redes e infiltrarse a través de usuarios verificados, es hora de volver al tablero de dibujo, comenzando desde cero y asumiendo que todo es una amenaza hasta que se demuestre lo contrario. Este es un cambio de mentalidad y una estrategia, no otra herramienta o solución para enchufar. Implica un reconocimiento de la importancia de la estafatexto y control sobre la postura de seguridad, que solo se puede lograr con una evaluación continua. Es además abfuera reconocer la confianza se trata de riesgo – y eso tiempo El riesgo a veces es necesario para el crecimiento., eso no puede superar la recompensa, así debe ser estratégicamente administrado. Esto línea de pensamiento debe ser cuidadosamente navegadoed como cada vez más empresas buscar definir y asignar rendición de cuentas y responsabilidad en toda la infraestructura.

Si bien el viaje hacia Zero Trust no es el mismo para todas las organizaciones, el imperativo de adoptar Zero Trust es, dadas nuestras experiencias colectivas durante el último año y el ciberdelito a punto de seguir aumentando. Es hora de dejar de mirar por encima del hombro y anticipar lo peor, actuar solo de manera reactiva y, en cambio, sentirse empoderado para borrar las dudas. al mantener seguridad y cumplimiento a través de una organización.

Para obtener más información y comenzar el viaje hacia la implementación de una estrategia Zero Trust, le animo a que explore el centro de seguridad Zero Trust de McAfee.

Fuente: 1 Comunicado de prensa de Gartner, Gartner dice que el 52% de los líderes legales y de cumplimiento están preocupados por el riesgo de ciberseguridad de terceros desde COVID-19, 24 de abril de 2020. https://www.gartner.com/en/newsroom/press-releases/2020-04-24-gartner-says-52-percent-of-legal-and-compliance-leaders-are-concerned-about-third- fiesta-ciberseguridad-riesgo-rince-covid-19 (La URL se puede agregar como un hipervínculo en el título de la fuente)





Enlace a la noticia original