Experto: la orden ejecutiva de Biden sobre ciberseguridad es un buen comienzo para proteger a las organizaciones


El experto en ciberseguridad dice que todo comienza con el proceso. La normativa facilitará que las empresas denuncien las infracciones.

Karen Roby de TechRepublic habló con Jennifer Bisceglie, directora ejecutiva de Interos, sobre la orden ejecutiva del presidente Joe Biden sobre ciberseguridad. La siguiente es una versión editada de su conversación.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

Karen Roby: Continúe y repase algunos de los puntos principales de la orden ejecutiva del presidente. ¿Qué es lo que realmente te llama la atención?

Jennifer Bisceglie: Es uno grande, y en realidad hay cinco grandes temas. Y los obtuvieron todos en una orden ejecutiva, que en realidad es bastante grande para el mercado. El primero habla de todo el software program que el gobierno compra necesita para cumplir con los nuevos estándares de ciberseguridad en un plazo de seis meses, por lo que en realidad le asignan un marco de tiempo, en torno a la autenticación multifactor, la detección de puntos finales y la respuesta del computer software. La parte más importante de eso es este concepto de una lista de materiales de software, donde por primera vez, en un esfuerzo por vender application al gobierno, en realidad tendrá que definir la providencia de lo que se construye, en qué código se incluye. productos terminados como Microsoft Office environment. Entonces, eso es un gran problema. El segundo es el establecimiento de una junta de revisión de seguridad cibernética para buscar e investigar incidentes, y aprender y compartir de esos eventos de piratería. El siguiente en realidad, volviendo al punto sobre el intercambio, es el intercambio de información a una escala que nunca antes habíamos visto.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

En realidad, requiere que los proveedores de servicios de TI notifiquen al gobierno sobre las infracciones cibernéticas que podrían afectar las redes gubernamentales, y SolarWinds se estaba utilizando absolutamente como ejemplo allí. El último es un poco más aburrido. Se trata de libros de jugadas estandarizados para la ciberseguridad. Es un proceso no tenemos proceso. Estamos tratando cada incidente y cada evento como la primera vez que sucedió, y realmente no lo es. La última es tener un sistema de respuesta y detección de ciberseguridad en todo el gobierno, que nuevamente se basa en el intercambio de información. Por lo tanto, mucho sobre el intercambio de información, el intercambio activo de información, pero también este SBOM, o lista de materiales de software, es realmente importante.

Karen Roby: Cuando hablamos de intercambio de información, intercambio de inteligencia, quiero decir, esto es algo que parece obvio. Pensarías que cuando compartimos información de lo que está sucediendo aquí y allá, eso solo nos ayuda a todos, pero ¿es algo en lo que no hemos hecho un buen trabajo o simplemente no se ha aplicado?

VER: Experto: Intel compartir es clave para prevenir más ciberataques a la infraestructura (TechRepublic)

Jennifer Bisceglie: Creo que es todo eso. Y desafortunadamente, Karen, este concepto de «¿Por qué no podemos ser todos amigos?», Somos una sociedad muy litigante. Y a muchos de nosotros nos preocupa que si admitimos una infracción, lo que quiero decir, estoy seguro de que usted personalmente lo ha hecho, los oyentes lo hayan hecho. Recibo cartas de muchos de mis proveedores de servicios que dicen: «Oye, cambia tu contraseña porque nos acaban de golpear», sucede todo el tiempo. Pero vivimos en un mundo en el que las personas son y las empresas están muy preocupadas por su marca y reputación. También les preocupa mucho que se cancelen sus contratos o que los demanden. Entonces, creo que inclinarme hacia adelante para hacer que el intercambio de información sea realmente un requisito espera disipar algo de ese miedo que dice: «Si te digo que me han violado, entonces no puedes volver atrás y cancelar mi contrato porque no he hecho nada atroz. De hecho, jugué limpio «.

Karen Roby: Cuando miras esto como un todo, esta orden ejecutiva, ¿qué tan atrasados ​​estamos? Quiero decir, a veces creo que cosas como SolarWinds, o por supuesto, Colonial Pipeline ahora, para que cosas como esa salgan a la palestra o se conviertan en noticias, para que la gente realmente se dé cuenta, «Oh, wow, esto es un poco aterrador.» Quiero decir, entonces estamos atrasados, ¿verdad, en términos de no estar al frente de esto lo suficiente?

Jennifer Bisceglie: Depende de cómo se defina «detrás». No creo que haya nadie por delante, si esa es una mejor manera de decirlo.

Creo, y hubo un informe que salió, creo, esta mañana que hablaba de que la tubería en realidad está mirando hacia el 2019, y esa podría haber sido la primera experiencia que tuvieron en torno a la brecha. Y entonces, estas cosas todavía están sucediendo. Creo que ayer hubo un informe sobre SolarWinds con una serie de empresas que se han visto afectadas, y ese efecto dominó todavía se siente y todavía se está resolviendo. Creo que, de nuevo, poner una línea en la arena que diga: «Esperamos que sucedan cosas, y ahora les hemos dado permiso para compartir sin preocuparse por las represalias», creo que es realmente un gran problema. Y entonces, aquí hay una oportunidad true para compartir información, ya sea de la industria al gobierno, ya sea del gobierno que intenta compartir y aprender, como acabo de mencionar, o hay asociaciones de la industria llamadas ISAC (centros de análisis e intercambio de información) que tienen estado por un tiempo.

Entonces, tiene el ISAC financiero, la atención médica, donde las industrias pueden compartir dentro de sí mismas con sus pares. Entonces, sales de este mundo de, «No quiero compartir con mi competencia que esto ocurrió», porque entonces tienes situaciones de ransomware en las que acaban con industrias enteras al mismo tiempo. Entonces, muchos pequeños bolsillos, creo que esto está tratando de crear más oportunidades, arrojar algo de luz sobre esto y crear una zona segura para que ocurra este intercambio y para que todos podamos adelantarnos, porque los éxitos simplemente sigue viniendo después de los últimos 15 meses.

Karen Roby: Oh sí. Definitivamente. Y no van a parar. Quiero decir, eso es, es lo que es. Hable un poco, de lo que hablamos mucho en TechRepublic aquí y ZDNet es la escasez de talento en ciberseguridad. Y lo estamos viendo mucho con la ciberseguridad, desafortunadamente. Entonces, ¿cómo juega eso? Quiero decir, no tenemos suficiente gente para llevar a cabo mucho de esto.

Jennifer Bisceglie: Creo que hay un par de cosas ahí. Creo que lo primero es que tenemos que empezar a adoptar tecnología más rápido para habilitar a las personas que tenemos. Quiero decir, se están gastando enormes cantidades de dinero en tecnologías de ciberseguridad en este momento, y se está infundiendo efectivo a través de empresas de cash privado y empresas de riesgo para llevar estas cosas al mercado, hay muchos problemas que resolver aquí, y hay una oportunidad actual de aprovechar. tecnología. Creo que eso es lo primero. Lo segundo es la educación de la población activa. Antes de llegar al grano, ¿tengo suficientes personas para resolverlo? Necesito conseguir esa higiene cibernética, de la que nunca me gusta hablar, pero es algo actual.

VER: La formación en STEM y ciberseguridad es essential para el futuro (TechRepublic)

Entre el setenta y cinco y el 80% de lo que sucede a causa de una infracción sucede simplemente: no sé ustedes, y odio hablar de mi madre en una grabación, pero ella tenía 24 virus en su computadora en un momento dado. No solo les sucede a las madres de las personas. Está sucediendo en nuestro lugar de trabajo. Y piense en lo que pasó hace un año y medio, todos fuimos a trabajar desde casa. Entonces, el vector de ataque para cibernética simplemente se multiplicó. Es la notion de crear un entorno seguro y todos hemos escuchado las historias. Todo el mundo tuvo que reducir su postura de seguridad, porque todo el mundo tenía que poder llamar a casa para recibir acceso a los sistemas empresariales. Entonces, ahora tengo un vector de ataque masivo.

La única forma de adelantarse a eso es aprovechar la tecnología y educar a la fuerza laboral. Y luego necesito aplicar algunas de las pymes. Y para ser muy honesto contigo, Karen, no solo está sucediendo a nivel de operador. Está sucediendo en el nivel C-suite. Está sucediendo a nivel de la junta. Está viendo un cambio complete para conseguir más expertos en la materia en múltiples niveles dentro de una organización para, como dijo, adelantarse al problema. Estoy viendo esto, simplemente aprovechando la tecnología que existe, y al menos resolver el problema donde está hoy.

Karen Roby: Recuerdo que fue hace unos dos años, hace dos años y medio, recuerdo haber hecho una entrevista con un tipo que era ex militar. La ciberseguridad period lo suyo. Toda la entrevista se basó en esta strategy que dijo: «Los directorios de las grandes empresas, tienen que tener un experto en ciberseguridad». No es solo una persona de tecnología. Y recuerdo haber leído algunos de los comentarios que decían que la gente decía: «No necesitas un asiento de junta completo para eso», o lo que sea. Y es como, ahora te das cuenta, sí, lo haces. En esos niveles altos, quiero decir, tienes que tenerlo ahí.

Jennifer Bisceglie: Pero lo hace. Y para ser muy honesto con usted, se nos consideraría, Interos se consideraría una pequeña o mediana empresa. De hecho, tenemos un director de seguridad de la información, algo inaudito incluso hace un año, para que una empresa de nuestro tamaño tenga un CISO.

¿Pero sabes que? Algo va a suceder, y solo quiero saber que hicimos todo lo que pudimos para adelantarnos, porque va a suceder. Y entonces, si sucede porque no teníamos las herramientas adecuadas en la empresa, porque tenemos este gran vector de ataque, porque todo el mundo trabaja desde casa a nivel nacional. Quiero decir, nuestra fuerza laboral solía estar vinculada a nuestra oficina de Arlington, Virginia. Ahora casi la mitad de la empresa no está adscrita a mi oficina. Entonces, todos trabajan desde casa.

VER: Ciberseguridad: no culpe a los empleados, haga que se sientan parte de la solución (TechRepublic)

Y eso no va a cambiar. Quiero decir, hay tantas oportunidades en este momento. Y somos una economía international hiperconectada. Si no aprendimos eso durante el último año y medio, no sé cuándo lo aprenderás. Y entonces, en lo que respecta a su punto, no se trata solo de obtener una parte de una PYME que venga a tiempo parcial y lo ayude. Las empresas de todos los tamaños, todas las industrias, todos los países deben tener a alguien asignado a esto, y las herramientas y la tecnología que les permitan hacer algo al respecto.

Karen Roby: Como dijiste, nunca antes habíamos visto esto deslumbrante, frente a nosotros con todos estos ejemplos y cosas que han sucedido. Bueno, terminando aquí, Jennifer, ¿qué tan difícil será adoptar todo esto? Quiero decir, ¿en qué plazo? Sé, como mencionaste, lo único en lo que pusieron un límite de tiempo, los seis meses, ¿cómo es esta adopción?

Jennifer Bisceglie: Creo que es humano y es cultural primero. Creo que, de nuevo, aquí es donde la gente no se va a ir, las herramientas y tecnologías simplemente nos permiten hacerlo mejor, más rápido, más rápido, por así decirlo. Pero realmente necesitamos ver a un humano inclinándose para asegurarnos de que cuando la gente entre, y el primer par de veces que se informe, todo el mundo estará mirando, para decir qué sucede. ¿Nos aseguramos de que Colonial, o quienquiera que esté detrás de Colonial, no obtenga ramificaciones negativas de sus contratos, del gobierno, lo que sea, cuando realmente hicieron lo que se les pidió?

La segunda cosa que creo que debo darme cuenta, Karen, es que la industria no puede hacerlo sin el gobierno, y el gobierno no puede hacerlo sin la industria. Creo que, captar el aspecto humano, conseguir ese cambio cultural, ver estas cosas financiadas, las órdenes ejecutivas son realmente geniales para poner en marcha discusiones como esta, pero ¿realmente vamos a poner fondos para permitir que algunos de estos procesos se pongan en marcha? y tecnologías para resistir? Eso aún está por verse. Creo que el cambio cultural, el liderazgo, así como la financiación para apoyarlo, son las próximas cosas que todos buscarán durante el próximo medio año.

Ver también

concepto de ataque cibernético

Karen Roby de TechRepublic habló con Jennifer Bisceglie, directora ejecutiva de Interos, sobre la orden ejecutiva del presidente Joe Biden sobre ciberseguridad.

Imagen: Rawpixel.com/Shutterstock



Enlace a la noticia unique