Desmontando la pureza de la seguridad de la información y otros mitos de seguridad tras los recientes ataques


El equipo de seguridad de Forrester rompe varios mitos de seguridad.

infosechackeristock.jpg

Imagen: Frank Peters / iStock

Recientemente, un artículo de opinión envió a Twitter a la seguridad de la información (infosec) al culpar a las mejores prácticas de la industria de la ciberseguridad por las recientes brechas de seguridad de alto perfil. Para el equipo de seguridad de Forrester, el artículo de opinión promovió una serie de mitos de seguridad que nos sentimos obligados a romper aquí.

Mito n. ° 1: los mejores profesionales de la seguridad de la información nunca han tenido un incidente de seguridad

Un conteo rápido entre el equipo de seguridad y riesgo (S&R) de Forrester determinó que si los equipos de seguridad solo contrataran a personas que nunca habían trabajado para una empresa que había sufrido un incidente de seguridad, la mayoría de nosotros ya no podríamos emplear.

Las infracciones son oportunidades de aprendizaje para las empresas, los profesionales y la totalidad de la industria. Las lagunas en la visibilidad, los errores de procedimiento, las implementaciones deficientes, las malas decisiones y la información incorrecta o incompleta pueden combinarse para empeorar las infracciones. Aprendemos a superarlos compartiendo información, no avergonzando a las personas.

VER: Política de protección contra robo de identidad (TechRepublic Top quality)

Mito n. ° 2: existe la seguridad perfecta

No solo la mayoría de nosotros hemos trabajado para una empresa que ha sufrido un incidente, sino que los incidentes son inevitables. Cincuenta y nueve por ciento de los tomadores de decisiones de seguridad worldwide que respondieron a la Encuesta de seguridad de Forrester Analytics Company Technographics®, 2020, dicen que los datos confidenciales de su empresa fueron violados al menos una vez en el último año. Los incidentes ocurren. Las infracciones ocurren. Las organizaciones inteligentes no arrojan piedras ni persiguen ambulancias, sino que se acercan a la seguridad con una mentalidad posterior a la infracción.

Aquellos que no comprenden la seguridad pueden creer que la seguridad sin incidentes es posible o que el director de seguridad de la información perfecto es el que nunca ha tenido un incidente. Estos son algunos de los malentendidos en la diferencia entre seguridad y riesgo. Si desea una seguridad perfecta, desconéctese de World-wide-web y desenchufe todas las computadoras. Dado que eso no es realista, los equipos de seguridad asumen riesgos calculados y descubren hasta qué punto pueden exponer a la organización a seguir haciendo negocios pero disminuir la probabilidad de una infracción.

Mito n. ° 3: las mejores prácticas de seguridad son ideales académicos que no funcionan

Es fácil criticar las «mejores prácticas de seguridad» nebulosas por no ser lo suficientemente robustas para prevenir ataques, pero la mayoría de los expertos le dirán que las infracciones ocurren no debido a las mejores prácticas inapropiadas, sino porque no se están siguiendo las mejores prácticas. Las afirmaciones sobre la necesidad de un «renacimiento» en el espacio de la seguridad no logran comprender o llevar la empatía a la profundidad del desafío. Es fácil decir que la industria de la seguridad necesita un renacimiento Es difícil decir realmente cómo se vería y cómo abordaría mejor los desafíos que enfrentamos. Es fácil decir: «Implementemos la confianza cero». Es difícil ser realmente el que tiene que ejecutar. Cualquiera que esté en las trincheras puede explicar por qué, al igual que los especialistas en advertising de contenido saben que no es suficiente escribir un website lleno de palabras de moda y los gerentes de producto saben que no pueden implementar todas las funciones importantes que desean de inmediato.

Romper los mitos e influir en el cambio que la seguridad realmente necesita

Lo más triste es que, si bien estos mitos suenan falsos para la mayoría de los profesionales de la seguridad, hay un subconjunto dentro de TI y la empresa que probablemente los crea. Después de todo, la seguridad no tiene necesariamente la mejor reputación, y eso es algo que la profesión se ha esforzado por corregir. Desafortunadamente, esta falta de apoyo es inútil en el mejor de los casos y profundamente dañina en el peor. De hecho, una de las principales causas de toxicidad en la seguridad hoy en día es la falta de apoyo organizacional.

Si bien es fácil sentirse frustrado con opiniones desactualizadas e indignantes, hay pasos que puede tomar para ayudar a cerrar esa brecha en la comprensión. A medida que construye una cultura de seguridad, concéntrese en la transparencia, saliendo de los silos y compartiendo tanto las razones de las mejores prácticas como los éxitos que producen.

Una cultura transparente y consciente de la seguridad tiene el potencial de hacer o deshacer el impulso ascendente de los programas de seguridad y su marca. Esto no ocurre por milagro, sino adoptando un enfoque metódico para: 1) establecer el tono desde arriba con su tabla 2) construir un programa de seguridad centrado en el ser humano 3) generar apoyo, gestionar a los detractores y navegar por la política 4) salga de los silos con los campeones de seguridad, ya sean desarrolladores que lo ayuden a abordar los problemas de seguridad de las aplicaciones o campeones que lo ayuden a cambiar su marca y 5) anunciar su progreso y éxitos en toda la organización.

Esta publicación fue escrita por la analista principal Sandy Carielli, y apareció originalmente aquí.

Ver también



Enlace a la noticia original