Lectura oscura | Seguridad | Proteja el negocio



Nuestro enfoque de la ciberseguridad nacional está roto. Y esto no sucedió recientemente: la ciberseguridad se ha roto durante décadas.

El ataque de ransomware contra el sistema Colonial Pipeline ocurrió casi 17 años después de que testifiqué ante el Subcomité Senatorial de Terrorismo, Tecnología y Seguridad Nacional sobre los riesgos cibernéticos que enfrenta la infraestructura crítica, en specific los sistemas de command industrial (ICS) utilizados para gestionarlos. Infraestructuras. Y aunque ha habido otros incidentes antes de este que deberían haber provocado cambios radicales en nuestro enfoque de la ciberseguridad, yo, como muchos otros observadores de toda la vida, pensé (quizás ingenuamente) que este sería el llamado de atención que nuestros líderes empresariales necesitaban.

Queda por ver si presionamos o no el botón de repetición perpetua una vez más. Pero hay un camino a seguir para arreglar nuestro sistema roto: Adoptar un enfoque de ciberseguridad basado en el riesgo que de una vez por todas cierre la brecha entre la ciberseguridad y el negocio y alinee a toda la empresa con un enfoque de North Star en los riesgos que más importan organización.

La importancia del ataque al oleoducto colonial
Todo el mundo sabía que se avecinaba un incidente como el que tenía como objetivo Colonial Pipeline. Las luces de advertencia han estado parpadeando en rojo durante 20 años. Hace solo cuatro años que el grupo de amenazas ruso conocido como Sandworm derribó la crimson eléctrica de Ucrania. Un año después, el ataque de ransomware NotPetya le costó a la compañía naviera Maersk y FedEx $ 300 millones cada uno. Habrá más ataques de Colonial Pipeline a otras infraestructuras y negocios críticos.

Pero lo que este evento realmente demuestra es la urgente necesidad de que los líderes empresariales y las juntas directivas tengan una conversación con sus directores de seguridad de la información sobre el riesgo cibernético en términos que puedan comprender. La pérdida por el ataque del Colonial Pipeline es enorme, pero también mensurable. A pesar de lo lamentable que fue el evento, en realidad puede ayudar a algunos líderes que no son de TI a comprender el riesgo cibernético. Después de todo, lo que es cuantificable es más procesable.

El riesgo cibernético debe considerarse y tratarse de la misma forma que cualquier otro riesgo operativo. Las amenazas cibernéticas no son hipotéticas, son riesgos inminentes y muy reales para las empresas. Sin embargo, sin comprender que el riesgo es un problema comercial, no técnico, es possible que los propietarios y operadores de infraestructura crítica no concentren sus recursos en las cosas correctas.

La Obama, Triunfo, y Biden Cada una de las administraciones introdujo estrategias para cambiar hacia un enfoque de ciberseguridad basado en el riesgo. Sin embargo, las decisiones de la sala de juntas no reflejan esta priorización reconocida a nivel nacional, y creciente, de la cuantificación automatizada del riesgo cibernético. Todo, desde la asignación de recursos hasta las operaciones y los procesos, se puede administrar mejor mediante un mayor uso de programas de seguridad basados ​​en riesgos. Este enfoque proporciona más flexibilidad y mejores estrategias para la priorización y, a menudo, es más rentable a largo plazo.

Resolviendo el desafío de la priorización
Mi revisión de lo que se ha informado públicamente sobre el ataque al Oleoducto Colonial, combinado con conversaciones personales con uno de los expertos en ICS más importantes del país, me lleva a creer que dos factores principales pueden haber contribuido a la pérdida temporal de esta pieza tan crítica de infraestructura energética. :

  • Los líderes empresariales y de ciberseguridad no mantuvieron una conversación detallada sobre los riesgos cibernéticos y el posible impacto financiero y operativo.
    • Sabemos desde hace décadas que los sistemas ICS han estado operando con interconexiones peligrosas a las redes comerciales. Una conversación de riesgo, informada por la inteligencia de amenazas del mundo authentic, habría convertido el escenario del ransomware en una prioridad máxima.
  • Como todas las demás empresas, los ciberdefensores de Colonial Pipeline (analistas de amenazas y particular de respuesta a incidentes) se están ahogando en datos de alerta y no tienen forma de priorizar sus flujos de trabajo y automatizar las respuestas.
    • El Departamento de Seguridad Nacional emitió un alerta de ransomware para el sector energético apenas dos meses antes del ataque al Oleoducto Colonial. Esta inteligencia de amenazas debería haber informado los esfuerzos de cuantificación de riesgos, así como respuestas orquestadas y automatizadas en toda la pila de tecnología de seguridad.

Un enfoque de la ciberseguridad basado en el riesgo tiene en cuenta al adversario. Pensar como un actor de amenazas lo obliga a analizar y evaluar escenarios para los que prepararse, y riesgos a considerar que pueden requerir una nueva inversión. No solo están cambiando el panorama de amenazas y las partes de él que son relevantes para su negocio, sino que también están cambiando los controles, las aplicaciones, los puntos finales y el tipo de datos presentes en su entorno. Un enfoque basado en el riesgo mueve su esfuerzo de cuantificación del riesgo cibernético más allá de las evaluaciones puntuales y lo hace de naturaleza programática.

La congelación del ataque Colonial Pipeline de los sistemas de decisiones empresariales en lugar de los sistemas de management me lleva a creer que todavía no estamos explicando con éxito la importancia del riesgo cibernético a los líderes empresariales. La comunidad de riesgo cibernético debe encontrar una manera de exponer a los líderes empresariales y las agencias gubernamentales a las consecuencias y los posibles impactos a largo plazo de las amenazas cibernéticas. Necesitamos demostrar que, desde una perspectiva de inversión, es hora de que todos los líderes adopten la importancia de la gestión de riesgos. Las medidas reactivas no serán suficientes y los planes manuales de gestión de riesgos obsoletos no resistirán la prueba del tiempo.



Enlace a la noticia primary