CISO: es hora de volver a los conceptos básicos de seguridad


El mundo posterior a la pandemia verá la ciberseguridad abordada de manera diferente, dijeron los panelistas durante un seminario internet en línea organizado por ReliaQuest el miércoles.

concepto de ciberseguridad

Imagen: iStock / sdecoret

El panorama de las amenazas cibernéticas se ha vuelto más peligroso durante el último año y la alta dirección está prestando mayor atención, pero todas las herramientas del mundo no ayudarán hasta que las organizaciones se concentren en una buena higiene cibernética. Ese fue uno de los mensajes de los CISO que participaron en un seminario world-wide-web de un grupo de expertos virtual organizado por ReliaQuest el miércoles.

«Los fundamentos de ser bueno en la higiene cibernética es el aspecto más descuidado» de la seguridad cibernética, dijo Chris Hatter, CISO de Nielsen. «Si no es bueno en los conceptos básicos y se asegura de comprender los conceptos básicos de su crimson, como la aplicación de parches y la supervisión remota, no está preparado para el éxito».

Dave Summit, quien recientemente renunció como CISO de Moffitt Most cancers Research Institute, estuvo de acuerdo y dijo que «los fundamentos son clave para un programa exitoso. Si no tiene los fundamentos … se está perdiendo todo lo demás».

VER: Política de COVID-19 en el lugar de trabajo (TechRepublic Quality)

Otra área descuidada es lidiar con los sistemas heredados que no se reemplazan lo suficientemente rápido, agregó Summit, quien ahora es miembro del think tank Institute for Crucial Infrastructure Technologies. «Tenemos empresa de seguridad tras empresa de seguridad surgiendo de la carpintería y todos parecen ofrecer la solución adecuada para todos sus problemas y todos sabemos que ese no es el caso».

La fatiga por alerta es otro problema, dijo Summit. «No hemos llegado a un buen punto de comprensión de lo que significan los eventos y cómo filtrarlos adecuadamente para saber lo que significan para su organización. Es uno de los grandes que acaba con el cibernético rápidamente».

El moderador Jon Oltsik, analista principal senior de ESG, dijo que agregaría la capacitación como un área más descuidada. Además, «en términos de riesgo, ¿cómo se mejora o se trabaja para maximizar la identificación de riesgos y comprender realmente el riesgo cibernético en lo que respecta a las aplicaciones de misión crítica?» Dijo Oltsik.

No solo las amenazas cibernéticas se han vuelto más sofisticadas, sino que también ha aumentado la cantidad de actores maliciosos: son más persistentes y están más capacitados para comunicarse y colaborar entre sí, dijo Oltsik.

«Se comunican mejor que en el lado del proveedor», dijo Oltsik. «Los trabajadores remotos influenciados por la pandemia han aumentado y la escasez de habilidades en ciberseguridad» son otros factores.

«No está mejorando y la escasez de habilidades a menudo se malinterpreta porque no tenemos suficientes personas, pero tampoco tenemos las habilidades adecuadas», dijo Oltsik.

Otros puntos débiles para los CISO son que la pila de tecnología de seguridad se ha vuelto compleja y tienen que mantenerse al día con la innovación, las tecnologías cambiantes y los diferentes entornos de proveedores, dijo.

Cuando se trata de la toma de decisiones sobre ciberseguridad, hoy en día hay mucha más participación de las juntas directivas, y se les pide mucho más a los equipos de seguridad, dijo Joe Partlow, CTO de ReliaQuest.

Definición de riesgo

La capacidad de comprender el riesgo es una de las habilidades que Summit dijo que cree que falta ahora. Durante bastante tiempo, la ciberseguridad se centró más en las operaciones técnicas del día a día y ahora se ha trasladado al espacio gerencial, dijo.

«La gestión de riesgos es en gran medida un deporte de equipo, realmente no se puede hacer esto en el vacío», acordó Hatter. A veces, las unidades de negocio no sienten que ninguno de sus datos sea privado o smart, y las organizaciones necesitan tener un proceso para definir el riesgo «de formas que tengan sentido para una unidad de negocio en individual», dijo. Cuando el riesgo está claramente definido, TI puede entrar en métricas más profundas para descubrir qué sistemas son vulnerables y mitigar los que se han visto comprometidos, dijo Hatter.

El objetivo de la ciberseguridad solía ser proteger los datos y la privacidad de las personas, dijo Summit. Ha habido un cambio importante en ese pensamiento.

«Una cosa es perder los datos de un paciente, que es extremadamente importante proteger, pero cuando comienzas a interrumpir» la capacidad de las personas para viajar o la cadena de suministro de alimentos «, tienes un nivel de problemas completamente diferente … No se trata solo de proteger los datos, sino sus operaciones. Ahí es donde comienzan a producirse cambios importantes «.

Summit agregó que durante mucho tiempo ha dicho que si las empresas estuvieran haciendo de la ciberseguridad una alta prioridad mucho antes, «no estaríamos en esta posición» y enfrentaríamos el escrutinio del gobierno.

El campo de la ciberseguridad es «increíblemente dinámico», dijo Hatter, y los CISO no pueden darse el lujo de planificar de tres a cinco años. «Queremos crear e implementar una estrategia sólida y sólida. Pero las fuerzas del mercado exigen recalibramos lo que hacemos y COVID-19 fue un gran ejemplo de eso». Los CISO ahora deben tener una estrategia lo más resistente posible, pero deben estar preparados para realizar cambios.

Los proveedores de servicios de seguridad administrados pueden ayudar, dijo Summit, pero los CISO todavía se sienten abrumados. «Siento que nos han inundado los ataques, y todos se están dando cuenta y hacen preguntas, y los equipos de seguridad están sobrecargados con fatigas de alerta de las herramientas», dijo. «Ahora, la gente está haciendo las preguntas correctas, (pero) eso quita tiempo de abordar los problemas «.

Hacer que la detección de amenazas sea más eficiente

La investigación de ESG ha demostrado que el 88% de las empresas invertirán más en la detección de amenazas este año, dijo Oltsik. Preguntó a los panelistas qué se puede hacer para que la detección de amenazas sea más eficiente.

Mejorar la protección contra amenazas no se limita a asegurarse de tener las mejores tecnologías, dijo Hatter. «Debe tener un compromiso organizacional con un nivel de estandarización en TI que lo get ready para el éxito y visibilidad para detectar problemas».

Sin un compromiso con los estándares, los profesionales de TI y seguridad estarán en «un estado constante de ejecución en busca de activos no administrados», dijo.

Summit dijo que cree que la industria verá una mayor separación de los equipos cibernéticos de TI y que «hace mucho tiempo». La razón es que la mayoría de los problemas de ciberseguridad se deben a configuraciones incorrectas y al uso inadecuado de los activos, dijo.

«Para mí, esa es la prioridad de TI. Si está haciendo los fundamentos correctamente … ya está reduciendo su nivel de riesgo. Entonces, los equipos cibernéticos pueden concentrarse en algo diferente a buscar configuraciones incorrectas». Pueden dedicar su tiempo a observar lo que está entrando en el medio ambiente y lo que está siendo exfiltrado y concentrarse en cuáles son las amenazas reales, dijo.

Herramientas, herramientas y más herramientas

Partlow dijo que ReliaQuest ve un promedio de 30 a 40 herramientas en una empresa, «y la mayoría de las veces, eso solo aumenta la confusión y el ruido». Muchos tampoco están acostumbrados a su capacidad overall, dijo.

«Lo primero que dificulta la detección de amenazas es no tener visibilidad en el entorno (de crimson) completo», dijo. «No se puede proteger lo que no se puede ver». La mejor manera de mejorar la detección de amenazas es obtenga esa visibilidad y reduzca el ruido, dijo Partlow.

Hatter dijo que cree que los proveedores deben reconsiderar sus modelos de precios «para brindarnos más apoyo y crear conjuntos de reglas más sofisticados. Ese es un punto de dolor para mí y para otros CISO con los que he hablado».

Debido a que los equipos de TI ya tienen fatiga por alerta, Summit sugirió que hablen con sus MSSP antes de invertir en más herramientas. «Si tiene un socio administrado, aproveche su experiencia. Trabajan para una amplia gama de clientes y tienen mucha información valiosa que puede ayudarlo a decidir qué buscar».

También hizo un enchufe para utilizar organizaciones como ISAC. «No puedo enfatizar lo suficiente lo importantes que eran para nosotros» cuando estaba en Moffitt, debido a la capacidad de compartir información y aprender los pros y los contras de diferentes conjuntos de herramientas.

«Aprendimos mucho y así es como seleccionamos muchas de nuestras herramientas. Nunca recomiendo que ningún equipo se aísle. Utilice una amplia gama de personas».

Ver también



Enlace a la noticia authentic