Lectura oscura | Seguridad | Proteja el negocio



El director de seguridad de la información (CISO) de hoy es a menudo juzgado por qué tan bien la organización se adhiere a las regulaciones de cumplimiento. Pero cuando las organizaciones se enfocan únicamente en el cumplimiento, están perdiendo prácticas importantes de ciberseguridad y esencialmente están entregando sus guías de seguridad a los atacantes.

Esto se debe a que la mayoría de las organizaciones siguen un conjunto específico de requisitos de cumplimiento específicos de la industria que están disponibles públicamente y, por lo basic, tienen requisitos de seguridad heredados y estáticos incorporados, lo que brinda a los atacantes una buena thought de las defensas de una organización. Al comprender las regulaciones de cumplimiento de una organización, un actor de amenazas puede atacar y comprender mejor la barrera de entrada en la mayoría de las organizaciones.

Por ejemplo, existen muy pocos requisitos de seguridad en la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA), ya que la regulación se centra principalmente en la privacidad y el cifrado. De hecho, la HIPAA y otras regulaciones de cumplimiento no abordan adecuadamente el riesgo de que un actor externo de amenazas cibernéticas infrinja y obtenga acceso a una organización.

Los requisitos de cumplimiento también son bastante estáticos y no actualizan ni imponen requisitos de seguridad de forma rutinaria más allá de las medidas básicas como la detección reactiva basada en firmas, una de las técnicas más comunes que se utilizan para abordar las amenazas de application dirigidas a una computadora. Depende del CISO ir más allá del cumplimiento y agregar seguridad adicional para que la organización se mantenga al día con las innovaciones de los actores de amenazas cibernéticas. Las estrategias de seguridad solo de cumplimiento no funcionan, y los CISO deben centrarse directamente en avanzar en la detección y acelerar la detección junto con la segmentación de la red para evitar ataques catastróficos, infracciones, ransomware u otros impactos negativos.

Una de las métricas más importantes para evaluar tales amenazas es el «tiempo de permanencia» medio, o la cantidad de tiempo antes de que se detecte un ataque. De acuerdo a Booz Allen Hamilton, los tiempos de permanencia de la ciberseguridad pueden durar entre 200 y 250 días antes del descubrimiento. El ataque SolarWinds y el tiempo de permanencia prolongado son evidencia suficiente de que los CISO necesitan fortalecer sus procedimientos de detección de amenazas y crear mitigaciones para el riesgo de terceros.

Las siguientes son algunas estrategias clave de ciberseguridad que se deben tener en cuenta al ir más allá de la seguridad de solo cumplimiento para crear una defensa más sólida.

1. Reducir los tiempos de selección
Cada centro de operaciones de seguridad (SOC) se está ahogando en eventos, y mejorar la priorización y reducir los tiempos de clasificación ayudará a mejorar la detección de amenazas y limitará drásticamente los tiempos de permanencia de los atacantes. La creación de un proceso de clasificación eficiente y preciso aprovechará al máximo el tiempo de los analistas de SOC, reducirá el tiempo para responder y abordar incidentes y garantizará que solo las alertas válidas se promuevan al estado de «investigación o incidente». Aprovechar las herramientas que no son cajas negras y proporcionan un contexto rico y correlación automatizada a los analistas es un buen comienzo. Cada parte del proceso de clasificación debe realizarse con urgencia, ya que cada segundo cuenta cuando los posibles piratas informáticos tienen acceso a la red de una organización. Establecer un flujo de trabajo que divida las tareas entre los respondedores es un buen primer paso. Las herramientas de flujo de trabajo que automatizan la asignación de tareas también pueden ayudar a reasignar o rechazar tareas para agilizar el proceso de clasificación. Acelerar los tiempos de clasificación les da a los atacantes menos tiempo para infiltrarse y robar datos importantes.

2. Proteja los datos críticos
No todos los datos se crean por igual en una organización, y las empresas deben comprender qué datos necesitan protección crítica. La identificación de los activos clave por adelantado es basic para proteger con éxito a una organización contra amenazas de seguridad inminentes. La clave para una buena defensa de la ciberseguridad es reducir la exposición y minimizar las superficies de ataque, pero las organizaciones no pueden proteger todo por igual, por lo que los datos confidenciales, como la tarjeta de crédito o los datos personales de los empleados, deben aislarse de la purple comercial principal.

3. Minimizar las relaciones de confianza
Minimizar las relaciones de confianza entre partes de su negocio o socios externos ayudará a las organizaciones a proteger mejor los activos clave y limitar el daño colateral si se generate un ataque exitoso. Si bien las organizaciones se esfuerzan por implementar prácticas de confianza cero, esto es más difícil de lo que la mayoría de los equipos de seguridad se dan cuenta.

La premisa básica de la confianza cero es no confiar en alguien hasta que se cumplan ciertos criterios. Desafortunadamente, la mayoría de las organizaciones no saben cuántas computadoras o usuarios hay en su purple y no saben qué tipo de datos se encuentran dentro de la pink. La implementación de la confianza cero a escala significa que los equipos de seguridad deben saber todo simultáneamente a escala en toda la empresa, una tarea abrumadora. Un primer paso más factible puede ser hacer que las organizaciones limiten las relaciones de confianza segmentando partes de su purple para garantizar que un compromiso en un área no afecte a toda la red y los datos de la empresa, lo que, desafortunadamente, ocurre con demasiada frecuencia.

4. Practique una buena higiene en materia de ciberseguridad
Las organizaciones deben mantenerse al día con la higiene básica de ciberseguridad, como parchear aplicaciones regularmente, realizar ataques simulados y realizar capacitaciones regulares de ciberseguridad para los empleados. La mayoría de las empresas que siguen una estrategia de seguridad de solo cumplimiento se mantendrán al día con la implementación de parches de seguridad, pero los CISO deben ir más allá del cumplimiento básico y diseñar una organización con capas de resiliencia cibernética. Y comienza invirtiendo en prácticas básicas de ciberseguridad.

El riesgo de la seguridad basada únicamente en el cumplimiento
Los adversarios de la ciberseguridad son oportunistas y pacientes. Los atacantes esperarán el momento adecuado para atacar, como durante un desastre organic, unas vacaciones o simplemente un cambio de trabajo a nivel de CISO (como en algunos ataques de alto perfil). Los atacantes también suelen buscar el camino de menor resistencia, y las estrategias de seguridad de solo cumplimiento ofrecen un camino claro para atacar. El basic hecho de mantener los requisitos mínimos de cumplimiento les da a los piratas informáticos acceso al manual de estrategias de seguridad de una organización, lo que aumenta drásticamente la probabilidad de una violación de seguridad.



Enlace a la noticia initial