¿Qué se puede hacer con respecto a la creciente frecuencia y gravedad de los ciberataques corporativos y las brechas de seguridad?

Michelle Alvarez , investigadora y editora de amenazas de IBM:

“Aunque se planteó hace varios años, esta pregunta sigue siendo, lamentablemente, relevante hoy en día. De hecho, según un informe, el número de registros que se expusieron en el primer semestre de 2017 es mayor que el número de todo 2016. Y en más de 4 mil millones, el número de registros filtrados en 2016 ya era más del doble que de los dos años anteriores combinados.

Esta pregunta también se dirige potencialmente a múltiples audiencias: gobierno, aplicación de la ley, corporaciones e individuos. Las corporaciones se pueden dividir en los proveedores de software, dispositivos, etc. y las organizaciones o consumidores de esos productos. Todos tienen un papel que desempeñar en la seguridad cibernética. Dado que profundizar en las recomendaciones para cada uno de estos grupos podría generar varios artículos largos, me centraré en lo que mejor sé y eso es hablar sobre lo que las corporaciones pueden hacer para mitigar los riesgos y reducir los costos de una violación de datos. Después de todo, la “gravedad” de un ataque o violación a menudo tiene una correlación directa con los costos involucrados para responder y remediar la violación.

Afortunadamente, ya existe un estudio que describe claramente el impacto de 20 factores que pueden aumentar o disminuir el costo de una violación de datos. De acuerdo con el Estudio de Costos de Infracción de Datos de 2017 del Instituto Ponemon, patrocinado por IBM, la forma número uno de reducir el costo de una violación de datos es con un equipo de respuesta a incidentes (IR). La frase ‘el tiempo es dinero’ nunca es más aplicable cuando ocurre una violación y no tener un Plan de Respuesta a Incidentes de Seguridad Cibernética (CSIRP) efectivo podría resultar en una gran cantidad de tiempo y dinero desperdiciados. Algunos de los factores que pueden contribuir al aumento de los costos incluyen la participación de terceros en una infracción y una extensa migración a la nube en el momento de la infracción.

Si bien las corporaciones pueden no ser capaces de reducir la frecuencia de los ataques, alimentadas en gran medida por el aumento del cibercrimen organizado y el éxito de la extorsión cibernética, como los ataques de ransomware, ciertamente pueden reducir el impacto de estos ataques. Las soluciones de gobernanza, gestión de riesgos y cumplimiento (GRC) pueden ayudar a las organizaciones a mejorar su capacidad de detectar y escalar una violación de datos “.

Cualquier información que proporcione IBM no es asesoramiento legal.

Related Content

¿Es una carrera de seguridad cibernética buena para una persona que no es de TI?

¿Cómo deberían las personas mantener sus computadoras seguras más allá del software antivirus y las actualizaciones regulares del sistema operativo?

¿Cuáles son algunos blogs administrados por probadores de penetración indios (hackers)?

¿El servicio de Amazon AWS alguna vez brinda información sobre el uso / actividad de un cliente a otros clientes premium de AWS?

¿Qué opinas de Blackphone?

Hay una gran cantidad de problemas al tener algo que alcanza “adecuado” y mucho menos aspira a “realmente bueno” en seguridad corporativa. Incluso si usted es una gran empresa que cotiza en bolsa, como Target o Home Depot (ambos han tenido infracciones masivas), donde esperaría que la exposición cambiara las cosas, no lo hace.

Los problemas son 1) conveniencia para los usuarios finales, muchos de los cuales son capaces y están dispuestos a subvertir cualquier medida que no les guste y 2) el apoyo de la suite de nivel C en términos de liderazgo y finanzas.

La tecnología no es el problema. Las personas y el dinero son el problema.

También señalaré que la virulencia y la intensidad de los ataques transmitidos por la web están aumentando. El “manejo por descarga” ahora es de vanguardia, donde lo que parece ser un píxel de seguimiento inofensivo realmente descarga un programa que perfila su sistema y “llama a casa” para lanzar ataques a medida con la intención de convertir su sistema en un zombi sin sentido en alguien botnet, o peor, extrayendo su información personal y financiera para obtener ganancias.

Matthew Davis

1. Comience a escuchar, no solo a escuchar, a su equipo de seguridad. El equipo de firewall notó la violación de Target meses antes de que ocurriera el ataque real, pero se perdió por capas de comunicación administrativa que no tomaron en serio las advertencias.

2. Domine el buen equilibrio de usabilidad y seguridad. Es más fácil decirlo que hacerlo. Casi todos los procedimientos de seguridad están intrínsecamente en desacuerdo con la usabilidad del producto. En un intento por dificultar las cosas a los piratas informáticos, la usabilidad es muy dura. Y por lo tanto, la seguridad se ignora.

3. Comprenda que defender es más difícil que atacar. Para salvaguardar los sistemas de datos, es necesario defender “todas las puertas del fuerte”. Para atacar una sola ‘puerta débil al fuerte’ es suficiente,

4. Esfuerzos proactivos de los CXO para mantener actualizadas las medidas de seguridad. A veces, bien, la mayoría de las veces, limita con la paranoia.

IBM Security

Las principales soluciones aquí son una intranet confiable separada de Internet por un cortafuegos o un foso, un equipo de respuesta profesional dedicado, seguridad física, un conjunto limitado de configuraciones de hardware / software que se actualizan rápidamente para corregir fallas de seguridad recientemente descubiertas, cuidadosamente formuladas y políticas de datos rigurosamente aplicadas y conocimiento general de los problemas clave de seguridad por parte de los empleados.

Dado un presupuesto adicional, uno puede encargar periódicamente a consultores externos (con sólida reputación) que entren en los sistemas de la compañía, con el propósito de encontrar nuevas vulnerabilidades.

Las principales compañías de tecnología tienen un historial razonablemente bueno en seguridad.

IBM Security

Hay una amplia variedad de enfoques que son constructivos y que las empresas ya están haciendo. Creo que hay un aspecto de mayor nivel en su pregunta que merece consideración.

Admitiré que durante mucho tiempo los profesionales de seguridad de la información tuvieron un enfoque de seguridad todo o nada. Es decir, si las personas no pudieran hacer todo lo necesario (en su entendimiento) para mitigar las exposiciones sobre las que sabían, había una tendencia a levantar las manos con resignación.

Esto ha mejorado un poco en muchas empresas, y las discusiones sobre “gestionar el riesgo” y “operar con capacidad de recuperación” ahora son más comunes que nunca en el tiempo que he estado trabajando en este espacio.

Con la partida de al menos un CEO de una empresa pública después de una violación, ahora hay un diálogo público más fuerte, y me temo que conceptualmente está unos años detrás del pensamiento de las personas centradas en la seguridad. Ahora hay una expectativa de todo o nada por parte del público, que bien puede ser poco realista. Despedir a un CISO, CIO o CEO para “arreglar” una situación de violación de seguridad a veces puede estar justificado, pero podría ser increíblemente contraproducente y destructivo para la memoria institucional que podría emplearse para combatir otros ataques.

El estribillo común ahora es “¿cómo pudo haber ocurrido esta violación?” Voy a afirmar que esta es la pregunta equivocada. Para usar una analogía de la medicina, no nos preguntamos “¿Cómo podría haber contraído este resfriado?” cuando bajamos con una infección respiratoria. Reconocemos implícitamente que el “panorama de amenazas” incluye cosas de las que podemos ser víctimas a pesar de nuestros mejores esfuerzos en higiene (lavado de manos, etc.)

Tampoco despedimos a nuestro médico cuando nos resfriamos. Utilizamos su experiencia para ayudarnos a gestionar el impacto y el riesgo del evento.

Hay un valor real en comenzar a pensar más sobre la gestión del riesgo comercial de las infracciones y compromisos de datos empresariales. La realidad es que hay un ataque implacable y continuo de ataques continuamente adaptativos en nuestras redes domésticas, comerciales y gubernamentales.

Los militares gastan mucho tiempo y dinero en pensar y construir procesos y sistemas que pueden “operar en un modo degradado”. El hecho de que un adversario encienda un bloqueador de comunicaciones no debería significar que las fuerzas tengan que empacar e irse a casa. Encuentran formas de trabajar incluso cuando algunas cosas están comprometidas.

Los médicos y las compañías farmacéuticas gastan tiempo y dinero para lograr un equilibrio entre las soluciones que mitigarán las enfermedades y las que son demasiado costosas, poco prácticas o peligrosas, a pesar de que podrían funcionar.

Hasta que empecemos a preguntar “¿Cómo podemos continuar operando aun cuando algunas cosas puedan verse comprometidas? ¿Cómo podemos minimizar la cantidad de datos perdidos cuando lo están?” y “¿Cómo podemos gestionar el riesgo comercial relacionado con estas exposiciones?” Es probable que sigamos tratando cada incumplimiento como si fuera un evento mágico único. y no aprender de nuestras propias experiencias.

Hay movimientos por parte del gobierno de los Estados Unidos para alentar un mayor enfoque en el papel de la transferencia de riesgos (seguros, etc.) en la gestión del “riesgo de ciberseguridad”. Probablemente esto es algo bueno. Muchas de las soluciones necesarias NO son técnicas, sino cuestiones de capacitación, procesos comerciales, flujo de trabajo y cultura corporativa.

También hay empresas que también han llevado la capacitación de concientización de los empleados al siguiente nivel. Hay muy pocos que han incorporado con éxito la “gamificación” de su conciencia de seguridad y el proceso de notificación de incidentes en toda la empresa. Han creado estructuras de incentivos que hacen que valga la pena hacerlo para cualquier empleado, independientemente de su rol o rango. Eso seguramente hará una gran diferencia con el tiempo.

Por último, es hora de que las personas que crean contramedidas a los ataques comiencen a pensar de manera generalizada en el “factor de trabajo” como algo que debe aumentar para el atacante. No se trata solo de la metodología de ataque particular que usan, sino de cómo hacer que los ataques sean menos prometedores. Si yo, como atacante, tengo que gastar más dinero para tener éxito del que es probable que salga de un ataque exitoso, es muy poco probable que esa actividad valga la pena.

Derek Schatz

No importa en qué industria se encuentre y con qué tipo de datos trabaje, debe tomar las medidas necesarias para mejorar su postura de seguridad. Uno de los pasos más importantes en ese proceso es fomentar una cultura que promueva la ciberseguridad, una que haga que sus empleados se preocupen por proteger tanto sus propios datos como los suyos.

Promover una cultura centrada tanto en las personas como en la seguridad al mismo tiempo. Sigue estos pasos:

  • Comprende tu tolerancia al riesgo. ¿Qué datos y sistemas necesita proteger y qué nivel de seguridad es necesario para proteger esos activos?
  • Establecer expectativas razonables. Mostrar resultados tangibles de la buena ciberseguridad, y las consecuencias de la mala. Asegúrese de que todos sus trabajadores sepan lo que se espera de ellos y de que estén conscientes de los riesgos que enfrenta su organización.
  • Educar. Asegúrese de organizar sesiones de capacitación programadas regularmente para que los empleados de la escuela sobre todos los fundamentos específicos necesarios para mantener los datos seguros: navegación segura, buena contraseña, correo electrónico y prácticas de seguridad, comportamiento adecuado en las redes sociales y seguridad móvil adecuada.
  • Asegúrese de que haya un compromiso ejecutivo. No importa si ordena prácticas de seguridad adecuadas para sus trabajadores regulares si los ejecutivos no pueden molestarse en seguir las reglas.

Sin una cultura centrada en la seguridad, no importa qué estrategias tenga implementadas, serán superadas por el hecho de que a nadie le importa.

Para leer más sobre la cultura de ciberseguridad corporativa, consulte esta publicación de blog: ¿Por qué la cultura corporativa es esencial para una buena ciberseguridad ?

IBM Security

More Interesting

Cómo equilibrar el riesgo inherente de ciber ofensivo

Cómo crear una empresa de pruebas de ciberseguridad y penetración en India

¿Qué tan segura de la intención maliciosa es la conectividad Bluetooth?

¿Cómo es PwC para una seguridad cibernética más fresca?

¿Qué campos de ciberseguridad / seguridad de la información no requieren codificación?

Cómo aumentar la seguridad en línea

¿Es peligroso si no salgo de las cuentas en línea en mi computadora portátil personal?

¿Existe algún algoritmo amigable para los humanos para elegir contraseñas (y no olvidarlas)?

¿Cuándo será posible votar en línea en las elecciones presidenciales de los Estados Unidos? Supongo que lo único que nos detiene es el problema de seguridad (cómo identificar al votante y cómo evitar la piratería de los resultados).

¿Cómo omiten las botnets el captcha en varios sitios web?

¿Las puertas traseras de cifrado son una buena técnica?

¿Qué información básica debo saber y qué cursos debo tomar si quiero comenzar a hackear web éticamente?

¿El cifrado TLS cifra un destino IP?

¿Podemos esperar una revisión al método de inicio de sesión de nombre de usuario / contraseña convencional pronto?

¿Cuáles son los mejores programas anti malware?