¿Por qué las compañías que son atacadas por el cibercrimen tienen poca seguridad?

  • La seguridad rara vez es una prioridad a nivel ejecutivo

Los ejecutivos tienen un exceso de trabajo y se ven obligados a priorizar qué temas llaman su atención. Las empresas viven y mueren con los ingresos y, por lo tanto, los problemas que se clasifican directamente en los ingresos generalmente son los que llaman la atención en los niveles más altos. La seguridad con frecuencia no gana este nivel de atención hasta que ocurre un incidente grave. Lo que nos lleva a:

  • La seguridad es parte de los gastos generales.

Los gastos generales son algo que las empresas quieren minimizar. Invertir en seguridad requiere el conocimiento y la previsión para comprender el precio del riesgo, la naturaleza de los riesgos enfrentados, lo que está en juego y confiar en sus expertos en seguridad para proporcionar una buena justificación para niveles específicos de financiamiento. Esto no es comun. Mucho más común es la actitud de la administración de Home Depot antes de su intrusión reciente. Cuando sus expertos en seguridad le advirtieron sobre el riesgo que enfrentaba la compañía y la necesidad de una mayor inversión en seguridad, la gerencia supuestamente respondió: “Vendemos martillos”.
Los New York Times

  • La seguridad es un continuo

La seguridad es un tema muy complejo, uno que es extremadamente difícil de incluir en una presentación de diapositivas de PowerPoint de alto nivel o en una lista de verificación. Es muy tentador simplemente enumerar el ciberataque como un riesgo único y luego decir que se mitiga debido al software antivirus y los firewalls. Es mucho más difícil de entender que no existe tal cosa como “completamente seguro” y que el “ataque cibernético” realmente está constituido por una multitud de amenazas diferentes que pueden requerir muchas acciones diferentes para mitigar.

  • La seguridad interfiere con la usabilidad

No hay forma de evitarlo, la seguridad y la usabilidad están en desacuerdo. Las medidas de seguridad se interponen regularmente en el camino de los usuarios que hacen su trabajo. Esto degrada la productividad y exacerba la carga del personal de la mesa de ayuda. Esto siempre es un equilibrio, y la seguridad frecuentemente pierde porque los efectos de usabilidad siempre son más visibles que el riesgo mitigado. (¿Y a quién le gusta que le impidan hacer su trabajo?)

  • La buena seguridad es laboriosa

La seguridad no viene en una caja. La buena seguridad corporativa es intensiva en mano de obra, y la mano de obra es cara. ¿Busca dar un paso muy razonable para mejorar la seguridad segmentando la red de su gran empresa para que la información personal de recursos humanos no sea accesible desde su entorno de desarrollo? (Te estoy mirando, Sony) Prepárate para un esfuerzo muy largo y laborioso mientras intentas separar todas las relaciones entre los usuarios y los recursos a los que necesitan acceder. ¿Quiere monitorear su red para detectar posibles intrusiones? Buena idea, pero necesitará personas con las habilidades adecuadas para revisar constantemente los datos que genera su red para hacerlo de manera efectiva.

  • Las empresas tienen un control limitado sobre su propia seguridad.

Otra verdad desafortunada sobre la seguridad es que hay algunas cosas que no puedes controlar. No importa la cantidad de capacitación que se brinde a los usuarios, alguien siempre hará clic en el enlace del correo electrónico de phishing que le da a un atacante un punto de apoyo en su red corporativa. No importa cuán diligente sea en la aplicación de parches de software, siempre habrá más vulnerabilidades de software que los atacantes pueden explotar para socavar sus defensas. (Especialmente atacantes sofisticados que tienen los recursos para encontrar los días cero)

  • Los atacantes están superando a los defensores

Los ataques vistos contra Target, Home Depot y Sony fueron lanzados por atacantes sofisticados. Es fácil para las personas como yo el mariscal de campo del lunes por la mañana y explicar cómo los ataques podrían haberse evitado o mitigado si hubieran segmentado sus sistemas de pago de sus redes corporativas, o no hubieran dado a los contratistas acceso a sus sistemas corporativos. Sin embargo, este nivel de atacante podría haber encontrado una forma diferente de entrar. Las defensas estándar (antimalware, cortafuegos, IDS / IPS, controles de acceso al sistema operativo, etc.) se están derrotando rutinariamente en los ataques modernos, y nadie aún tiene que ofrecer Algo más efectivo. La seguridad es un juego de gato y ratón, y ahora el gato está ganando.

Related Content

¿Cuáles son los síntomas del virus Trojan Horse y cómo se puede tratar?

¿Qué tan probable es que el monitoreo de Google, Facebook, Microsoft, etc., pudiera haber ocurrido sin conocimiento interno?

Al planear la creación de una aplicación web, ¿cuáles son algunas de las cosas que los desarrolladores deben tener en cuenta en términos de seguridad contra el ciberataque?

Actualmente tengo unos 10 años de experiencia en diseño y gestión de productos. ¿Cómo puedo entrar en el campo de la seguridad cibernética?

Mi sitio web usa http, ¿debería preocuparme por ser pirateado? Si es así, ¿cómo podría ejecutar https en Apache?

Cualquier empresa con un componente o presencia en línea está bajo ataque. Tener una gran seguridad no evita que ocurra un ataque, sino que sirve para mitigar un ataque exitoso o los resultados de un ataque exitoso. Los ataques no desaparecen automáticamente.

Las razones para que cualquier empresa tenga una seguridad débil son tan variadas como los tipos de empresas que existen. Algunos de estos pueden ser los siguientes (aunque esta no es una lista completa, y estoy seguro de que hay más de lo que mencioné)

  1. El riesgo percibido cuesta menos que el costo de la mitigación del riesgo.
  1. Los analistas de riesgos pueden haber determinado que costaría menos pagar las demandas y multas como resultado de una violación, que el costo de desplegar equipos y personal para mitigar o prevenir una violación. Muchas organizaciones están descubriendo que este ya no es el caso, ya que las compañías de tarjetas de crédito y los emisores ahora están poniendo sus pies en el fuego y haciéndolos pagar cualquier pérdida financiera como resultado de una violación. Esta pérdida puede ser en forma de transacciones fraudulentas, con el costo de reemitir nuevas tarjetas de crédito a todos los clientes afectados.
  • Los propietarios de los datos pueden no haber entendido completamente el valor monetario de los datos que poseían.
    1. Pudo haber sido algo abstracto que tenían que tener para administrar su negocio, pero más allá de eso, por la noche ya no se les había pensado más. A veces es difícil para las personas honestas pensar en las cosas malas que pueden suceder.
  • La compañía estaba en medio de una actualización planificada.
    1. Cambiar la infraestructura de red de una empresa no ocurre de la noche a la mañana. Tienen que estudiar cómo puede afectar a los usuarios de la red y planificar la capacitación si hay algún cambio en los procesos comerciales. Los nuevos activos de red deben adquirirse y la implementación debe planificarse y ejecutarse.
    2. Un aparte de esto es que puede haber un sistema que sea integral para su proceso de negocio, pero no puede actualizarse porque rompería su funcionalidad. La tecnología y los controles de mitigación pueden haber estado en proceso de implementación cuando ocurrió la violación.

    Una vez más, esto no pretendía ser exhaustivo, ni culpar, sino dar algunas razones plausibles de por qué una empresa puede tener una seguridad débil.

    Nilanjan Bhattacharya

    Una gran parte de esto es la falta de conocimiento entre la administración con respecto a la tecnología. Los gerentes pueden saber cómo administrar una empresa, pero con frecuencia no tienen una formación técnica, por lo tanto, toman decisiones sin tener pleno conocimiento del impacto de esas decisiones y no saben lo suficiente como para hacer las preguntas correctas a los expertos en la materia.

    También está el problema de los egos. Las personas generalmente no quieren mostrar su ignorancia, por lo que prefieren hablar en grande que admitir que no saben cómo hacer algo (eche un vistazo a las publicaciones sobre Curious Perversions in Information Technology).

    Sin mencionar que muchas empresas se centran en hacer el trabajo, en lugar de hacerlo bien. Por ejemplo, solía trabajar en un hospital y el CIO siempre hacía que el departamento de tecnología se volcara para garantizar la “atención al paciente”, en lugar de tomarse un segundo para considerar el impacto a largo plazo de lo que se nos pedía, y especialmente si la solicitud estaba realmente relacionada con la atención al paciente o si los solicitantes simplemente usaron el término para asegurarse de que obtuvieron lo que querían.

    En última instancia, la mayoría de las personas quiere hacer lo correcto, pero con frecuencia se ven obstaculizadas por otras personas que piensan que saben mejor pero no están dispuestas a hacer preguntas, al menos en mi experiencia.

    Cody Jackson

    En lugar de pensar en la seguridad, recomendaría pensar en Quora (como ejemplo). Mire esta pregunta y sus maravillosas respuestas:
    ¿Qué le falta a Quora?

    ¿Crees que el equipo de desarrollo de Quora o alguien podría haber pensado en estas respuestas de antemano? No lo creo. Aquí están los problemas relacionados:

    • La gente piensa en las pruebas como requisitos de validación o no (binario sí / no)
    • Cuando los clientes encuentran defectos (como la pregunta que publiqué), las personas dan varias justificaciones, por ejemplo, este es un caso especial, o tenemos cosas más importantes
    • Ningún CEO o CIO en el mundo entiende cómo probar la forma en que lo explicaré (¿y el desarrollo de software? No estoy seguro del desarrollo). Sin embargo, nadie podrá admitir que no entienden la calidad. Lo mismo es cierto para la mayoría de los desarrolladores.

    En realidad, encontrar defectos por adelantado es extremadamente difícil. Es un proceso no lineal, sin comienzo ni fin. Los desarrolladores podrían usar su creatividad para resolver estos problemas. Sin embargo, la mayoría de las personas están demasiado atrapadas en los requisitos y la automatización de pruebas. La mayoría de los gerentes también manejan buscando números que en su mayoría no tienen sentido.

    Además de esto, hay al menos dos problemas con la seguridad:
    – Es técnicamente desafiante
    – El adversario está tan motivado para entrar como la víctima no lo sabe. El punto es que un hacker siempre piensa de forma no lineal. Hará lo que sea necesario para encontrar una vulnerabilidad. No hay reglas. No hay requisitos

    Como ejercicio para cualquiera que quiera resolver la seguridad, los desafiaría a tratar de encontrar incluso el 10% de la respuesta a la pregunta que publiqué anteriormente. Como la pregunta no es técnica, supongo que cualquier gerente también puede intentarlo.

    Nilanjan Bhattacharya

    El problema es que la gente de seguridad no toma las decisiones: es la alta gerencia la que no entiende las implicaciones de seguridad o no las conoce. La alta gerencia tiene el dinero y controla los presupuestos, los encargados de seguridad simplemente hacen lo que se les dice.

    Entonces, la razón por la que la seguridad es mala es porque es costoso hacerlo correctamente.

    Gary Pustizzi

    More Interesting

    ¿Confía en 'la nube' con sus datos sensibles / importantes, incluso si están encriptados en tránsito, en reposo y encriptados por separado por usted?

    ¿Cómo ocultan los hackers el malware dentro de los archivos y lo ejecutan cuando se descargan?

    ¿Puedo generar una solicitud de firma de certificado (CSR) localmente?

    ¿Cómo puede protegerse contra las estafas de phishing?

    ¿Apple realmente mejorará la seguridad de iCloud después del tan publicitado hack de celebridades?

    ¿Es más seguro almacenar contraseñas concatenando la salida hash en lugares específicos de una cadena aleatoria?

    ¿Cómo se puede determinar si un archivo está encriptado usando AES256 sin conocer la clave?

    ¿Cómo ciframos los datos tanto locales como en el servidor y ofrecemos una opción de recuperación de contraseña para que nunca pierdan sus archivos?

    ¿Por qué es tan fácil hackear nuestro gobierno?

    ¿Por qué los ISP no pueden detectar y prevenir ataques DDOS?

    ¿Es Spotify un riesgo de seguridad?

    Cómo sanar archivos infectados con malware zepto en mi computadora

    Cómo manejar a un acosador cibernético que me está amenazando

    ¿Puede un virus esconderse de un antivirus? Si puede, ¿permanecerá activo después de eliminar el software con el que vino?

    ¿Qué es el hash? ¿Cómo se usa en el cifrado de seguridad?