- La seguridad rara vez es una prioridad a nivel ejecutivo
Los ejecutivos tienen un exceso de trabajo y se ven obligados a priorizar qué temas llaman su atención. Las empresas viven y mueren con los ingresos y, por lo tanto, los problemas que se clasifican directamente en los ingresos generalmente son los que llaman la atención en los niveles más altos. La seguridad con frecuencia no gana este nivel de atención hasta que ocurre un incidente grave. Lo que nos lleva a:
- La seguridad es parte de los gastos generales.
Los gastos generales son algo que las empresas quieren minimizar. Invertir en seguridad requiere el conocimiento y la previsión para comprender el precio del riesgo, la naturaleza de los riesgos enfrentados, lo que está en juego y confiar en sus expertos en seguridad para proporcionar una buena justificación para niveles específicos de financiamiento. Esto no es comun. Mucho más común es la actitud de la administración de Home Depot antes de su intrusión reciente. Cuando sus expertos en seguridad le advirtieron sobre el riesgo que enfrentaba la compañía y la necesidad de una mayor inversión en seguridad, la gerencia supuestamente respondió: “Vendemos martillos”.
Los New York Times
- La seguridad es un continuo
La seguridad es un tema muy complejo, uno que es extremadamente difícil de incluir en una presentación de diapositivas de PowerPoint de alto nivel o en una lista de verificación. Es muy tentador simplemente enumerar el ciberataque como un riesgo único y luego decir que se mitiga debido al software antivirus y los firewalls. Es mucho más difícil de entender que no existe tal cosa como “completamente seguro” y que el “ataque cibernético” realmente está constituido por una multitud de amenazas diferentes que pueden requerir muchas acciones diferentes para mitigar.
- ¿El antivirus gratuito realmente funciona?
- ¿Cuál es la forma más rápida de destruir irremediablemente información en un disco duro?
- ¿Existe alguna herramienta de explotación automática para vulnerabilidades de desbordamiento de búfer similar a SQLmap?
- ¿Qué piensan los especialistas en seguridad cibernética de los correos electrónicos de Hillary Clinton? ¿Estaba seguro el servidor privado?
- ¿Cómo te preparas para una carrera profesional que conduce a la ciberseguridad? ¿Dónde aprende los aspectos ofensivos y defensivos de la ciberseguridad? ¿Cómo es el pago?
- La seguridad interfiere con la usabilidad
No hay forma de evitarlo, la seguridad y la usabilidad están en desacuerdo. Las medidas de seguridad se interponen regularmente en el camino de los usuarios que hacen su trabajo. Esto degrada la productividad y exacerba la carga del personal de la mesa de ayuda. Esto siempre es un equilibrio, y la seguridad frecuentemente pierde porque los efectos de usabilidad siempre son más visibles que el riesgo mitigado. (¿Y a quién le gusta que le impidan hacer su trabajo?)
- La buena seguridad es laboriosa
La seguridad no viene en una caja. La buena seguridad corporativa es intensiva en mano de obra, y la mano de obra es cara. ¿Busca dar un paso muy razonable para mejorar la seguridad segmentando la red de su gran empresa para que la información personal de recursos humanos no sea accesible desde su entorno de desarrollo? (Te estoy mirando, Sony) Prepárate para un esfuerzo muy largo y laborioso mientras intentas separar todas las relaciones entre los usuarios y los recursos a los que necesitan acceder. ¿Quiere monitorear su red para detectar posibles intrusiones? Buena idea, pero necesitará personas con las habilidades adecuadas para revisar constantemente los datos que genera su red para hacerlo de manera efectiva.
- Las empresas tienen un control limitado sobre su propia seguridad.
Otra verdad desafortunada sobre la seguridad es que hay algunas cosas que no puedes controlar. No importa la cantidad de capacitación que se brinde a los usuarios, alguien siempre hará clic en el enlace del correo electrónico de phishing que le da a un atacante un punto de apoyo en su red corporativa. No importa cuán diligente sea en la aplicación de parches de software, siempre habrá más vulnerabilidades de software que los atacantes pueden explotar para socavar sus defensas. (Especialmente atacantes sofisticados que tienen los recursos para encontrar los días cero)
- Los atacantes están superando a los defensores
Los ataques vistos contra Target, Home Depot y Sony fueron lanzados por atacantes sofisticados. Es fácil para las personas como yo el mariscal de campo del lunes por la mañana y explicar cómo los ataques podrían haberse evitado o mitigado si hubieran segmentado sus sistemas de pago de sus redes corporativas, o no hubieran dado a los contratistas acceso a sus sistemas corporativos. Sin embargo, este nivel de atacante podría haber encontrado una forma diferente de entrar. Las defensas estándar (antimalware, cortafuegos, IDS / IPS, controles de acceso al sistema operativo, etc.) se están derrotando rutinariamente en los ataques modernos, y nadie aún tiene que ofrecer Algo más efectivo. La seguridad es un juego de gato y ratón, y ahora el gato está ganando.