10 razones por las que necesita una seguridad cibernética
Durante el año pasado, hemos sido testigos de cómo todo el bombo que rodea la seguridad cibernética finalmente se transforma en una nueva realidad aterradora, una en la que las organizaciones corporativas y gubernamentales parecen incapaces de detener las incursiones cibernéticas. Ya no es necesario enumerar estadísticas o encuestas para tratar de cuantificar la amenaza: los ataques cibernéticos se han convertido en noticias titulares sin parar. La transformación de la amenaza percibida a los titulares reales se produjo por las siguientes razones:
- La piratería, el craqueo y otras formas de travesuras cibernéticas han alcanzado un nivel de sofisticación que iguala (y en muchos casos supera) la capacidad de la mayoría de las organizaciones para defenderse.
- Quienes practicaron ciberataques en 2015 son profesionales endurecidos con más años de experiencia en seguridad técnica real que el trabajador de TI promedio empleado para defenderse de ellos. Los días del entusiasta aficionado a la piratería ya no existen. Los ciberataques de hoy son llevados a cabo por estados nacionales, grupos terroristas y sindicatos delictivos. Ya no es un hobby; Es una profesión con mucho en juego.
- Quienes se defienden contra el ataque actual de los ciberataques están luchando contra la amenaza equivocada: una amenaza tal como se definió alrededor de 2005. La amenaza de 2015 no se centra en la simple interrupción; Las nuevas amenazas son “campañas” que involucran estrategias y tácticas complejas para lograr objetivos específicos. Es como una guerra, pero es una guerra con cientos de atacantes, miles de objetivos y sin fin a la vista.
¿Entonces qué hacemos al respecto? La semana pasada, el presidente Obama celebró una Cumbre de seguridad cibernética en la Universidad de Stanford que representó la culminación de casi cinco años de esfuerzos federales para redefinir cómo el gobierno continuará reorganizándose para enfrentar esta crisis. Ha sido un proceso largo y aún queda mucho por hacer; pronto tendremos una nueva agencia federal dedicada a nada más que inteligencia de seguridad cibernética.
- ¿Puede un antivirus tratar con CryptoLocker?
- ¿Qué es la seguridad de la aplicación?
- ¿Qué medidas de seguridad debo tomar para asegurar la oficina de mi empresa que se ocupa del desarrollo de software?
- ¿Qué tan seguro es un sistema de seguridad inalámbrico para el hogar? ¿Se puede hackear?
- ¿Cuál es el mejor servicio de seguridad del sitio web?
Aquí hay 10 razones por las que su organización necesita una (nueva) estrategia de seguridad cibernética este año:
- Lo más probable es que tus suposiciones sobre lo que estás defendiendo sean erróneas (o al menos incompletas). Tal vez solo le preocupe el cumplimiento o la intrusión en la red: hay docenas de cosas que podrían haber impulsado su estrategia antes. ¿Cuántos de ellos siguen siendo válidos y cuántos te has perdido? Probablemente nunca se enterará si no realiza un esfuerzo deliberado para interrogarlos.
- Tener una estrategia dedicada a nada más que a la seguridad cibernética implica un nivel de compromiso que de otro modo no hubiera estado presente. Mantener esa estrategia actualizada y hacerla específica le da el poder de influir en las decisiones al más alto nivel (por ejemplo, no solo en el grupo de TI).
- La defensa reactiva es un camino seguro hacia la derrota. No necesitamos una línea ciber Maginot y ya sabemos que eso no funcionará. Pero, ¿cómo puede una organización ser más proactiva? Esto comienza con la estrategia cibernética, que tiene en cuenta lo que es único de su organización (así como lo que es importante para ella). Todo lo demás debe derivarse de esa base.
- La estrategia es el mecanismo central de organización para cualquier grupo u organización. Permite el control centralizado, la toma de decisiones y es la única forma en que la política, la financiación y la acción pueden coordinarse para resolver un problema común. Nuevamente, esto no es solo una declaración de principios, sino más bien un conjunto específico de metas, objetivos y las decisiones clave diseñadas para enfrentar los desafíos.
- En cualquier guerra, la estrategia conduce tácticas; No hay diferencia para la seguridad cibernética. Toda la planificación detallada, la arquitectura de la solución, la respuesta conductual y los procesos deben alinearse en gran medida con lo que se establece en la estrategia.
- Una estrategia es la métrica de rendimiento final. Puede usarlo para resaltar sus expectativas sobre cómo se desempeñará frente al desafío, mientras describe el enfoque necesario para alcanzar esas expectativas. Sin una estrategia, nunca puede evaluar adecuadamente su postura de seguridad. Tenga en cuenta que la métrica no debe basarse por completo en las amenazas que ha visto antes; debe extenderse a aquellos que aún no has experimentado. La defensa contra el ataque de ayer no protegerá contra muchos de los peligros de hoy (y quizás la mayoría de los de mañana).
- Usando esa métrica, su estrategia cibernética proporciona responsabilidad a las partes interesadas de su negocio. Sirve como el contrato de más alto nivel (o SLA si lo desea) para lo que puede y hará para asegurar su seguridad y su información.
- Una estrategia cibernética es el primer paso para ayudar a unir a las organizaciones que intentan coordinarse. Cada entidad individual en un grupo más grande de compañías podría compartir ciertas partes de su estrategia a un alto nivel (y quizás aquí es donde cosas como el Marco de seguridad cibernética del NIST pueden ser útiles). Esto puede permitir a los defensores colaborar y coordinarse como lo hacen los atacantes ahora. La clave es asegurarse de que no toda la estrategia sea genérica o compartida.
- Su estrategia cibernética puede y debe proporcionar un lenguaje que pueda transmitirse a los consumidores o usuarios finales que ilustre su compromiso con la seguridad.
- Una estrategia es realmente un buen lugar para comenzar cuando se trata de la complejidad, y pocas cosas son tan complejas hoy como la seguridad cibernética.
Fuente: 10 razones por las que necesita un plan de ciberseguridad – Dice Insights