Ante el constante reto al que se enfrentan los directores de la seguridad de la información sobre cómo mejorar su estrategia de ciberseguridad, analizamos cómo la confianza de la industria en un enfoque hipercompartimentalizado hace que todos estén menos seguros, y compartimos las cuatro preguntas clave que cada CISO debería poder responder.
La infraestructura de TI, a menudo, crece con la empresa. Las herramientas, las aplicaciones, los sistemas y los perfiles de usuario nuevos se vinculan al conjunto mayor a medida que se genera la necesidad de contar con ellos, generalmente sin que se les brinde mucha consideración estratégica. Los silos organizativos surgen en torno a estos agregados a medida que los equipos descubren que cada nueva herramienta demanda nuevas habilidades para su implementación y mantenimiento. En poco tiempo toda la operación puede parecer una vieja casa destartalada a la que cada generación de propietarios le ha agregado una habitación nueva.
Las amenazas acechan en los rincones oscuros. Aumentan las vulnerabilidades imprevistas, la tecnología obsoleta, los centros de datos distribuidos, la expansión de la red, las personas codiciosas con información privilegiada y los usuarios crédulos. Con los componentes de la infraestructura de TI empresarial dispersos y compartimentados es difícil para una persona o un equipo lograr una visibilidad integral de toda la red.
La falta de visibilidad dificulta encontrar estos vectores de amenaza aislados y es aún más difícil abordarlos una vez que se encuentran. Esto se debe a que, en la mayoría de los casos, las herramientas y las tácticas disponibles solo están diseñadas para abordar áreas de preocupación específicas y no integradas. A menudo nos percatamos de que las herramientas de seguridad se implementan de forma dispersa en toda la organización. Vemos equipos en operaciones, seguridad de aplicaciones, DevOps, seguridad de la red, aprendizaje automático, equipos informáticos de alto rendimiento, centro de operaciones de seguridad (SOC), auditorías y cumplimiento de normas que siguen y ponen en práctica sus propias herramientas puntuales.
Si bien estos problemas no son nada nuevo, abordarlos nunca ha sido tan urgente a medida que la superficie de ataque continúa expandiéndose. En nuestro trabajo con profesionales de TI y ciberseguridad a menudo escuchamos sobre los desafíos de proteger todas las aplicaciones aisladas, y las plataformas informáticas y de almacenamiento distribuidas, que se utilizan en toda la empresa. Los dispositivos de tecnología operativas (OT) e Internet de las Cosas (IoT) introducen sus propios conjuntos de problemas, ya que estas soluciones conectadas a Internet suelen implementarse fuera de los auspicios de la organización de TI.
En la mayor parte de los casos las organizaciones terminan integrando aplicaciones a través de las API y colocando una multitud de nubes en el ámbito de una sola plataforma para gestionar la mayoría de ellas de una vez. Sin embargo, incluso este enfoque es solo un recurso provisional. No puede sustituir una estrategia de ciberseguridad integral que enfatiza la visibilidad en toda la red y aplica información detallada sobre las amenazas que pueden estar al acecho para que las organizaciones puedan priorizar las respuestas de manera eficaz. Llamamos a este enfoque Cyber Exposure.
Cyber Exposure es una disciplina emergente para la gestión y la medición del riesgo de ciberseguridad en la era digital, que transforma la seguridad de una visibilidad estática y en silos, a una visibilidad dinámica e integral. Es la base sobre la cual se debe elaborar una estrategia de ciberseguridad que se adapte a toda la superficie de ataque moderna.
Cuatro preguntas que cada CISO debe estar listo para responder
La creación de una estrategia de ciberseguridad integral le permite responder a cada una de estas cuatro preguntas sobre su organización en cualquier momento:
- ¿Qué tan seguros y expuestos estamos? Responder a esta pregunta exige visibilidad en todos los aspectos de la superficie de ataque de la organización, incluidos los recursos de la nube, los contenedores, los sistemas de control industrial y los dispositivos móviles, que pueden estar o no en el radar de TI. Implica hacer un inventario de dónde existen amenazas específicas para su empresa. Por ejemplo, si su organización es particularmente diligente en la implementación de parches, la última vulnerabilidad de Windows puede no ser una preocupación tan importante como lo sería para una empresa que no ha aplicado parches a sus sistemas en siete años. Al llegar a un acuerdo con respecto a dónde están sus exposiciones, o dónde es probable que se encuentren, usted revela el panorama más amplio de lo que está en riesgo.
- ¿Qué debemos priorizar? Las respuestas a esta pregunta deben basarse en una combinación de inteligencia de amenazas para comprender qué tan explotable es un problema y la criticidad de los activos para entender el contexto empresarial del activo. La priorización eficaz de las vulnerabilidades debe incluir el contexto comercial para optimizar sus esfuerzos, recursos y presupuesto. Le permite concentrarse en proteger las áreas vulnerables que probablemente le cuesten más a su organización en términos de mano de obra, sanciones, tiempo, recuperación y reputación. También ayuda a reducir la fatiga de alerta, ya que puede priorizar cómo responde su equipo a las vulnerabilidades en función de la importancia de los activos afectados para su empresa y la probabilidad de que se explote una vulnerabilidad determinada.
- ¿Cómo reducimos la exposición con el tiempo? Su capacidad para responder a esta pregunta es una medida de su progreso. Deberá identificar las métricas y los KPI con los que medirá sus esfuerzos. Dichas métricas deben ser visibles por unidad de negocios, geografía y tipo de activo. El objetivo es comprender cómo cambia su perfil de exposición mes a mes, trimestre a trimestre y año a año para que ayude a sus colegas comerciales y a la alta dirección a comprender si las inversiones de la empresa en ciberseguridad están dando frutos.
- ¿Cómo nos comparamos con nuestros competidores? Responder esta pregunta lo obliga a salir de la burbuja interna de su empresa para ayudarlo a comprender cómo sus prácticas de ciberseguridad se comparan con las de otros en su campo, así como con aquellos en otras industrias. La forma en que su organización se clasifica respecto de sus competidores, y de la seguridad de primer nivel, es un diálogo importante para que cada junta directiva tenga que impulsar una discusión más estratégica y ayudar a garantizar que cumpla con su responsabilidad fiduciaria al brindar la supervisión adecuada de los riesgos para la compañía. El riesgo cibernético no es diferente de otros riesgos comerciales, por lo que debe gestionarse y medirse de la misma manera.
Su capacidad para responder con precisión estas cuatro preguntas es fundamental para comprender la exposición total al riesgo y la efectividad de sus medidas de ciberseguridad. No obstante, si está lidiando con una infraestructura de TI muy compartimentada, puede parecer desalentador saber dónde comenzar para avanzar hacia una estrategia más integral.
Tres prácticas de ciberseguridad que puede poner en práctica hoy
A continuación, encontrará tres consejos que puede comenzar a implementar hoy y que lo ayudarán a comenzar su recorrido hacia una estrategia de ciberseguridad integral.
- Desde la suplantación de identidad (phishing) hasta las víctimas de esta práctica, busque vulnerabilidades de forma más profunda y amplia. El próximo ataque es probable que provenga de una dirección desconocida e inesperada. Un ejemplo perfecto es el infame hackeo del acuario en el casino, en el cual piratas informáticos tomaron 10 GB de datos de un casino a través de sensores conectados a Internet en una pecera. De hecho, dado el número cada vez mayor de dispositivos IoT y las oportunidades que los acompañan para que ingresen los delincuentes, los equipos de seguridad tendrán que actualizar continuamente su lista de vulnerabilidades. Sin embargo, los dispositivos IoT no son los únicos rincones ocultos que deben iluminarse y protegerse contra amenazas. No se olvide de los servicios y los entornos en la nube, los contenedores, los sistemas de videovigilancia, los dispositivos de control industrial, los dispositivos de puntos de venta, los sistemas de climatización y cualquier otro sistema conectado a Internet que normalmente los equipos de TI o SecOps no manejan. Por ejemplo, en septiembre, los investigadores de Tenable revelaron su descubrimiento de Peekaboo, una vulnerabilidad que puede afectar a cientos de miles de cámaras conectadas a Internet utilizadas en sistemas de videovigilancia. Asegúrese de que sus equipos de seguridad realmente estén buscando en todas partes y que estén equipados con herramientas diseñadas para detectar vulnerabilidades a medida que aparecen en nuevos lugares.
- No todos los activos se crean de la misma manera. Es imperativo saber qué activos son los más críticos para su empresa a fin de poder responder a las amenazas con fuerza y de manera adecuada. Un iPad utilizado por el director de finanzas de su empresa puede ser un objetivo de mayor valor que el utilizado en la recepción para registrar a los visitantes. Asegúrese de concentrarse primero en sus activos más críticos. Tómese el tiempo ahora para determinar la criticidad de cada activo y clasifique su importancia en términos de tiempos de respuesta. Luego, actualice esta información con regularidad. El etiquetado de activos es un buen lugar para comenzar a generar un inventario de activos en función de su criticidad. Recuerde incluir los requisitos de cumplimiento, como GDPR, HIPAA y PCI, como parte de la evaluación de criticidad de activos.
- Priorice la reparación. Solo se explota un pequeño porcentaje de los miles de vulnerabilidades reveladas cada año. Necesita información sobre qué vulnerabilidades se están explotando libremente en la actualidad, junto con advertencias tempranas sobre aquellas que probablemente serán atacadas en el futuro cercano. Tener acceso a este tipo de información permite a los equipos de seguridad priorizar su respuesta ante amenazas en función de la criticidad del activo, la inteligencia de amenazas y el análisis de probabilidad.
Deja tu comentario