Cuatro preguntas sobre ciberseguridad que todo CISO debería estar listo para responder
En la primera parte de nuestra serie de blog de seis partes sobre cómo mejorar su estrategia de ciberseguridad, analizamos cómo la confianza de la industria en un enfoque hipercompartimentalizado hace que todos estén menos seguros, y compartimos las cuatro preguntas clave que cada CISO debería poder responder.
La infraestructura de TI, a menudo, crece con la empresa. Las herramientas, las aplicaciones, los sistemas y los perfiles de usuario nuevos se vinculan al conjunto mayor a medida que surge la necesidad de contar con ellos, generalmente sin que se les dé mucha consideración estratégica. Los silos organizativos surgen en torno a estos agregados a medida que los equipos descubren que cada nueva herramienta demanda nuevas habilidades para su implementación y mantenimiento. En poco tiempo, toda la operación puede parecer una vieja casa destartalada a la que cada generación de propietarios le ha agregado una habitación nueva.
Las amenazas acechan en los rincones oscuros. Aumentan las vulnerabilidades imprevistas, la tecnología obsoleta, los centros de datos distribuidos, la expansión de la red, las personas codiciosas con información privilegiada y los usuarios crédulos. Con los componentes de la infraestructura de TI empresarial dispersos y compartimentados, es difícil para una persona o un equipo lograr una visibilidad integral de toda la red.
Lea la serie completa del blog de Cyber Exposure (algunas publicaciones del blog pueden estar exclusivamente en inglés):
Cuatro preguntas sobre ciberseguridad que todo CISO debería estar listo para responder
3 consejos para identificar la brecha de Cyber Exposure de su organización
5 consejos para priorizar las vulnerabilidades en función del riesgo
Métricas y madurez: Comparación de su Cyber Exposure con el tiempo
¿Cómo se comparan sus prácticas de Cyber Exposure con las de sus pares?
Exposición cibernética: adoptar un abordaje integral para la gestión de vulnerabilidades
La falta de visibilidad dificulta encontrar estos vectores de amenaza aislados y es aún más difícil abordarlos una vez que se encuentran. Esto se debe a que, en la mayoría de los casos, las herramientas y las tácticas disponibles solo están diseñadas para abordar áreas de preocupación específicas y no integradas. A menudo, vemos que las herramientas de seguridad se implementan de forma dispersa en toda la organización. Vemos equipos en operaciones, seguridad de aplicaciones, DevOps, seguridad de la red, aprendizaje automático, equipos informáticos de alto rendimiento, Centro de Operaciones de Seguridad (SOC), auditorías y cumplimiento de normas que siguen y ponen en práctica sus propias herramientas puntuales. Y no hay escasez de herramientas de seguridad. Más de 600 proveedores participaron en la exposición de la Conferencia de RSA en 2018.
Aunque estos problemas no son nuevos, el abordarlos nunca ha sido más urgente ya que la superficie de ataque continúa expandiéndose. Durante nuestro trabajo con los profesionales de TI y de ciberseguridad, comúnmente escuchamos los desafíos que representa el proteger a las aplicaciones aisladas, y a las plataformas de cómputo distribuido y de almacenamiento, que están en uso en toda la empresa. La Tecnología operativa (OT) y los dispositivos de Internet de las cosas (IoT), trajeron con ellos sus propios problemas, ya que estas soluciones conectadas a Internet comúnmente se implementan sin la supervisión del área de TI.
En la mayoría de los casos, las organizaciones terminan integrando aplicaciones a través de las API y colocando una multitud de nubes en el ámbito de una sola plataforma de gestión para gestionar la mayoría de ellas de una vez. Sin embargo, incluso este enfoque es solo un recurso provisional. No puede sustituir una estrategia de ciberseguridad integral que enfatiza la visibilidad en toda la red y aplica información detallada sobre las amenazas que pueden estar al acecho entre ellas para que las organizaciones puedan priorizar las respuestas de manera eficaz. Llamamos a este enfoque Cyber Exposure.
Cyber Exposure es una disciplina emergente para la gestión y la medición del riesgo de ciberseguridad en la era digital. Cyber Exposure transforma la seguridad de una visibilidad estática y en silos a una visibilidad dinámica e integral en toda la superficie de ataque moderna. Es la base sobre la cual se debe elaborar una estrategia de ciberseguridad que se adapte a toda la superficie de ataque moderna.
Cuatro preguntas que cada CISO debe estar listo para responder.
La creación de una estrategia de ciberseguridad integral mediante el uso de la disciplina de Cyber Exposure le permite responder a cada una de estas cuatro preguntas sobre su organización en cualquier momento:
- ¿Qué tan seguros, y expuestos, estamos? Al responder a esta pregunta se necesita visibilidad hacia todos los aspectos de la superficie de ataque de la organización, incluyendo recursos de nube, contenedores, sistemas de control industrial y dispositivos móviles, que pueden o no estar bajo el radar del departamento de TI. Se necesita levantar un inventario de dónde está las amenazas específicas para su empresa. Por ejemplo, si su organización se esmera particularmente en implementar parches, entonces la última vulnerabilidad de Windows puede no representarle una gran preocupación, a diferencia de una empresa que no ha implementado parches en sus sistemas durante varios años. Al asumir dónde están sus vulnerabilidades, o dónde probablemente pudieran estar, usted puede descubrir un panorama general de lo que está en riesgo.
- ¿Qué debemos priorizar? Las respuestas a esta pregunta deben basarse en una combinación de inteligencia de amenazas para comprender la explotabilidad del problema y la criticidad de los activos para entender el contexto empresarial del activo. La priorización eficaz de las vulnerabilidades debe incluir el contexto comercial para optimizar sus esfuerzos, recursos y presupuesto. Le permite concentrarse en proteger las áreas vulnerables que probablemente le cuesten más a su organización en términos de mano de obra, sanciones, tiempo, recuperación y reputación. También ayuda a reducir la fatiga de alerta, ya que puede priorizar cómo responde su equipo a las vulnerabilidades en función de la importancia de los activos afectados para su empresa y la probabilidad de que se explote una vulnerabilidad determinada.
- ¿Cómo reducimos la exposición con el tiempo? Su capacidad para responder a esta pregunta es una medida de su progreso. Deberá identificar las métricas y los KPI con los que medirá sus esfuerzos. Dichas métricas deben ser visibles por unidad de negocios, geografía y tipo de activo. El objetivo es comprender cómo cambia su perfil de exposición mes a mes, trimestre a trimestre y año a año para que pueda ayudar a sus colegas comerciales y a la alta gerencia a comprender si las inversiones de la empresa en ciberseguridad están dando frutos.
- ¿Cómo nos compararnos con nuestros competidores? Responder esta pregunta lo obliga a salir de la burbuja interna de su empresa para ayudarlo a comprender cómo sus prácticas de ciberseguridad se comparan con las de otros en su campo, así como con aquellos en otras industrias. La forma en que su organización se clasifica respecto de sus competidores, y de la seguridad de primer nivel, es un diálogo importante para que cada Junta Directiva tenga que impulsar una discusión más estratégica y ayudar a garantizar que cumpla con su responsabilidad fiduciaria al brindar la supervisión adecuada de los riesgos para la compañía. El riesgo cibernético no es diferente de otros riesgos comerciales, por lo que debe gestionarse y medirse de la misma manera.
Su capacidad para responder con precisión estas cuatro preguntas es fundamental para comprender la exposición total al riesgo y la efectividad de sus medidas de ciberseguridad. No obstante, si está lidiando con una infraestructura de TI muy compartimentada, puede parecer desalentador saber dónde comenzar a avanzar hacia una estrategia más integral.
Tres prácticas de ciberseguridad que puede poner en práctica hoy
A continuación, encontrará tres consejos que puede comenzar a usar hoy y que lo ayudarán a comenzar su recorrido hacia una estrategia de ciberseguridad integral.
- Desde la suplantación de identidad (phishing) hasta las víctimas de esta práctica, busque vulnerabilidades de forma más profunda y amplia. El próximo ataque es probable que provenga de una dirección desconocida e inesperada. El infame hackeo del acuario en el casino, en el cual piratas informáticos tomaron 10 GB de datos de un casino a través de sensores conectados a Internet en una pecera, es un ejemplo perfecto. De hecho, dado el número cada vez mayor de dispositivos IoT y las oportunidades que los acompañan para que ingresen los delincuentes, los equipos de seguridad tendrán que actualizar continuamente su lista de vulnerabilidades. Sin embargo, los dispositivos IoT no son los únicos rincones ocultos que deben iluminarse y protegerse contra amenazas. No se olvide de los servicios y los entornos en la nube, los contenedores, los sistemas de videovigilancia, los dispositivos de control industrial, los dispositivos de puntos de venta, los sistemas de climatización y cualquier otro sistema conectado a Internet que normalmente los equipos de TI o SecOps no manejen. Por ejemplo, en septiembre, los investigadores de Tenable revelaron su descubrimiento de Peekaboo, una vulnerabilidad que puede afectar a cientos de miles de cámaras conectadas a Internet utilizadas en sistemas de videovigilancia. Asegúrese de que sus equipos de seguridad realmente estén buscando en todas partes y que estén equipados con herramientas diseñadas para detectar vulnerabilidades a medida que aparecen en nuevos lugares.
- No todos los activos se crean de la misma manera. Es imperativo saber qué activos son los más críticos para su empresa a fin de poder responder a las amenazas con fuerza y de manera adecuada. Un iPad utilizado por el Director de Finanzas de su empresa puede ser un objetivo de mayor valor que el utilizado en la recepción para registrar a los visitantes. Asegúrese de concentrarse primero en sus activos más críticos. Tómese el tiempo ahora para determinar la criticidad de cada activo y clasifique su importancia en términos de tiempos de respuesta. Luego, actualice esta información con regularidad. El etiquetado de activos es un buen lugar para comenzar a generar un inventario de activos en función de su criticidad. Recuerde incluir los requisitos de cumplimiento, como GDPR, HIPAA y PCI, como parte de la evaluación de criticidad de activos.
- Priorice la reparación. Solo se explota un pequeño porcentaje de las miles de vulnerabilidades reveladas cada año. Necesita información sobre qué vulnerabilidades se están explotando libremente en la actualidad, junto con advertencias tempranas sobre aquellas que probablemente serán atacadas en el futuro cercano. Tener acceso a este tipo de información permite a los equipos de seguridad priorizar su respuesta ante amenazas en función de la criticidad del activo, la inteligencia de amenazas y el análisis de probabilidad.
Más información
Lea la serie completa del blog de Cyber Exposure (algunas publicaciones del blog pueden estar exclusivamente en inglés):
- Cuatro preguntas sobre ciberseguridad que todo CISO debería estar listo para responder
- 3 consejos para identificar la brecha de Cyber Exposure de su organización
- 5 consejos para priorizar las vulnerabilidades en función del riesgo
- Métricas y madurez: Comparación de su Cyber Exposure con el tiempo
- ¿Cómo se comparan sus prácticas de Cyber Exposure con las de sus pares?