Entender los vectores de ataque es cuestión de entrenamiento
Las empresas modernas están invirtiendo cada vez más en herramientas para aumentar la agilidad, apoyar a los equipos y aprovechar la mayor flexibilidad que les ofrece la tecnología. Sin embargo, no están invirtiendo lo suficiente en la seguridad y la capacitación necesarias para aprovechar al máximo estas tecnologías sin poner en peligro los activos de datos de su organización o los de sus socios de la cadena de suministro, tanto aguas arriba como aguas abajo.
Siempre me ha decepcionado que cada vez que hablaba sobre el riesgo que representa la tecnología para los negocios, se asumía que, por lo tanto, yo estaba en contra de la tecnología por definición; nada más lejos de la verdad. Sin embargo, creo que no hay forma de descargar las responsabilidades organizacionales a la tecnología cuando se trata de garantía de seguridad o problemas de privacidad.
La experiencia me ha enseñado que cuando las organizaciones confían en la tecnología para resolver una variedad de problemas, como deberían, en muchos casos no dedican suficientes recursos para protegerse de las consecuencias no deseadas o de los usuarios mal informados de esa tecnología que ni siquiera capacitan. usuarios en uso básico, y mucho menos en uso seguro.
Ahora que hemos desarrollado más y más tecnologías que nos permiten conectarnos de manera más fácil y sencilla, las amenazas de las que hablo se han adaptado y beneficiado rápidamente. Con demasiada frecuencia, se requiere una respuesta reactiva, con organizaciones que realizan ingeniería inversa en la mitigación de riesgos una vez que los riesgos se hacen evidentes y, a menudo, después de que se han producido filtraciones de datos.
Si observamos los últimos datos disponibles de la Oficina del Comisionado de Información (ICO), vemos que casi las tres cuartas partes de las infracciones en el tercer trimestre de 2021 fueron causadas por incidentes no cibernéticos, como: B. Enviar un correo electrónico a la persona equivocada. Del 25 % restante, las cinco causas principales son el phishing (sin sorpresas), el ransomware (nuevamente, sin sorpresas) y las configuraciones incorrectas de software o hardware. Esto habla de adopción apresurada, políticas generales y cambios en los entornos y herramientas de trabajo. En resumen, la falta de una sólida gestión de riesgos.
Sabemos que las violaciones de datos de terceros han sido noticia en los últimos años. Esto no solo no muestra signos de cambio, sino que a medida que continuamos trabajando en estilos remotos e híbridos, los resultados de una implementación de tecnología deficiente y una gestión de riesgos de seguridad deficiente están potencialmente poniendo a más organizaciones en riesgo entre sí. Y sabemos muy bien con qué rapidez se explotan los vínculos entre los socios de la cadena de suministro en estos días.
En otras palabras, hoy en día hay mucho más en juego que la propia organización cuando se trata de falta de seguridad. Alrededor del 51% de las organizaciones han sido violadas por terceros en los últimos 12 meses, y el 75% de ellas se debieron a que esos terceros tenían demasiados derechos de acceso privilegiado.
Las organizaciones necesitan estar mucho más conectadas y su gestión de riesgos mucho mejor informada. Muy pocas evaluaciones de riesgos comienzan con una evaluación de amenazas detallada y bien informada, lo que significa que el tratamiento de riesgos a menudo es defectuoso.
Suponiendo que se haya llevado a cabo una evaluación de riesgos eficaz e informada para cada área comercial en la que se esté considerando una nueva plataforma o tecnología, el área comercial debe identificar y gestionar la forma en que cada equipo o área necesita utilizar esta herramienta y acordarse y facilitarse. por seguridad
«Muy pocas evaluaciones de riesgos comienzan con una evaluación de amenazas detallada y bien informada, lo que significa que el tratamiento de riesgos a menudo es defectuoso»
Mike Gillespie, Advent IM
Al garantizar que la experiencia y las habilidades de los usuarios se equilibren con la necesidad de seguridad y luego se vinculen con el nivel de seguridad, los usuarios no tienen que eludir medidas de seguridad demasiado estrictas que les impiden usarlas como lo requieren para su función. Será apropiado y proporcionado a su función y no un nivel de seguridad único para todos.
Es vital asegurarse de que los equipos de seguridad de TI sean consultados como parte de cualquier adquisición y posterior implementación. También deben ser parte de la educación y capacitación que se debe realizar como parte de la orientación al usuario.
Las personas, sus comportamientos, actitudes y creencias, son fundamentales para lograr una buena seguridad. Como tal, la educación tecnológica es solo una parte de la solución, y las empresas deben movilizar a sus verdaderos expertos para ayudar con una educación, conciencia y capacitación más amplias: las personas de comunicaciones, marketing y relaciones públicas tienden a tener una comprensión mucho mejor de lo que motiva a las personas y lo que es probable. para tener éxito en el cambio de comportamiento, así que úselo.
Cuando sea sensato y factible, ¿se separan las redes con diferentes requisitos de seguridad o diferentes grados de sensibilidad? Si sucede lo peor y un atacante ingresa a su red, ¿puede moverse a través de ella con facilidad y rapidez? Asegurarse de que las áreas estén segregadas hace que esto sea más difícil y le permite ser más razonable en su seguridad en áreas sensibles y cerca de aquellos con acceso privilegiado a los activos.
Nada prepara mejor a una organización que una buena inteligencia. Dado que la mayoría de nuestras infracciones provienen del interior, o al menos se facilitan desde el interior, ¿por qué gran parte de nuestro análisis del horizonte y la recopilación de información se centran en el exterior?
Los informes de buena calidad, sin culpa, de cuasi accidentes son una herramienta informativa invaluable. Le permite detectar alertas tempranas e indicadores de cambios sutiles en el comportamiento, desviaciones de la política o reaparición de prácticas de seguridad laxas, y permite un reconocimiento específico para cortarlas de raíz.
Al final del día, puede llamarlo seguridad de la información, garantía de la información o ciberseguridad. Lo que quieras. Pero lo llames como lo llames, nunca olvides a la gente, la gente.
