Mantener la gestión de riesgos digitales en el mundo conectado de hoy requiere actualizar los procesos y procedimientos de seguridad para identificar los niveles de riesgo que los enfoques más tradicionales no logran identificar. Eso significa comprender sus aplicaciones y la conexión entre tecnologías en su cadena de suministro/alianzas y/o socios. También es necesario comprender los procesos de datos.
Eso significa mapeo de flujo de datos: «conocer» sus datos; “quién” tiene acceso a “qué”; «cómo» acceden a él y «con qué frecuencia»; y las ubicaciones físicas, que pueden estar sujetas a diferentes regulaciones y leyes locales. Esto debe ir acompañado de trabajo para construir compromisos comerciales maduros entre usted y sus proveedores para lograr el nivel de mitigación de riesgos que necesita.
La fuente de las amenazas y los riesgos inherentes se pueden identificar de varias maneras, incluido el análisis de amenazas de la huella digital de la organización o la superficie de ataque y los actores de amenazas que apuntan a su organización o sector.
Se deben realizar simulacros de búsqueda de amenazas con regularidad, p. B. buscar formas de hacerse cargo de los subdominios o de los atacantes que se dirigen a las organizaciones mediante la compra de dominios con errores tipográficos.
Las pruebas de penetración pueden revelar ciertos riesgos para los sistemas, pero recuerde que este es el caso en un momento dado, las redes y las aplicaciones, y estos riesgos deben asignarse a las regulaciones clave y los estándares de mejores prácticas, incluidos el RGPD, los Principios de seguridad en la nube de NCSC, NIST e ISO. 27001.
Sin embargo, también debemos considerar qué medidas proactivas en curso están disponibles para aumentar esta actividad.
Los avances tecnológicos ofrecen oportunidades para abordar los riesgos en ecosistemas de TI amplios y complejos. La combinación de una combinación de inteligencia de amenazas y medidas de protección de superficie de ataque permite a las organizaciones descubrir, evaluar y entregar inteligencia procesable. Esto les dirá lo que no saben en lugar de centrarse en lo que ya saben.
Estas plataformas pueden proporcionar marcos analíticos escalables que permiten a las organizaciones encontrar de manera rápida y eficiente atributos inusuales en datos masivos no estructurados y en infraestructuras internas y expuestas orientadas a Internet.
Estas nuevas tecnologías brindan la capacidad de identificar rápidamente los activos que requieren más atención de seguridad que otros en todo el espacio de TI. Esto proporciona una forma de priorizar las amenazas que deben abordarse a corto, mediano y largo plazo, lo que permite un uso más eficiente y eficaz de los escasos recursos.
Los avances en inteligencia artificial (IA) también están ayudando a incorporar la predicción y la capacidad de racionalizar mejor y tomar las medidas adecuadas en respuesta al riesgo. Esta tecnología ahora está disponible como una solución para toda la empresa para el monitoreo 24/7 de sistemas y datos críticos para proteger las operaciones comerciales, los ingresos, la reputación y las ganancias de los riesgos cibernéticos y digitales.
Probar las capacidades de detección y respuesta de la ciberdefensa
También es importante realizar simulacros de incidentes cibernéticos para determinar cuán resistentes son las organizaciones a los ataques cibernéticos y practicar su respuesta en un entorno seguro. Los ejercicios también ayudan a crear una cultura de aprendizaje dentro de una organización y brindan a los equipos e individuos relevantes la oportunidad de maximizar su eficacia durante un incidente.
La creación de ejercicios personalizados es una forma de personalizarlos para reflejar los valores de la organización y los desafíos, limitaciones y amenazas únicos que enfrenta.
Un ejemplo de esto es CBEST, desarrollado por el Banco de Inglaterra como un enfoque para las pruebas de resiliencia operativa y el cumplimiento. Se diferencia de otros tipos de pruebas de seguridad porque se basa en la inteligencia de amenazas y es menos limitado porque adopta una visión holística de toda la organización en lugar de una prueba de penetración estrecha y enfocada de un sistema específico. También se enfoca en los ataques más sofisticados y persistentes en sistemas críticos y servicios esenciales.
La inclusión de información específica sobre amenazas cibernéticas garantiza que las pruebas repliquen el panorama de amenazas en evolución lo más fielmente posible y, por lo tanto, sigan siendo relevantes y actualizados. Los comentarios de la prueba luego describen las acciones que se pueden tomar para mejorar las capacidades defensivas y aumentar la resiliencia operativa.
Este tipo de prueba contradictoria se conoce comúnmente como prueba de equipo rojo, donde la empresa de prueba de penetración simula a los atacantes, quienes luego compiten contra las capacidades de detección y respuesta de la organización: el equipo azul. Un enfoque más colaborativo entre atacantes y defensores se conoce comúnmente como un ejercicio de equipo púrpura, que generalmente se realiza de forma iterativa para lograr una mejora continua en las capacidades de detección y respuesta. Los ataques, ya sean reales o simulados a través de pruebas, deben reconocerse e iniciarse una respuesta adecuada y oportuna.
Dada la complejidad y la interconexión de las tecnologías comerciales modernas, es fundamental que los equipos de TI empleen el espectro completo de defensas para comprender y monitorear sus vulnerabilidades y tomar medidas para mitigar los riesgos que identifican.
Rob McElvanney es especialista en ciberseguridad en PA Consulting
