Connect with us

CSO

Cinco retos para asegurar el futuro

José Luis Becerra Pozas

Published

on

Todos tienen un papel en la ciberseguridad hoy; trabajar juntos para abordar estos desafíos reducirá considerablemente el riesgo.

La seguridad de la información ha sido una parte intrigante de nuestro pasado, es una parte fundamental de nuestro presente y será un factor determinante en nuestro futuro. Hay acciones que deben abordarse a nivel micro/individual y desafíos que debemos abordar en colaboración como una industria que avanza.

La economía de la seguridad es clara: “No hay estabilidad financiera sin ciberseguridad”, escribe Loretta J. Mester , presidenta y directora ejecutiva del Banco de la Reserva Federal de Cleveland. De hecho, se ha demostrado que la percepción de una ciberseguridad deficiente reduce el precio de las acciones y los múltiplos del precio de las acciones , daña la reputación de la marca, reduce la participación de mercado, reduce las ventas, precipita multas, agrega gastos legales y dificulta la contratación de empleados de calidad. Para tener un futuro se requiere dominar la seguridad de la información.

El camino hacia el futuro dominio de la seguridad de la información incluye:

  • Reconocer las responsabilidades/responsabilidades individuales,
  • Hacer explícitas las creencias individuales de seguridad de la información,
  • Practicar una buena higiene cibernética,
  • Prestar atención a la cadena de suministro de software, y
  • Endurecimiento de componentes de tecnología operativa.

No más espectadores

Durante la gran mayoría de la era digital hasta la fecha, la seguridad de la información era un deporte de espectadores con poca asistencia. Los trabajadores, clientes, ejecutivos y miembros de la junta se sentaron esencialmente en las gradas mientras los magos de la información [profesionales de seguridad] luchaban contra los malos en las sombras.

¡La relación de la humanidad con la seguridad de la información ha terminado! En el futuro, todos los que usan un dispositivo están involucrados con la ciberseguridad; todos los que usan un dispositivo mejoran o degradan la ciberseguridad; y todos tienen un rol y un conjunto correspondiente de responsabilidades con respecto a la seguridad de la información.

Predigo que para fines de esta década, las responsabilidades por la seguridad de la información estarán explícitamente especificadas para cada individuo mayor de cinco años. Al final de cada día, trimestre, año y carrera, los ejecutivos serán juzgados y recompensados/castigados según hayan mejorado o degradado la seguridad cibernética de su comunidad y lugar de trabajo.

No es mi intención, ni una práctica efectiva, “culpar al usuario” de todos nuestros problemas cibernéticos. Sin embargo, debemos asegurarnos de que todas las personas de la empresa sepan que tienen un papel que desempeñar en la seguridad de la información.

Pensar, decir, hacer

No es necesario ser futurista, psicólogo o antropólogo para saber que con frecuencia existe una gran discrepancia entre lo que la gente piensa, lo que dice y lo que hace. En el futuro, la ciberseguridad tendrá menos que ver con la informática y más con la ciencia del comportamiento.

La seguridad de la información requiere cambiar el comportamiento. Para cambiar el comportamiento, tenemos que gestionar lo que la gente sabe y cómo piensa la gente sobre la seguridad de la información. Para hacer esto, tenemos que entender lo que la gente cree sobre la seguridad de la información.

Las creencias, el conocimiento y el cambio de comportamiento están inextricablemente vinculados. El primer paso es evaluar con precisión lo que cada empleado de la empresa cree sobre la seguridad de la información. Esto solo se puede lograr a través de entrevistas prácticas realizadas por los gerentes. El encuestador Nate Silver etiqueta el resultado de tales interacciones como “vibraciones en el suelo”.

Pronostico que los resultados de tales evaluaciones persona por persona sacarán a la luz dos creencias fuertemente arraigadas y totalmente disfuncionales sobre la seguridad de la información:

  • “No soy importante y nadie me está apuntando”.
  •  “No puedo detenerlos aunque quisiera”.

Practique la higiene cibernética básica

Cada uno de nosotros necesita promover y practicar una buena higiene cibernética. La higiene cibernética incluye, entre otros, buenas prácticas de contraseñas, procesos sólidos de parcheo de vulnerabilidades, detección, prevención y reparación oportunas, implementación de protecciones para prevenir y bloquear malware, y garantizar protocolos de acceso sólidos.

Prestar atención a estas prácticas recomendadas contribuirá en gran medida a mejorar la seguridad general. Según el Informe de defensa digital 2021 de Microsoft , casi el 70 % de las filtraciones de datos se debieron al phishing y el 98 % de los ataques se pudieron prevenir con una higiene de seguridad básica.

Desafíos de la industria

A medida que adoptamos responsabilidades individuales por los buenos comportamientos de seguridad de la información, eliminando así la “fruta madura” para los malos actores, podemos esperar que cambie el enfoque de los ataques cibernéticos. Dos áreas a observar son la tecnología operativa y la cadena de suministro de software.

Los profesionales de la seguridad han estado advirtiendo durante años sobre ataques potencialmente devastadores a la tecnología operativa [por ejemplo, líneas de producción de plantas, tecnología de fabricación, servicios públicos, ascensores, termostatos, luces y vehículos]. El ataque al Colonial Pipeline fue una llamada de atención para muchos.

Otro ataque, este a fines de 2020, puso la seguridad de la cadena de suministro de software en el centro de atención. El ataque al proveedor de software de monitoreo de red SolarWinds puso en riesgo a los usuarios de su software Orion, en particular a las instituciones y agencias del gobierno de EE. UU.

El desarrollo de software moderno se ha comparado con hacer un pastel. Sin el conocimiento de muchos ejecutivos, no todos los componentes del pastel de software se generan internamente. Los piratas informáticos inteligentes han descubierto que es mucho más rentable piratear un componente de software que está instalado en miles de empresas que piratear las miles de empresas mismas.

La gran preocupación del futuro inmediato de la seguridad de la información es que los componentes de software ampliamente implementados pueden haberse visto comprometidos. Las organizaciones están revisando cuidadosamente su software “Lista de materiales”.

Thornton May, CIO.com

Advertisement
Advertisement

VIDEOS

Resources

Advertisement

Recientes

Advertisement