El ciberriesgo crece. Así es como las empresas pueden mantenerse al día

Las consecuencias de los ciberataques son cada vez más graves. Y a medida que los «malos actores» se financian cada […]

El riesgo cibernético está aumentando. Así es como las empresas pueden mantenerse al día

¿No tienes tiempo de leer?

Nuestros Audioresúmenes, te mantienen al día con los mejores artículos y libros de negocios; aún y cuando no tienes tiempo para leer.

Las consecuencias de los ciberataques son cada vez más graves. Y a medida que los «malos actores» se financian cada vez más y la «superficie de ataque» donde se despliegan las ciberamenazas se hace cada vez más grande y compleja, se hace prácticamente imposible garantizar que todo esté debidamente parcheado. Para gestionar el ciberriesgo en este contexto, necesitamos cambiar radicalmente la forma en que medimos el rendimiento del ciberriesgo. El autor analiza tres cosas que las empresas deberían hacer para mejorar sus medidas actuales de ciberriesgo. Si bien la eliminación del riesgo no existe, mediante una mejor medición e incentivos, no solo podemos gestionar estos riesgos tecnológicos, sino también convertirlos en oportunidades para una economía más resiliente.

•••

Los titulares siguen repletos de informes sobre agencias gubernamentales y grandes empresas que han sido víctimas de ciberintrusiones. Esto sigue siendo cierto a pesar de la proliferación de directrices sobre ciberseguridad y de los grandes aumentos del gasto mundial en ciberseguridad (en torno a150 000 millones de dólares al año en todo el mundo en productos y servicios cibernéticos). ¿Por qué? Además de cada vez másbien financiado actores de amenazas, la «superficie de ataque» donde se despliegan estos ataques está cambiando drásticamente. – El número de aplicaciones utilizadas por una organización típica ha crecido rápidamente en la última década, según los últimosreportaje, las organizaciones típicas utilizan 130 aplicaciones SaaS, en comparación con las 16 aplicaciones de hace cinco años. Nuestra empresa trabaja con grandes empresas que gestionan miles de aplicaciones SaaS y locales. Cada aplicación requiere controles de postura (un estado general de preparación para la ciberseguridad), gestión de vulnerabilidades y controles de autenticación. – La cantidad de dispositivos de Internet de las cosas (IoT) también se está disparando: algunas previsionesproyecto que habrá 41 600 millones de dispositivos de este tipo en 2025. Y las redes 5G permitirán un nivel mucho mayor de computación distribuida en la periferia.Drones yrobótica ya no son simplemente cosa de los entornos militares, sino que se utilizan hoy en día en muchos sectores y áreas de servicio, desde la agricultura hasta los centros de distribución minorista, los servicios de entrega y más. – El software y el firmware que utilizan estos sistemas se basan en bases de códigos cada vez más complejas, tanto por su tamaño como por su dependencia del código de terceros. La base de código original del transbordador espacial era solo400 000 líneas de código. Los coches modernos tienen 100 millones de líneas de código. Cada vez es más o menos imposible garantizar que todo esté debidamente parcheado. Y las consecuencias son cada vez más graves. MKS Instruments, un proveedor de tecnología para la industria de los semiconductores, recientementedenunció un impacto de 200 millones de dólares por un ataque de ransomware. La explotación de las vulnerabilidades en los sistemas de control industrial y los dispositivos de IoT tiene un impacto en la vida y la seguridad, como hemos visto en los últimosintentos para envenenar los sistemas de agua. Para gestionar el ciberriesgo en este contexto, necesitamos cambiar radicalmente la forma en que medimos el rendimiento. Las medidas que utilizamos hoy en día incluyen las evaluaciones de madurez (que utilizan una escala para definir los niveles progresivos de madurez de las capacidades utilizadas para gestionar el ciberriesgo), las certificaciones de cumplimiento (en las que los auditores de una empresa o de terceros certifican o validan que existe un conjunto predefinido de controles de seguridad), los informes sobre la antigüedad de las vulnerabilidades (que miden la presencia de vulnerabilidades críticas y altas presentes en los activos de TI y el tiempo que llevan sin remediarse) y el tiempo medio de detección estadísticas (que miden el tiempo que se tarda en detectar una amenaza) actividad dentro del entorno de una organización). Estas medidas son valiosas y necesarias, pero ya no son suficientes, y hay que terminarlas en libros de tres maneras. ## Tres formas en las que necesitamos mejorar las medidas actuales de ciberriesgo ### En primer lugar, desde el principio, necesitamos dar mayor visibilidad a los niveles de riesgo inherentes a las organizaciones, básicamente, «¿Qué se nos pide que defendamos?» Durante dos décadas, hemos otorgado premios al Departamento de Seguridad Nacional (DHS)Iniciativa de seguridad en áreas urbanas (UASI) las subvenciones se basan en el grado relativo de riesgo en las diferentes áreas metropolitanas, y necesitamos un enfoque similar en materia cibernética. Esto incluye medir las amenazas, la complejidad y el posible impacto empresarial. Necesitamos paneles que midan las tendencias en función de factores como el número de aplicaciones, el tamaño y la naturaleza de las bases de datos y los repositorios de códigos, las regiones en las que operamos, la velocidad de las fusiones y adquisiciones y las dependencias de los principales proveedores. Esto cobrará especial importancia a medida que el Big Data, la IA y el IoT evolucionen, ya que los beneficios y los riesgos de estas innovaciones se distribuirán de manera desigual en todas las organizaciones. ### En segundo lugar, necesitamos mucha más transparencia, precisión y precisión en cuanto a la forma en que actuamos contra las posibles amenazas y si lo hacemos de forma coherente en toda la superficie de ataque. La base de conocimientos más fidedigna y transparente sobre el comportamiento de las amenazas disponible en la actualidad es la de MITRE CorporationAT&CK marco. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) publicó recientemente una serie deObjetivos de rendimiento en ciberseguridad tenía la intención de ayudar a establecer un conjunto común de prácticas de ciberseguridad fundamentales para la infraestructura crítica. Cada uno de los objetivos se asigna a técnicas de amenaza MITRE específicas. Las empresas pueden poner a prueba el rendimiento de la seguridad con estas técnicas, y la CISA, el FBI y la NSA han publicado conjuntamenteguía recomendando que lo hagan. Cada año, la CISA publica un compendio de sus esfuerzos en las pruebas de penetración y elreportaje indica que comprometer las cuentas válidas es la técnica en la que el mayor número de organizaciones fracasa. Esta tendencia no hará más que aumentar a medida que migremos a la nube, donde la identidad es el perímetro, y significa que las defensas en torno a la identidad y el acceso deben ser una de las principales prioridades. A medida que lo haga, la automatización y la medición continua del rendimiento de la seguridad cobrarán cada vez más importancia. Afortunadamente, las principales empresas de nube ofrecen herramientas que lo hacen, como las de MicrosoftPuntuación segura. Del mismo modo, con el avance de la IA y la capacidad de imitar a los usuarios legítimos, las técnicas de análisis de la reputación también cobrarán cada vez más importancia para identificar a los impostores. La Oficina de Aduanas y Protección Fronteriza de los Estados Unidos califica continuamente el riesgo de la carga entrante, en parte comprobando si el remitente es conocido y de confianza. Estos mismos principios se aplican en el ciberespacio. Las técnicas de análisis reputacional se pueden aplicar (y se están aplicando) automáticamente para decidir si se bloquean ciertos sitios web, los correos entrantes o los intentos de autenticación sospechosos. Otro objetivo para una defensa informada sobre las amenazas es medir cómo se defienden los «activos de alto valor». Definir «activos de alto valor» puede ser subjetivo y demasiado amplio, pero sabemos que ciertos sistemas son atacados repetidamente porque desempeñan funciones fundamentales para la confianza. Después delIncidente de SolarWinds, el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos definió una lista de este tipo de software crítico, y un buen punto de partida es medir qué tan bien se defienden estos sistemas. Al medir estas defensas, tenemos que evaluar no solo qué tan bien hemos protegido estos sistemas en funcionamiento, sino también con qué seguridad los han desarrollado y actualizado los proveedores de estos sistemas. El reciente robo del código fuente enOkta, un proveedor líder de soluciones de autenticación multifactor e inicio de sesión único basadas en la nube, así como la violación del administrador de contraseñas Último pase, ponga esto en relieve. Lamentablemente, las certificaciones existentes como ISO 27001 ySOC 2 arrojan poca luz sobre si existen procesos de seguridad sólidos durante el ciclo de vida del software. Por lo tanto, elEstrategia nacional de ciberseguridad publicado en marzo, pide incentivar una mejor seguridad del software, transfiriendo la responsabilidad a los proveedores de software y utilizando el poder adquisitivo del gobierno para incentivar la adopción de marcos modernos, como el Marco de Desarrollo Seguro de Software (SSDF) del NIST y el concepto relacionado de una lista de materiales de software (SBOM). A medida que se formalicen los marcos de certificación de la SSDF y la SBOM, deberían adoptarse en los programas de gestión de riesgos de terceros de las empresas. ### En tercer lugar, tenemos que planificar y medir el rendimiento en función de los eventos de baja probabilidad y altas consecuencias. Hay una tendencia a cuantificar los impactos financieros del ciberriesgo mediante modelos comoValor en riesgo, que cuantifica (normalmente en dólares) la posible pérdida de valor de una entidad durante un período de tiempo definido con un nivel de confianza determinado. Estos modelos son útiles, pero dependen necesariamente de las entradas de datos. Según los datos que impulsen estos modelos, pueden presentar una visión demasiado optimista del riesgo. Historia dice nosotros esto es lo que ocurrió con el riesgo crediticio y de liquidez a principios de la década de 2000, y tenemos la crisis financiera de 2007-2008 para demostrarlo. En el DHS, después del 11 de septiembre, estructuramos la planificación de la preparación en torno a un conjunto básico de escenarios de planificación, y los reguladores bancarios británicos ahorarequerir planificación y pruebas similares en torno a escenarios «graves pero plausibles». Un buen punto de partida es lo que pasó conMaersk en el incidente de NotPetya, en el que la empresa estuvo a punto de perder permanentemente su sistema de TI a causa de un destructivo malware que más tarde se atribuyó a Rusia. Más recientemente, la migración de las cargas de trabajo a la nube por parte de Ucrania antes de la invasión fue fundamental para su capacidad de capear una avalancha de ciberataques rusos. El clima geopolítico actual subraya la importancia de reformular la planificación de la resiliencia en torno a cómo mantener a la empresa a flote en caso de que sus sistemas principales se vean comprometidos. ¿Hemos mantenido copias de seguridad sin conexión y hemos probado la recuperación? ¿Podemos reconstituir una forma de comunicarnos con los empleados esenciales? ¿Sabemos cómo asegurarnos de que ciertos pagos importantes pero de bajo riesgo puedan continuar? Podemos convertir el riesgo en una oportunidad: si podemos unirnos en torno a mecanismos que midan el rendimiento de la ciberseguridad con transparencia, precisión y precisión, podríamos trabajar con los países aliados para codificarlos e implementarlos. Entonces podrían reflejarse como requisitos básicos en las adquisiciones de tecnología en el extranjero, lo que crearía mayores oportunidades de diferenciación. La eliminación del riesgo no existe, pero mediante una mejor medición e incentivos, no solo podemos gestionar estos riesgos tecnológicos, sino también convertirlos en oportunidades para una economía más resiliente.

Scroll al inicio