Obtenga los conceptos básicos de seguridad correctos: podría evitar una catástrofe
En 2020, los atacantes estatales comprometieron hasta 18.000 empresas al insertar malware en una actualización del proveedor de administración remota SolarWinds. A principios de este año, hasta 30.000 organizaciones sufrieron un ataque a través de vulnerabilidades de día cero en Microsoft Exchange.
Estos ataques pueden hacer que los equipos de seguridad sientan que deben concentrarse en prevenir, o al menos prepararse para, los ataques más sofisticados, como las infracciones de la cadena de suministro o las vulnerabilidades de día cero. Sin embargo, la higiene cibernética y el énfasis constante en los conceptos básicos de seguridad siguen siendo las prácticas más importantes para las empresas, lo que aumenta su capacidad para detectar atacantes que ingresan a sus redes y sistemas.
"Yo diría que alrededor del 95 por ciento de las hazañas que utilizan los actores del Estado-nación y los grupos criminales de alto nivel no están usando los días cero, sino simplemente [explotando a las víctimas que dejan] las puertas abiertas para los atacantes", dice Gregory Touhill. un director en la junta de la Asociación de Control y Auditoría de Sistemas de Información (ISACA) y un profesor de ciberseguridad en la Universidad Carnegie Mellon. Argumenta que cerrar la puerta de entrada a la red mediante la aplicación de parches y la aplicación de una buena gestión de la configuración y otras medidas tendrá el mayor impacto a largo plazo. ¿Por qué los atacantes usarían técnicas de ataque de alto valor cuando simplemente pueden entrar por la puerta trasera sin llave?
Las estadísticas lo confirman. Las empresas con programas de ciberseguridad líderes son cuatro veces mejores para detener ataques y encontrar brechas, tres veces mejores para responder a brechas y dos veces mejores para reducir el impacto de una brecha, según Accenture's Estado de la resiliencia cibernética reporte.
"Quiere una visibilidad y una coherencia completas, desarrollar el modelo operativo adecuado para la red y el punto final y, para el acceso, comprender cómo utilizar los privilegios mínimos para bloquear los servicios en la nube y los componentes de la red", afirma Rob Boyce, líder de ciberdefensa en América del Norte en Accenture. Seguridad.
Los ataques sofisticados y a gran escala siempre se destacarán, pero las aburridas medidas de seguridad diarias son clave para minimizar los riesgos. Estos son los conceptos básicos, divididos en tres categorías típicas: personas, procesos y tecnología.
Si bien muchos equipos de seguridad piensan en los empleados como una fuente de vulnerabilidad, pueden ser, cuando están bien capacitados, la primera línea de defensa.
Personas: principios, conciencia, contraseñas seguras
A medida que los empleados se han trasladado al trabajo remoto, educarlos en principios de seguridad sólidos se ha vuelto aún más importante. Si bien muchos equipos de seguridad piensan en los empleados como una fuente de vulnerabilidad, cuando están bien capacitados, pueden ser la primera línea de defensa.
Enseñar a los empleados sobre las mejores prácticas—Utilizar un administrador de contraseñas, no reutilizar contraseñas, utilizar autenticación multifactor y desconfiar del correo electrónico— contribuye en gran medida a mantener la seguridad de su empresa. Muestre a su gente ejemplos concretos de los daños que pueden ocurrir al no poner en práctica estas prácticas y será más probable que se sumen.
¿Qué tan grande es el equipo que necesitas? La empresa típica dedica dos empleados a tiempo completo para alcanzar el nivel medio de conciencia de seguridad: promover la conciencia y el cambio de comportamiento, según Informe de conciencia de seguridad 2019 del Instituto SANS. Para alcanzar un nivel superior a la media, es necesario el equivalente a más de tres empleados a tiempo completo en función del tamaño de la empresa. (La encuesta se centró en empresas con al menos 1.000 empleados).
Las empresas más seguras en su gestión de la seguridad miden de cerca su progreso y realizan un seguimiento de la formación y las prácticas de los empleados. Un buen lugar para comenzar es utilizar los resultados de los simulacros de phishing. Cuando Touhill, entonces el general de brigada Touhill, se desempeñó como CIO del Comando de Transporte de EE. UU., Realizó simulacros de phishing con regularidad y dio a conocer los resultados.
"Comenzamos con una tasa de clics del 17 por ciento, y luego señalábamos qué estaba mal en el mensaje, y muy pronto llegamos a menos del [uno] por ciento", dice. "También publicamos los resultados, anonimizando a los soldados, por lo que se convirtió en una especie de competencia".
Proceso: proteger activos, transacciones financieras, datos
Para proteger su organización, necesita saber qué activos son críticos y cómo protegerlos mejor. Mantener un censo de activos actualizado es una función de seguridad básica fundamental para las empresas. Solo cuando las empresas conocen todos sus activos pueden mantenerlos parcheados y determinar los controles adecuados para cada categoría de activos.
"Si no sabe qué activos tiene, dónde residen esos activos, la importancia de esos activos, ¿cómo puede fundamentalmente agregar capas adicionales de control para proteger esos sistemas y datos?" dice Andrew Rafla, director y líder de confianza cero en Deloitte Risk & Financial Advisory.
Con el aumento de diversas formas de fraude de facturas—Desde el compromiso del correo electrónico empresarial (BEC) hasta los ataques de suplantación de identidad (spear-phishing) dirigidos al departamento de finanzas — crear un proceso de pago y contabilidad sólido junto con el banco de una empresa es increíblemente importante. A menudo, el fraude por correo electrónico empresarial comienza con el compromiso de la cuenta de un ejecutivo, que luego se utiliza para reenviar facturas y detalles de transferencias bancarias.
Para protegerse contra los esquemas BEC cada vez más sofisticados, las facturas deben verificarse mediante una variedad de controles a través de diferentes puntos de contacto para minimizar el potencial de fraude.
Otro esquema dañino son los ataques de ransomware, especialmente la variante más reciente conocida como doble extorsión, en la que los datos se roban y luego se cifran. Las empresas que no pagan la demanda de rescate no solo no obtienen la clave para desbloquear sus datos, sino que probablemente encuentren sus datos publicados en Internet.
Por favor lee: Cómo las empresas se protegen a sí mismas sin confianza
La primera línea de protección para las empresas es hacer una copia de seguridad de los datos más importantes y ejecutar ejercicios regulares para verificar la restauración. El proceso de restauración debe ser lo más indoloro posible. Hay casos en los que las empresas han pagado rescates incluso cuando tienen copias de seguridad porque el acto de restaurar los datos lleva demasiado tiempo.
Explore todo la seguridad. Desde la cadena de suministro confiable hasta la confianza cero, encuentre las noticias y los conocimientos más actualizados.
Tecnología: Identidad, endpoint, protección de servicios en la nube
El trabajo remoto es otra razón por la que las empresas deberían planificar adoptar una arquitectura de confianza cero. El enfoque de la confianza cero es comenzar con la suposición de que cualquier dispositivo puede estar comprometido y verificar que el dispositivo esté limpio y luego vigilar el comportamiento anormal.
Una infraestructura de identidad es el primer requisito para la confianza cero. Los usuarios y los dispositivos son entidades discretas que se controlan para detectar cambios en el comportamiento. Si un dispositivo se conecta repentinamente desde una nueva ubicación o alguien accede a un recurso por primera vez, eso debería desencadenar controles de seguridad adicionales. La autenticación multifactor ayuda a prevenir ataques con credenciales robadas.
Además, debe adoptar un software de administración de dispositivos para asegurarse de que los dispositivos estén actualizados y configurados correctamente. La detección y respuesta de endpoints le permite administrar dispositivos remotos y responder a incidentes desde lejos. Cuanto más se incorpore la automatización en los sistemas, más rápido podrá responder el equipo de seguridad a las posibles infracciones.
"Es importante integrar la pila de tecnología tanto como sea posible y aprovechar las capacidades de automatización y orquestación para poder responder rápidamente en tiempo real, en lugar de un enfoque reactivo, en el que se realiza una acción manual", dice Rafla de Deloitte. . Por último, una tecnología de acceso a la red de confianza cero puede asegurar el acceso a los activos corporativos y proteger la gama en expansión de servicios en la nube. Dichos servicios permiten segmentar las redes y los servicios, estableciendo microperímetros alrededor de los activos y servicios críticos, dice Rafla.
"Incluso si sufre una infracción, reduce el radio de explosión de una amenaza potencial y reduce el daño de la infracción", dice.
Si bien muchas empresas se enfocan en la tecnología primero, con la esperanza de que un nuevo producto o servicio resuelva su problema de seguridad, un proceso más claro o una mejor capacitación para los empleados podría ser más inteligente. La tecnología es solo uno de los componentes básicos de la seguridad general: las personas y los procesos son igualmente importantes.