Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Noticias de Kaspersky y hackeo de Equifax empujan a los CIOs a no confiar en nadie

Las noticias de Kaspersky tienen a los profesionales de TI ponderando todo, desde la distopía de la seguridad de cero confianza, hasta la liberación por medio de blockchain.

¿Qué sucede cuando los eventos mundiales obligan a los CIO a adoptar un enfoque de cero confianza para comprar...

el sofisticado software de proveedores que protege y administra las empresas?

El polvo no se ha asentado respecto a las recientes acusaciones de que el software antivirus Kaspersky Lab fue utilizado por espías rusos para realizar espionaje a gran escala. Pero las noticias de Kaspersky, junto con las consecuencias ‘que ya no se pueden poner peor’ de la brecha de Equifax en septiembre, pueden llegar a ser el punto en el cual los CIO, los CISO y todos los demás jefes de la empresa dicen en voz alta que las cosas han llegado a un punto crítico.

Si los proveedores de software pueden ser infiltrados por agentes extranjeros y si los paradigmas de las empresas digitales no pueden garantizar la seguridad de la red, pero el éxito de la industria sigue dependiendo de la conectividad digital, entonces algo tiene que cambiar. Sin embargo, no está claro exactamente cómo deben cambiar nuestros sistemas de TI hiperconectados, cargados de datos y fácilmente corrompidos, y las respuestas no serán inmediatas. Sin embargo, una cosa es absolutamente clara: la infiltración de productos de proveecores comerciales con fines maliciosos hace que el trabajo del CIO sea más difícil de lo que nunca ha sido.

"Es difícil vivir en un ambiente de desconfianza", dijo el veterano ejecutivo de TI Niel Nickolaisen, CTO de O.C., con sede en Salt Lake City. Tanner, que diseña programas de reconocimiento de empleados. "¿Dónde nos deja eso? Nos obliga a adoptar un enfoque radicalmente diferente. Siento que no importa lo que hagamos, estamos condenados mientras lo sigamos haciendo de la manera en que lo hacemos hoy".

'Una tarea imposible'

Los analistas de la industria no están en desacuerdo con que algo tenga que cambiar. Para asegurarse, hay pasos graduales y bien conocidos que los CIO y las empresas pueden tomar para minimizar el riesgo, dijeron, como poner controles en capas –protección de punto final, protección de datos, auditoría de datos–, usar la segmentación de red, explorar acceso basado en roles, hacer diligencia debida del proveedor y escribir fuertes protecciones contractuales. Por supuesto, la protección más obvia es mantener los activos confidenciales fuera de línea.

"Eso es lo que les digo a mis clientes: Si tienen propiedad intelectual de la que realmente están preocupados, no conecten esos activos a una red. Manténganlos fuera de internet", dijo el analista de seguridad de Gartner, Avivah Litan.

Pero incluso esta y otras mejores prácticas tradicionales pueden no estar a la altura de la tarea de proteger a las empresas en la realidad actual. La confianza de los proveedores, por ejemplo, no es un problema nuevo para los CIO, dijo Litan, cuya experiencia incluye seguridad de punto final, detección de amenazas internas y fraude.

"Hemos estado hablando de esto en Gartner por un tiempo: sobre la certificación de la cadena de suministro y la certificación de proveedores", dijo. Pero el espectro de productos de proveedores que están siendo infiltrados por actores gubernamentales altamente sofisticados agrega una nueva exigencia a la debida diligencia del proveedor.

"Quién sabe lo que realmente sucedió con Kaspersky, pero debería ser una llamada de atención muy grande. Creo que la moraleja aquí para los CIO es realmente esta: No puedes confiar en tus proveedores, y necesitas tener algún tipo de forma independiente y verificable de validar cuán confiables son. Y eso es difícil porque todos están interconectados", dijo Litan.

También es justo preguntar si es razonable esperar que los CIOs validen los miles de productos de proveedores que usan, que controlan todo, desde los sistemas telefónicos hasta la construcción de seguridad. "Es casi una tarea imposible, pero en realidad no hay nada más que se pueda hacer", dijo.

Forrester sobre 'cero confianza'

Jeff Pollard, que cubre el riesgo de seguridad en Forrester Research, fue menos fatalista. Dijo que las noticias de Kaspersky –lo que sea que sea cierto– deberían convencer a los CIO y a los CISO de que miren a sus proveedores de seguridad y sus productos "desde una perspectiva geopolítica". ¿El proveedor, por ejemplo, vende activamente a gobiernos de otros países o entidades de inteligencia extranjeras? ¿Es un proveedor de registro para esas organizaciones?

"Si es así, entonces el CIO o CISO necesita pensar en los obstáculos que ese proveedor tuvo que pasar para obtener ese contrato", dijo Pollard. Y si un CIO cree que esos obstáculos podrían haber implicado proporcionar acceso al código fuente, esa es quizás una razón para ir con otro proveedor.

"Lo que estamos viendo es que esta tensión geopolítica está influyendo en muchas más decisiones de lo que solía", dijo, "en parte porque este ciberconflicto está escalando entre países, pero también porque dependemos por completo de las tecnologías conectadas. Eso es lo que impulsa la economía mundial".

En cuanto a la propagación del malware, Pollard dijo que 2017 demostró cuán interconectados estamos. "Cosas como WannaCry y Petya mostraron que el malware sofisticado se puede propagar no solo en un entorno, sino en todo el mundo".

Forrester aconseja a sus clientes que adopten una seguridad de confianza cero, presentada en un informe de julio de Pollard, "Future-Proof Your Digital Business with Zero Trust Security". Un ejemplo de confianza cero es BeyondCorp de Google, una arquitectura de seguridad desarrollada por el gigante de las búsquedas en los últimos seis años, que traslada los controles de acceso del perímetro de la red a dispositivos y usuarios individuales. "No es fácil, pero es posible", dijo Pollard.

Para los simples mortales tecnológicos, la buena noticia es que esta nueva arquitectura de seguridad, necesaria para la digitalización, también puede ser financiable como parte de los esfuerzos de transformación digital que muchas empresas están haciendo para competir en este nuevo mercado.

Bajo la esclavitud de la ley de Metcalfe

La posibilidad de que los malos actores exploten el acceso privilegiado de un proveedor para acceder a información valiosa dentro del gobierno o los sistemas empresariales puede ser impactante, pero no es sorprendente, dijo Steve Wilson, analista principal de Constellation Research que cubre identidad digital y privacidad.

"La historia mucho más aburrida es que todo está muy conectado, y todos nuestros recursos están en línea, esperando ser robados. Lo mundano es la corrupción interna", dijo. "El ataque interno es el elefante en la habitación en seguridad. Creo que sucede más a menudo de lo que todos piensan".

Wilson, que atendía la llamada en el vestíbulo de un hotel en India, dijo que a menudo piensa en lo fácil que sería obtener acceso a los sistemas de reserva que los hoteles se sienten obligados a tener disponibles en cada terminal de cada hotel. ¿Qué se necesitaría, un soborno de 1.000 dólares? Tenemos un "fetiche" respecto a la conectividad, dijo. Tenemos una fe ciega en la ley de Metcalfe, que sostiene que el valor de la red es proporcional al cuadrado de la cantidad de usuarios conectados del sistema: Cuanta más conectividad, mejor.

"Tenemos que reducir la velocidad y dejar de asumir que todo debe estar en línea todo el tiempo. Es un desastre esperando ocurrir", dijo. "Hablando con el CIO, digo que se tiene que ser lo suficientemente valiente como para dar un paso atrás antes de que todos caigamos por el precipicio".

¿Redención de blockchain?

Nickolaisen dijo que su organización de TI implementó recientemente un nuevo software antivirus basado en el comportamiento para mejorar la postura de seguridad de la compañía.

"Pero, ¿qué si no puedo confiar en los tipos basados ​​en el comportamiento? ¿Qué pasaría si los piratearan?" Últimamente, él ha estado pensando mucho sobre el hackeo de Equifax. "Aquí soy practicante, un generalista; supongo que Equifax gastó un mayor porcentaje de sus ingresos en seguridad que yo, y todavía no pudieron hacerlo bien, así que creo que estoy condenado", dijo.

En cuanto a los proveedores de auditoría, Nickolaisen cree que la mayoría tienen sus certificaciones y resultados de auditoría que muestran que están haciendo lo correcto. "¿Voy a auditar sus auditorías para asegurarme de que en realidad están parchando a tiempo como lo hacemos nosotros?”.

Recientemente, él se reunió con una compañía que está desarrollando sistemas de gestión de identidad basados ​​en blockchain, la tecnología de libro general distribuido casi ‘inhackeable’ sobre la que está construida bitcoin, "donde conservo mis datos y les permito a otros usar mis datos, pero en mis términos, no en los de ellos", refirió.

"No sé cuál es el enfoque diferente –tal vez sea blockchain–, pero tiene que ser de alguna manera, de algún modo, porque he decidido que no puedo confiar en nadie".

Para que conste, Litan de Gartner tuvo la misma epifanía a raíz de las noticias de Kaspersky. "Teóricamente, podrías construir un sistema de protección de puntos finales sobre blockchain, en el que sería mucho más fácil confiar. Es una manera de alejarte de nuestros gobiernos, porque ninguno de nuestros gobiernos ya es confiable", dijo, y agregó: "¿Cree que tal vez esa sea la razón por la que bitcoin subió a un precio récord hoy?".

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close