tashatuvango - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

¿Es tiempo de dejar de culpar a las organizaciones por sufrir brechas?

La industria de seguridad de TI necesita examinarse a sí misma y sus prácticas antes de culpar a las organizaciones que han sido afectadas por los ciberataques.

Otra semana, otra brecha de datos. Parece ser tan común ahora que organización tras organización está siendo violada de una forma u otra. Con eso viene una miríada de "expertos" de seguridad subiendo al carro de los medios y ofreciendo sus ideas.

Bueno, digo "ideas": en general, está sacando conclusiones o compartiendo artículos de noticias sin ofrecer ninguna opinión de ningún tipo.

Y así, las líneas de tiempo de LinkedIn se llenan, todos sacuden la cabeza, algunas personas obtienen cinco minutos de exposición y, con el tiempo, la brecha disminuye y otra semana pasa y se produce otra violación.

Todos podemos señalar con el dedo y especular sobre la causa raíz aparentemente aislada, como parchar, sin tener en cuenta al elefante en la habitación y, dicho sea de paso, no puedo pensar en una sola brecha causada aisladamente por el parchado. Nunca es una cosa, sino un compendio de problemas en una organización.

De vuelta al elefante. Lo que me impresiona de esta franja de incumplimientos es que muchas organizaciones no tienen ni idea de lo que están haciendo o, si la tienen, no pueden actuar en correspondencia. 

Estamos viendo catálogos de malas prácticas, ya sea una falta fundamental de políticas y procedimientos, arquitecturas completamente planas, firewalls tan flexibles que están efectivamente allí para calentar el centro de datos, sin controles de acceso, monitoreo, evidentemente sin capacidades de respuesta a incidentes, y la lista continúa.

Esta no es una organización, sino muchas. Mire la magnitud de estas infracciones y cuán públicas son. Estas no gritan "atacante de estado nación", sino que abren agujeros.

Ciberdelincuentes

Pensemos en el chico, o chica, malo por un segundo. Lo que pasa con un ciberdelincuente es que les gusta el camino de menor resistencia, la forma más sencilla de lograr el resultado deseado. ¿Por qué? Porque es barato y fácil. Barato equivale a una ganancia mayor, y fácil, bueno, es igual a fácil, que implica menos inversión y, por lo tanto, también un mejor retorno.

¿Por qué utilizar un ataque de día cero –que cuesta mucho dinero para descubrir y armar– cuando pueden explotar una vulnerabilidad de 10 años? ¿Por qué no cruzar la puerta de entrada que se dejó completamente abierta en lugar de pasar por debajo de la organización para entrar en la bóveda?

Por lo tanto, tenemos ciberdelincuentes a quienes les gusta la simplicidad y organizaciones que casi anuncian una línea recta hacia la olla de oro de datos. Los datos son la nueva moneda, ¿así que acaso sorprende que estemos viendo tantas infracciones, desde grandes corporaciones hasta PyMEs? Es como si todos dejaran abiertas todas sus puertas y ventanas, objetos de valor expuestos, y se preguntaran por qué hay tantos robos.

Dicho esto, los proveedores tienen razón y los ataques se vuelven cada vez más sofisticados. Pero si la vulnerabilidad es más antigua que el atacante, realmente no se puede llamar un ataque sofisticado.

La tecnología es cada vez más sofisticada, ¿por qué los ataques no serían más sofisticados? Pero eso no significa que a los atacantes no les gusten las rutas simples, y que los controles básicos y la ciberhigiene –o como la llame– no reducen el riesgo significativamente.

No conocer lo básico

El problema es que muchas organizaciones simplemente no saben cómo hacer las cosas básicas, o incluso por qué deberían hacerlas. Nuestra industria siempre parece lidiar con una vista de 30.000 pies, en lugar de meterse en las hierbas para explicar las cosas adecuadamente. Es como un profesor diciéndole a una clase que necesitan aprender física y que luego abandonara la sala para no ser visto nunca más. No esperaría que los niños aprendieran de esa manera, así que, ¿por qué esperaríamos que la industria y las organizaciones de seguridad aprendieran mágicamente de la misma manera?

La educación de seguridad es difícil, realmente lo es. Pero, a menos que comencemos realmente a educar a nuestros pares y organizaciones, entonces realmente no deberíamos esperar que cambien y mejoren. Podemos ponernos serios todo lo que queramos, tener meses de concienciación, poner etiquetas a nuestro contenido de corazón, pero el hecho simple es que no estamos educando y, como resultado, no estamos aprendiendo.

Se supone que la seguridad es un juego de equipo, pero el predominio es que los expertos juegan como individuos. Es como ver un equipo de rugby de menores de siete años en el que un niño hace todo y el resto permanece quieto mirándose el ombligo.

Como industria, la seguridad se está quedando atrás. Nuestros colegas de TI y de negocios se dirigen hacia el ocaso tecnológico, mientras nosotros seguimos preguntándonos por qué las personas no están aplicando parches, o carecen de conocimiento, o tienen firewalls tan abiertos que deberían ser reemplazados por un switch.

Por cierto, para su firewall externo, cualquier cosa que se encuentre más allá de los puertos 25, 80 y 443 debe evaluarse en función del riesgo y solo abrirse si es absolutamente necesario para la operación del negocio. Es básico, y aún así lo estamos haciendo mal.

Chocolatey y Chef

Me pregunto sobre la industria de la seguridad. Me pregunto cuántos de mis compañeros profesionales piensan que un servidor Chocolatey es una máquina expendedora, o que Chef es el tipo sueco de los Muppets. Hay una gran cantidad de oportunidades tecnológicas para explorar, y la mayoría de la industria de seguridad no está ni remotamente preparada para comprenderlas y menos explotarlas.

No podemos explotar realmente estas posibilidades a menos que comprendamos cómo construir los conceptos básicos en su uso. Y no podemos hacer eso a menos que entendamos bien por qué y cómo hacer las cosas básicas bien.

Aprendí la mayor parte de lo que sé al hablar con la gente, aprendiendo de sus errores, aprendiendo cómo lograron un resultado, cuáles eran los componentes básicos y en qué orden. Y luego haciendo eso en mi propia organización: equivocándome a veces y aprendiendo de eso. Y luego ayudando a otros a hacer lo mismo.

Todavía hago cientos de preguntas hoy y estoy aprendiendo constantemente. Entonces puedes avanzar. Cosas simples como lograr que los equipos de desarrollo comprendan que los adversarios son parte de sus historias de usuarios, les guste o no. Hacer que piensen sobre cómo pueden explotar lo que están construyendo. ¿Sabe qué? En realidad les gusta eso. Es interesante y les ayuda a entregar mejores resultados para todos nosotros.

Los expertos en seguridad deberían enseñar

De vuelta al quid de la cuestión. Solía ​​haber una campaña de mercadotecnia en el Reino Unido destinada a hacer que la gente enseñara. Decía: "Los que pueden, enseñan". Lo mismo debería sonar cierto en seguridad, excepto agregando la palabra "debería": aquellos que pueden, deben enseñar.

Estamos viendo ramificaciones cada vez más significativas para las organizaciones que sufren infracciones, y una nueva legislación llevará eso a destino. Del mismo modo, casi todas las organizaciones están pasando por una transformación. Ambos brindan la oportunidad de marcar la diferencia y ayudar a las organizaciones a mejorar.

Puede construir conceptos básicos en sus actividades de transformación y usar esa transformación para su ventaja. Construya seguridad o protección de datos desde el principio para hacerlo verdaderamente transparente y complementario al resultado de negocios de esa transformación. Hágalo repetible también, pero no va a suceder sin ayuda.

El problema es que estas organizaciones podrían estar en su cadena de suministro o en un procesador de datos. De cualquier manera, son una ruta potencial hacia usted. Eso debería dar miedo, y solo preguntarles si cumplen con GDPR no cubre las expectativas.

Recientemente hemos reconocido que ya no debemos culpar al usuario, y eso es correcto. Sin embargo, hasta que empecemos a educar, realmente haga de la seguridad un juego de equipo y ayude a las organizaciones a crecer. ¿Entonces, también deberíamos culpar a las organizaciones? Es obvio que la mayoría no tiene ni idea, es ignorante o no puede realizar un cambio de seguridad positivo.

Hay ayuda allá afuera –como la increíble información que está sacando el Centro Nacional de Seguridad Cibernética– pero es escasa, y hay tanto ruido sin sentido, ya sea "vistas de helicóptero", señalar con el dedo, o medios más obsesionado con robots sexuales hackeables que ser una plataforma para la educación. Al igual que la inteligencia de amenazas, tenemos que encontrar la información de alta fidelidad y defender eso.

Hasta que lo hagamos, me pregunto si tampoco deberíamos culpar a las organizaciones.

Este artículo se actualizó por última vez en octubre 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close