Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Protección contra amenazas de ciberseguridad: No olvide lo básico

Para Robert Bigman, ex jefe de seguridad de TI de la CIA, muchas empresas son vulnerables porque pasan por alto lo básico en cuanto a protección.

La ciberseguridad se ha vuelto muy complicada para las empresas conforme nuevas amenazas  aparecen constantemente y las antiguas evolucionan. Las empresas han tenido que adaptar sus procesos de negocio y sus funciones para proteger los datos contra las amenazas de ciberseguridad. Aquí, el ex jefe de seguridad de la información de la CIA, Robert Bigman, dice que muchas empresas siguen siendo vulnerables porque pasan por alto lo básico cuando se trata de la protección contra amenazas en la seguridad cibernética.

¿Cuáles son las mayores amenazas de seguridad cibernética de hoy, y qué deberían estar haciendo las empresas para reaccionar ante ellas?

Robert Bigman: Francamente, las mayores amenazas son las mismas que hace cinco o diez años. Todavía hay amenazas de acceso no autorizado, ataques de malware a partir de inyecciones de código, phishing. Esos no han cambiado, y no van a cambiar hasta que arreglemos el problema, que es por lo cual las computadoras no son muy seguras. Lo que ha cambiado es que hemos visto lo que se llama la "democratización" de los ataques. Algunos ataques muy sofisticados que yo solía ver en los estados-nación hace apenas unos años ahora se están haciendo por hacktivistas, o lo que yo llamaría hackers "de primera línea", que realmente no tienen muchas habilidades, pero están utilizando algunos códigos muy sofisticados.

El problema es que la mayoría de las empresas no han configurado su arquitectura de red y sus programas de TI para defenderse de estos ataques sofisticados. Ellos han estado confiando en productos comerciales, productos antivirus y ahora ciberinteligencia. El problema es que ninguno de ellos funciona, y de hecho son totalmente ineficaces. Lo que tienen que pensar es cómo diseñar sus sistemas y redes para minimizar la amenaza del malware, incluso de que entre. Una vez que ingresa, si usted tiene una conexión a Internet y es un objetivo de primer nivel, usted va a ser hackeado. Eso es lo que todo el mundo está aprendiendo.

¿Existen estrategias universales que hayan demostrado ser particularmente eficaces para la seguridad cibernética, o es más importante ser flexibles y adaptarse conforme las amenazas evolucionan?

Bigman: Bueno, usted no debe seguir siendo flexible y no debe adaptarse. Lo que debe hacer es estar seguro. Es un poco como el fútbol: Lo llamamos el "bloqueo y el empuje" –tienes que hacer las cosas básicas correctamente. Desde que me he retirado he estado haciendo un montón de consultoría, y voy a ser honesto con usted, no he encontrado casi ninguna empresa que haga bien incluso lo más básico.

Hay estándares de proveedores y de gobierno para la configuración de Windows: es paso a paso, haga esto y aquello, encienda esto, desactive eso. No he ido a una corporación donde al menos traten de prestar atención a esas configuraciones. Si hicieran lo básico, disminuirían sus posibles ataques. No se desharían de ellos, pero los disminuirían mucho. Sin embargo, prefieren comprar productos y solo apilar capas de productos sobre una base podrida. Ellos tienen que trabajar realmente en las bases.

¿Qué papel desempeñan los profesionales de seguridad de información en la ciberseguridad?

Bigman: He estado trabajando con muchas organizaciones, y los he visto jugar una gran variedad de roles diferentes. Lo que me preocupa son dos cosas que veo constantemente en el sector privado: Lo primero es que no tienen suficiente visibilidad y acceso para ser efectivos. Por lo general, están enterrados en algún lugar de la organización del CIO, y es el CIO quien es el representante de seguridad hacia la alta dirección, no el CISO. Nunca debería ser así, debería ser solo el CISO.

La segunda cosa que veo es que los CISO simplemente no reciben recursos. Consiguen el dinero para comprar productos, pero no reciben los recursos, la financiación y la gente para ayudarles a construir sistemas seguros.

¿Cómo las regulaciones de cumplimiento influyen en cómo las empresas se acercan a la ciberseguridad?

Bigman: La respuesta simple es que no está ayudando. La policía de cumplimiento no entiende la complejidad de la seguridad de la información. Lo que aún hacen hoy en día, en 2014, es crear una lista de verificación. El problema es esto toma tiempo y no llega al meollo de la cuestión, que son los temas cruciales reales que he mencionado antes, el bloqueo y el empuje. El otro problema que he notado con las políticas de cumplimiento es que es un tema muy del día. Por ejemplo, hace dos años eran las listas blancas. El año pasado, el cifrado era grande. Este año es la ciberinteligencia. Eso no ayuda. Los temas son el bloqueo y el empuje básicos, no si tienen determinados peajes instalados.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close