Maksim Kabakou - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Seguridad: volvamos a lo básico en 2019

Al cierre de 2018, pedimos a los contribuyentes de la sección Security Think Tank de Computer Weekly que nombraran una cosa predicha para 2018 que no sucedió, una cosa que no se predijo pero sí sucedió, y otra que debería suceder en 2019 pero que probablemente no sucederá.

Una cosa predicha para 2018 que no sucedió.

Cuando el reloj marcó la medianoche del 1 de enero de 2018, la brecha masiva de Equifax, revelada unas pocas semanas antes, aún pesaba mucho en la mente de los profesionales de seguridad de la información. Claro, ya habíamos visto brechas de escala gigantesca y todos sabíamos que Equifax seguramente no sería el último, pero esta vez algo se sintió diferente.

La escala, combinada con el hecho de que un porcentaje no trivial de los millones de personas atrapadas en la brecha tenía poco que saber acerca de la exposición a Equifax, y el nivel de detalle que la empresa almacenaba sobre ellos, colocó a la industria de informes crediticios en niveles de escrutinio que nunca antes había experimentado.

Hubo conmoción, indignación, frustración y una sensación abrumadora de que las corporaciones que manejan nuestra información personal deben ser verdaderamente responsables. ¿Quizás Equifax fue la gota que derramó el vaso de agua e inspiró el cambio que todos merecemos? Algunos incluso opinaron que podría ser el fin de Equifax como organización, ¿cómo podría sobrevivir a este desastre?

Sin embargo, aquí estamos, 12 meses después, y Equifax sigue en pie. A lo largo del camino, ha habido algunos manotazos, de varios cuerpos públicos. Ha habido multas, presentadas por juicios privados y departamentos gubernamentales limitados, pero Equifax ha sobrevivido, y nunca pareció haber sido derribado por una infracción tan mal manejada y que hubiera sido tan fácil de prevenir. El ciclo de las noticias cambió y el mundo pasó a la siguiente brecha importante. La rendición de cuentas que todos anhelamos fue deficiente.

Una cosa que sucedió en 2018 que no se predijo.

A medida que avanzaba el 2018, hubo algunas señales positivas de que las cosas estaban cambiando a este respecto. Uno de esos ejemplos fue en el estado de California, en los EE. UU., donde, en respuesta directa al incidente del bot de Mirai 2016, en el que se utilizaron miles de dispositivos de internet de las cosas (IoT) para interrumpir una parte no trivial de internet, el Estado adoptó nueva legislación. La Ley de Privacidad de la Información: Dispositivos Conectados (también conocida como el Proyecto de Ley Senatorial 327) contenía algo que a menudo se encuentra faltando en la legislación de seguridad cibernética: se deben tomar medidas específicas para mejorar el estándar de seguridad de la información. Esto era algo que muchos esperaban que sucediera, pero pocos predijeron que lo verían tan rápido; La legislación se mueve al unísono con la tecnología actual: imaginen eso.

El proyecto de ley enumera una serie de requisitos para los fabricantes de dispositivos de IoT, en particular la prohibición de las credenciales predeterminadas codificadas, el vector de entrada aprovechado por Mirai y otras variantes de malware de IoT. Es un paso extremadamente básico, pero uno que requirió la aprobación de una legislación específica para abordar. Si bien esta ley se aprobó en California, se espera que tenga un impacto positivo a nivel mundial, ya que los fabricantes de dispositivos diseñan sus ofertas de acuerdo con los nuevos requisitos.

Usted pensaría que algo tan simple como una contraseña predeterminada en un dispositivo sería una obviedad, pero claramente, dada la necesidad de una legislación tan específica, no lo es. También podría pensar que la aplicación oportuna de un parche para abordar una vulnerabilidad de software conocida en un servidor web expuesto también es una obviedad, pero como nos mostró Equifax, no lo es. Lo que nos lleva a 2019.

Una cosa que debería suceder en 2019, pero probablemente no sucederá.

El próximo año, la industria de la seguridad cibernética continuará lanzando nuevas ofertas que utilizan tecnologías avanzadas en nombre de la prevención de violaciones. Las soluciones que utilizan aprendizaje automático, inteligencia artificial (IA), detección de anomalías y, me atrevo a decirlo, blockchain (ugh, ahora me siento sucio) se publicarán en las ferias comerciales y en las carteleras de los aeropuertos de todo el mundo. Las compañías compran estas soluciones y las implementan parcialmente antes de aburrirse, limitadas por el costo u otras presiones comerciales, en lugar de hacer algo que tendría un impacto mucho más profundo en la seguridad, como volver a lo básico.

Esto incluye tomarse el tiempo para redescubrir sus activos y almacenes de datos, implementar una autenticación sólida, tomarse el tiempo para revisar las configuraciones integradas en los sistemas operativos y el software que ya tiene y fortalecerlos, cifrar los datos y aplicar parches rápidamente.

Estas son todas las cosas que deberían ser lo más importante en 2019, pero no lo serán. En cambio, las palabras de moda, las interfaces gráficas de usuario y la comercialización exagerada de la industria servirán para distraer y confundir. La gestión de activos no es sexy. El parcheo es aburrido. Pero, si realmente queremos frenar la marea de incidentes e infracciones importantes, entonces este enfoque de vuelta a lo básico es el camino correcto a seguir. ¡Hagamos de 2019 el año más aburrido de todos!

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close