A principios de este verano, entre los profesionales de ciberseguridad, se produjo cierto revuelo a raíz de un hilo de Twitter dedicado a desmitificar los tópicos más comunes del sector.
Su autora, Alyssa Miller, hacker con más de 15 años de experiencia, explicaba posteriormente en profundidad estos 6 mitos.
Desde Semantic Systems nos hacemos eco de ellos y; mito o verdad, queremos aportar soluciones e ideas para abordar, lo que a la postre, pudiera convertirse en una brecha de seguridad o una amenaza propiamente dicha.
No se trata de si te abren una brecha, sino de cuándo
Aunque técnicamente esta es una afirmación cierta, Miller insiste en que es importante dejar de repetirla como un mantra.
Lejos de hacer que los responsables de dirección inviertan más dinero y recursos en ciberseguridad, la realidad es la que parece disuadirles, porque nadie quiere invertir en un problema que no tiene solución.
Los ataques aparecerán, eso es cierto, pero el foco no está en tirar la toalla, sino en prevenir, detectar y reaccionar a tiempo.
Lo mismo podríamos afirmar cuando se produce un ataque. En lugar de rasgarse las vestiduras y, teniendo en cuenta todo lo relacionado a la privacidad y protección de datos personales.
El sector, haría bien en incentivar casos de estudio sobre aquello que se pudo evitar y cómo se reaccionó ante una amenaza o una intrusión. Los denominados CSIRT, operan a hoy casi desde el anonimato siendo estos equipos quienes libran a diario cientos de “ciberbatallas” y cuyas victorias son en la mayoría invisibles.
Bien pudiéramos crear una ventana al público donde se pueda obtener el aprendizaje de esas tácticas usadas y aterrizarla a las empresas en forma de modelos de prevención.
Soluciónalo con un parche
Durante mucho tiempo, los parches han sido considerados el objetivo final de la comunidad de la ciberseguridad.
Sin embargo, según Miller, un enfoque excesivamente centrado en los parches es erróneo por dos razones clave:
- La primera es que parece que los parches son la solución casera y chapucera a un producto o sistema deficiente. Los responsables, por lo tanto, no quedan como los profesionales competentes que pueda que sean, dando por sentado que hicieron mal su trabajo.
- En segundo lugar, aleja el foco de soluciones más completas y globales, donde se modifiquen patrones, se rediseñen flujos y se apliquen soluciones a toda la organización que podría evitar la implementación de muchos sucesivos parches.
Además, no debemos perder de vista que muchas veces las vulnerabilidades ni siquiera se conocen, como la más reciente a la que hemos asistido en 2022, la del error de configuración en el almacenamiento de datos de la nube de Microsoft que afectó a más de 65.000 cuentas. Por lo tanto, es difícil crear un parche cuando la vulnerabilidad no es patente.
¿La solución? Miller recomienda volver a los básicos, como los cortafuegos de aplicaciones Web (WAF) y las estrategias necesarias para ejercer un mejor control del tráfico tanto saliente como entrante de Internet.
Conformar equipos de colaboración y de actualización constante en tecnologías y tendencias de ciberseguridad y estar abiertos a la inversión y adopción necesaria de ellas.
De ese modo, la probabilidad de sufrir un ataque se minimizará y el daño que pueda causar una amenaza materializada va a ser; con certeza, mucho menor.
Descarga el ebook gratuito “Artículos TOP de Seguridad”
|
Los usuarios son el eslabón más débil
Todos hemos oído y repetido esta afirmación una y otra vez, “Los empleados son tu eslabón más débil en ciberseguridad”.
Aunque pueda ser verdad en un alto porcentaje de las ocasiones (sabemos que el 54 % de los incidentes de ciberseguridad de 2022 se produjeron mediante intrusiones por correo entre los empleados), parece que estamos intentando quitar a las personas de la ecuación, como si cualquiera que pinche en un enlace pudiera provocar una hecatombe empresarial.
Más bien deberíamos replantearnos el foco del uso personal-profesional que le damos a las redes, equipos y sistemas. Desde la pandemia hemos aprendido mucho sobre este tema, y ahora conocemos mejor cuáles son los patrones que pueden poner en riesgo a las organizaciones y cómo evitarlos.
En lugar de responsabilizar a los empleados y tratarles como un riesgo potencialmente alto para la seguridad, sería más lógico aprender de los flujos de trabajo de los empleados. La mayoría de las veces, un ataque de phishing es fruto de la prisa o el exceso de comunicaciones electrónicas.
La clave está en trabajar con el usuario, tratar de entender cómo utilizan determinadas herramientas, qué se podría hacer de otra manera y cuáles son los puntos débiles de la gente.
La seguridad es tarea de todos
Una vez más, aunque es una frase verdadera, puede enviar señales equivocadas. Sí, definitivamente la seguridad es una tarea de todos, pero los empleados o personal de otras disciplinas no tendría por qué especializarse en algo que no es de su competencia.
Además, afirmaciones como esta obligan al equipo de seguridad a intervenir en momentos donde la seguridad se pone por encima de cualquier otra tarea, por importante que sea.
Alterar las prioridades del equipo de seguridad o dejar la responsabilidad en manos de quien no tiene formación ni conocimientos no es buena idea. Lo ideal es tomarse esta frase como lo que es: una advertencia de que la seguridad es una tarea fundamental y que se deben respetar e interiorizar las políticas empresariales encaminadas a protegerse y proteger.
Para garantizar que los proyectos se completan a tiempo, los equipos de ciberseguridad deben; convertirse en dinamizadores y desarrollar metodologías para que lo intrincado de la ciberseguridad sea bien acogido por las directivas del proyecto, se entienda la necesidad y la intensión de protección, pero, sobre todo, no se afecte el resultado final del proyecto o servicio.
Una puerta de calidad es garantía de seguridad
Este es otro mantra que el sector debería replantearse desde el punto de vista práctico.
Si bien insertar una puerta de calidad, como el escaneo de un código, garantiza que cada paso de la cadena de producción cumple unos criterios específicos, las puertas de calidad a menudo pueden ser más perjudiciales que beneficiosas, afirma Miller.
A menudo se tarda días en obtener feedback, lo que pone todo el proceso en espera.
Además, si recibes información de que hay un error crítico en tu código, la puerta de calidad te obliga a volver atrás y corregirlo inmediatamente, lo que hace que todo el proyecto retroceda en el tiempo.
En lugar de detener el flujo cada vez que surja un problema, Miller recomienda centrarse en la integración continua y desarrollo continuo. De ese modo, todo sigue avanzando.
Aunque este planteamiento puede parecer una moda entre la comunidad de seguridad, Miller nos recuerda que deben existir controles de mitigación que limiten los daños potenciales. Y pueden automatizarse para que los humanos, no tengamos que hacerlo.
Solo necesitas pasión para que te contraten
El último tópico que debería replantearse el sector está relacionado con la contratación de talento.
Cualquiera que busque trabajo en esta área habrá oído esta frase en algún momento. La realidad es que nadie contrata solo por pasión, por mucho que puedan decir que sí.
De hecho, muchas veces nos encontramos información contradictoria en las ofertas de trabajo. Junto con una lista de requisitos inalcanzables, se pide una buena actitud como si fuera el único requisito indispensable.
En lugar de desanimar a los futuros profesionales, sería más lógico, según Miller, centrarse en habilidades transferibles. Es posible que haya buenos candidatos trabajando en otras cosas que puedan encajar en el perfil que estás buscando.
Por último, Miller añade que los aspirantes a trabajar en ciberseguridad no se desanimen ante este tipo de ofertas. Es probable que cuenten con habilidades únicas que puedan ser una ventaja para las empresas en busca de talento.
