Fraude cibernético profesional, nuevas dimensiones de riesgo y calificaciones cibernéticas


Bienvenido al Rincón CISO. Este es un resumen semanal de artículos diseñados específicamente para los lectores y líderes de seguridad de operaciones de seguridad de Dark Reading. Cada semana, le traemos historias de nuestras secciones Operaciones de noticias, The Edge, Tecnología DR, DR Global y Comentarios. Estamos comprometidos a brindar diversas perspectivas para respaldar el trabajo de poner en práctica estrategias de ciberseguridad para líderes en organizaciones de todas las formas y tamaños.

En esta edición de CISO Corner, cubriremos:

Las empresas que adoptan la cibergobernanza crean casi 4 veces más valor

Incluso los ciberprofesionales se dejan engañar: la historia interna de los ataques de vishing reales

Mitigar los riesgos de terceros requiere un enfoque colaborativo y exhaustivo

Mundo: el gobierno australiano refuerza la ciberseguridad tras un ataque a gran escala

Guía de determinación de riesgos y materialidad del CISO

Los ataques de día cero aumentan los exploits contra las empresas

Incorporar medidas de seguridad en las agendas de las reuniones de la junta directiva

Las empresas que implementan la cibergobernanza crean casi 4 veces más valor

David Strom (escritor colaborador de Dark Reading)

Las empresas que cuentan con grupos de trabajo que incluyen expertos cibernéticos, en lugar de depender de toda la junta directiva, tienen más probabilidades de mejorar su seguridad y su desempeño financiero.

Las empresas que se esforzaron por seguir directrices para mejorar la gobernanza de la ciberseguridad aumentaron el valor para los accionistas casi cuatro veces más que las que no lo hicieron.

Este es el resultado de un nuevo estudio realizado conjuntamente por Bitsight y Diligent Institute. El estudio analizó la experiencia en ciberseguridad en 23 factores de riesgo diferentes, incluida la presencia de infecciones de botnet, servidores que alojan malware, certificados de cifrado obsoletos para comunicaciones web y de correo electrónico y puertos de red abiertos en servidores públicos.

El informe también encontró que los mejores resultados se logran al tener comités de junta separados centrados en el riesgo profesional y el cumplimiento de las auditorías. “Las juntas directivas que llevan a cabo la supervisión cibernética a través de comités especializados con expertos cibernéticos como miembros, en lugar de depender de toda la junta directiva, probablemente mejoren su postura general de seguridad y su desempeño financiero”, está de acuerdo.

Leer más: Las empresas que adoptan la cibergobernanza crean casi 4 veces más valor

Relacionado: Con la prohibición de TikTok, ahora es el momento de la gobernanza operativa

Incluso los ciberprofesionales se dejan engañar: la historia interna de los ataques de vishing reales

Elizabeth Montalbano, colaboradora de lectura oscura

Los ataques exitosos se centran en la manipulación psicológica de las emociones humanas. Por lo tanto, cualquiera puede convertirse en víctima, incluso los profesionales cibernéticos y los expertos en tecnología.

Todo comenzó alrededor de las 10:30 horas del martes con una llamada desde un número de celular desconocido. Trabajo desde casa en mi computadora y no suelo contestar llamadas de personas que no conozco. Pero por alguna razón, decides dejar lo que estás haciendo y responder a esa llamada.

Este fue el primero de una serie de errores que cometería durante las siguientes cuatro horas. Durante ese tiempo, fui víctima de una campaña de vishing o phishing de voz. Al final de esta terrible experiencia, había transferido aproximadamente 5.000 euros en Bitcoin desde mi cuenta bancaria al estafador. Mi banco pudo revertir la mayoría de las transferencias, pero perdí los 1.000 euros que envié a la billetera Bitcoin del atacante.

Los expertos dicen que no importa qué tan familiarizados estén los atacantes con las tácticas que usan o qué experiencia tengan en detectar estafas. La clave del éxito de los atacantes reside en algo más antiguo que la tecnología: manipular nuestra propia humanidad: nuestras emociones.

Leer más: No contestes el teléfono: Dentro de un verdadero ataque de vishing

Relacionado: Los piratas informáticos norcoreanos vuelven a atacar a los investigadores de seguridad

Mitigar los riesgos de terceros requiere un enfoque colaborativo y exhaustivo

Comentario de asesoramiento cibernético sobre prácticas de ciberseguridad de S-RM por Matt Mettenheimer, director asociado

Si bien esta cuestión puede parecer desalentadora, la mayoría de las organizaciones tienen más poder y flexibilidad de lo que creen para hacer frente al riesgo de terceros.

El riesgo de terceros plantea desafíos únicos para las organizaciones. A primera vista, los terceros pueden parecer dignos de confianza. Pero sin una transparencia total sobre el funcionamiento interno de los proveedores externos, ¿cómo pueden las organizaciones garantizar la seguridad de los datos confiados?

Las organizaciones a menudo descuidan este tema apremiante debido a relaciones de larga data con proveedores externos. Sin embargo, la aparición de proveedores de terceros e incluso de quintos debería impulsar a las organizaciones a garantizar la seguridad de los datos externos. Realizar la debida diligencia de seguridad adecuada sobre proveedores externos también incluye verificar si el tercero subcontrata los datos privados del cliente a otras partes posteriores. Con la proliferación de servicios SaaS, es probable que terceros también lo hagan.

Afortunadamente, existen cinco pasos sencillos y listos para usar que pueden brindarle a su organización un punto de partida para mitigar eficazmente el riesgo de terceros.

Leer más: Mitigar los riesgos de terceros requiere un enfoque colaborativo y exhaustivo

RELACIONADO: Cl0p afirma atacar MOVEit; así es como lo hace la pandilla;

El gobierno australiano refuerza la ciberseguridad tras un ataque a gran escala

John Leyden, escritor colaborador global de Dark Reading

El Gobierno está proponiendo regulaciones de ciberseguridad más modernas y completas para las empresas, los gobiernos y los proveedores de infraestructura crítica de Australia.

Las debilidades en las capacidades de respuesta a incidentes cibernéticos de Australia quedaron destacadas por el ciberataque al operador de telecomunicaciones Optus en septiembre de 2022, seguido del ataque de ransomware a la aseguradora de salud Medibank en octubre.

Como resultado, el gobierno australiano ha desarrollado planes para reformar sus leyes y regulaciones de ciberseguridad y ha declarado una estrategia para posicionar al país como líder mundial en ciberseguridad para 2030.

Los legisladores australianos han introducido la Ley de Seguridad de Infraestructuras Críticas (SOCI) de 2019 para abordar las fallas en las leyes de delitos cibernéticos existentes, así como para poner mayor énfasis en la prevención de amenazas, el intercambio de información y la respuesta a incidentes cibernéticos.

Leer más: El gobierno australiano refuerza la ciberseguridad tras un ataque masivo

Relacionado: Los puertos australianos se recuperan de los grandes daños causados ​​por el ciberataque y reanudan sus operaciones

Guía de determinación de riesgos y materialidad del CISO

Comentario de Peter Dyson, jefe de análisis de datos de Kovrr

Para muchos CISO, “materialidad” sigue siendo un término ambiguo. Aún así, debe poder discutir la materialidad y el riesgo con su junta directiva.

La SEC ahora exige que las empresas públicas evalúen si un incidente es “material” como criterio para informar un incidente cibernético. Sin embargo, para muchos CISO, la criticidad sigue siendo un término confuso que puede interpretarse en función del entorno de ciberseguridad único de una organización.

En el centro de la confusión respecto de la materialidad está determinar qué constituye una “pérdida significativa”. Algunos creen que la materialidad afecta el 0,01% de los ingresos del año anterior, o aproximadamente 1 punto básico de ingresos (equivalente a 1 hora de ingresos para una empresa Fortune 1000).

Al comparar varios umbrales con puntos de referencia de la industria, las organizaciones pueden obtener una imagen más clara de su vulnerabilidad a ataques cibernéticos graves.

Más información: Guía del CISO para determinar la materialidad y el riesgo

RELACIONADO: Prudential presenta un aviso voluntario de infracción ante la SEC

Los ataques de día cero aumentan los exploits contra las empresas

Becky Bracken, editora senior de Dark Reading

Google dice que los atacantes sofisticados se centran cada vez más en la tecnología empresarial y sus proveedores, mientras que las plataformas de usuario final están invirtiendo en ciberseguridad para frustrar con éxito los ataques de día cero.

En 2023 se explotaron un 50% más de vulnerabilidades de día cero que en 2022. Las empresas en particular se han visto muy afectadas.

Según una investigación de Mandiant y Google Threat Analysis Group (TAG), los atacantes sofisticados patrocinados por el estado están explotando una amplia gama de superficies de ataque empresariales. Una huella de software de múltiples proveedores, componentes de terceros y una amplia gama de bibliotecas es un coto de caza privilegiado para quienes tienen la capacidad de desarrollar ataques de día cero.

El grupo de ciberdelincuencia puso especial énfasis en software de seguridad como Barracuda Email Security Gateway, Cisco Adaptive Security Appliance, Ivanti Endpoint Manager, Mobile, Sentry y Trend Micro Apex One, añade el estudio.

Leer más: Los ataques de día cero aumentan los exploits contra las empresas

Relacionado: Los atacantes aprovechan el error de día cero de evasión de seguridad de Microsoft

Incorporar medidas de seguridad en las agendas de las reuniones de la junta directiva

Comentario de Matt Middleton Leal, director general de Qualys EMEA Norte

Los equipos de TI pueden resistir el escrutinio ayudando a la junta directiva a comprender los riesgos y cómo resolverlos, y explicando la visión a largo plazo para la gestión de riesgos.

Es posible que los directores ejecutivos del pasado no se hayan preocupado por cómo sus equipos de seguridad abordaban CVE específicos, pero muchas organizaciones ahora están parcheando CVE para detectar errores peligrosos, como la corrección de seguridad de Apache Log4j, que está en la agenda más amplia. Esto significa que a más líderes de seguridad se les pide que proporcionen información sobre qué tan bien están gestionando el riesgo desde una perspectiva empresarial.

Esto plantea preguntas difíciles, especialmente en relación con los presupuestos y cómo se utilizan.

La mayoría de los CISO quieren utilizar información sobre los principios básicos de la seguridad de TI (cantidad de problemas detenidos, cantidad de actualizaciones implementadas, cantidad de problemas críticos solucionados), pero también sobre otros riesgos y problemas comerciales. Sin comparación, es difícil hacerse notar y mostrar. que un CISO está marcando la diferencia.

Para superar estos problemas, es necesario utilizar datos comparativos y contextuales para contar su historia de riesgo. Proporcionar cifras básicas sobre la cantidad de parches implementados no toma en cuenta la enorme cantidad de esfuerzo que se dedicó a solucionar problemas críticos que ponen en riesgo las aplicaciones generadoras de ingresos. Tampoco puede indicarle cómo se está desempeñando su equipo en comparación con otros equipos. Fundamentalmente, es necesario demostrarle a la junta directiva lo que significa el bien y cómo continuar con un buen desempeño a lo largo del tiempo.

Más información: Incluya medidas de seguridad en la agenda de su reunión de directorio

Relacionado: Lo que le falta a su junta directiva: el CISO



Fuente: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation