La perspectiva de un CISO sobre el panorama moderno de la ciberseguridad


Muchas empresas todavía creen que no existe una seguridad 100%, aunque todos los expertos en ciberseguridad afirmen lo contrario. A medida que las empresas presionan y exigen 100% de seguridad, las organizaciones terminan cediendo percepciones falsas para permitir que sus empleados funcionen. Este tipo de pensamiento no sólo es incorrecto, sino también extremadamente peligroso.

Los líderes empresariales deben ser conscientes de que una infracción es inminente y un enfoque sólido de la ciberseguridad incluye detectar incidentes y responder a ellos de forma rápida y eficaz. Sin embargo, la detección y respuesta a amenazas son como el doble golpe de un boxeador: si bien son esenciales para ganar combates, no son suficientes para fortalecer significativamente su postura de ciberseguridad.

Capacite a empleados regulares como su equipo cibernético

Desafortunadamente para muchas empresas, los equipos de ciberseguridad no cuentan con suficiente personal debido a la escasez de talento. La creciente escasez de talento en ciberseguridad ejerce presión sobre los equipos con poco personal y exacerba el agotamiento. Sin embargo, si bien la escasez de talento es grave, no es el principal problema. El principal problema es que los empleados de base carecen de la formación adecuada.

Mientras su equipo de ciberseguridad realiza atractivas simulaciones y ensayos de la vida real, otros empleados miran vídeos y realizan cuestionarios. Por tanto, las empresas deben simular las situaciones de seguridad asociadas a sus roles para todos los empleados. Así como los formadores médicos utilizan técnicas para reducir la ansiedad y generar confianza, toda la organización debe poder tomar buenas decisiones. Sin embargo, no basta con ser consciente de los peligros cibernéticos. Es necesario saber actuar y aplicar los conocimientos en situaciones reales. La seguridad de su empresa depende de la seguridad de los miembros de su equipo menos preocupados por la seguridad. Por lo tanto, todos deben comprender su papel en la estrategia general de seguridad de la organización.

Ciberseguridad por diseño: hacer las cosas más fluidas y evitar la complejidad

El panorama de amenazas cambia constantemente, por lo que las organizaciones deben diseñar la seguridad como un proceso fluido. En otras palabras, si la seguridad es demasiado compleja (que suele serlo), no funcionará. Por ejemplo, los empleados saben que no deben hacer clic en enlaces sospechosos de personas que no conocen. Pero no quiero tomarme el tiempo para comprobar si el enlace es seguro. De hecho, es posible que no sepas cómo comprobarlo más que por intuición. Por lo tanto, las empresas deben reunir a los empleados y diseñadores de ciberseguridad para crear un proceso de diseño centrado en las personas. Esto también se conoce como el enfoque de “ciberseguridad por diseño”.

Un enfoque de ciberseguridad desde el diseño considera la seguridad como un requisito empresarial central en lugar de una característica técnica agradable de tener. Además, los elementos del diseño centrado en las personas colocan a las personas (en este caso, los empleados) en el centro del proceso. Esto significa que el diseñador empatiza con las actitudes, habilidades y capacidades del sujeto. En el caso de enlaces sospechosos, los equipos de seguridad y los diseñadores lo encuentran fácil de usar y requiere mucho tiempo. Necesita crear una herramienta o solución de validación de enlaces que sus empleados consideren que vale la pena implementar.

Diseñe la seguridad desde el principio

Este año se produjo el auge de la IA generativa, una tecnología que beneficia tanto a las empresas como a los delincuentes. Por ejemplo, los piratas informáticos están aprovechando la inteligencia artificial para crear campañas de phishing surrealistas y trampas de ingeniería social personalizadas, que incluyen códigos maliciosos y malware diseñados para evadir las defensas tradicionales. De manera similar, una encuesta realizada a 1.000 profesionales de la ciberseguridad encontró que más de la mitad cree que las herramientas de inteligencia artificial tienen “un poco” o “mucha más probabilidad” de robar información confidencial utilizando la salida de chatbots de apariencia humana. Quedó claro que pensábamos que se había vuelto más fácil. .

Hoy en día, muchas organizaciones siguen el antiguo modelo de seguridad de rodear sus negocios con software. Este enfoque no sólo es incorrecto, sino casi una farsa en la era de la IA generativa. Al mismo tiempo, las empresas deben considerar las vulnerabilidades existentes en la nube y los datos, así como los desafíos de seguridad de los modelos lingüísticos a gran escala.

A medida que la IA generativa se vuelve más generalizada, las organizaciones diseñan cada vez más la seguridad desde el principio para protegerse contra posibles vulnerabilidades, en lugar de agregar seguridad como un toque final después de que un producto está casi listo para salir al mercado. Necesitamos reducir ciertos defectos. Esta idea de implementar la seguridad en la etapa de diseño del ciclo de vida de desarrollo de un producto es un principio fundamental de la ciberseguridad por diseño.

Las empresas deben diseñar sus sistemas teniendo en cuenta la seguridad y mejorar sus defensas. Desafortunadamente, los líderes empresariales a menudo se apresuran a adoptar la tecnología y dejan a los profesionales de la seguridad en un segundo plano. Si no incorpora la autodefensa durante el desarrollo o diseño, su empresa incurrirá en responsabilidad de seguridad. Aunque esto no aparece en la cuenta de resultados, supone un coste importante.

Todo se reduce a un liderazgo fuerte

Todos comparten la responsabilidad de garantizar la ciberseguridad en toda la empresa, pero los líderes soportan una carga mucho más pesada. Los mejores líderes comprenden esta realidad, comienzan con una mentalidad defensiva y trabajan para garantizar que toda su organización se comporte como ellos y esté comprometida con las mejores prácticas de ciberseguridad. Las empresas tienen a su disposición las mejores soluciones y software de ciberseguridad, pero sin la motivación desde arriba, las organizaciones no pueden esperar un cambio real de comportamiento a nivel de los empleados.



Fuente: https://www.securitymagazine.com/articles/100652-a-cisos-perspective-on-the-modern-cybersecurity-landscape