¿Qué es la escasez de mano de obra cibernética? Fecha límite de la SEC


Bienvenido al Rincón CISO. Este es un resumen semanal de artículos diseñados específicamente para los lectores y líderes de seguridad de operaciones de seguridad de Dark Reading. Cada semana, le traemos historias extraídas de nuestras operaciones de noticias, The Edge, DR Technology, DR Global y nuestras secciones de comentarios. Estamos comprometidos a brindar diversas perspectivas para respaldar el trabajo de poner en práctica estrategias de ciberseguridad para líderes en organizaciones de todas las formas y tamaños.

En esta edición de CISO Corner, cubriremos:

Los CISO y sus empresas luchan por cumplir con las reglas de divulgación de la SEC

Podcast: Lectura oscura confidencial: CISO y SEC

Las 5 amenazas cibernéticas más peligrosas de 2024

DR Global: Actualización de ciberseguridad de Singapur advierte a los proveedores de la nube

No falta talento cibernético.

¿Es impotente el compromiso “Secure by Design” de CISA?

Los CISO y sus empresas luchan por cumplir con las reglas de divulgación de la SEC

Rob Lemos, escritor colaborador de Dark Reading

La mayoría de las empresas aún no pueden determinar si una infracción es importante dentro de los cuatro días exigidos por la SEC, lo que distorsiona la respuesta al incidente.

Las empresas que no informen sobre violaciones materiales a la SEC podrían enfrentar multas multimillonarias. Sin embargo, el 68% de los equipos de ciberseguridad no cree que su organización pueda cumplir con la regla de divulgación de cuatro días, según un estudio publicado el 16 de mayo por la empresa de seguridad en la nube VikingCloud.

Las grandes empresas que cotizan en bolsa ya cuentan con comités de divulgación para determinar si es probable que eventos que van desde condiciones climáticas severas hasta fluctuaciones económicas y turbulencias geopolíticas tengan un impacto material. Pero mientras las grandes empresas se han centrado en el tema durante más de un año, incluso antes de que se finalizaran las reglas, las empresas más pequeñas han tenido un camino más difícil, dijo Matt Gorham, del Instituto para la Innovación en Privacidad Cibernética de la consultora PricewaterhouseCoopers. Director de Las empresas deben centrarse en crear un proceso documentado y preservar la evidencia de concurrencia mientras ejecutan ese proceso para cada incidente.

“Existen enormes diferencias entre empresas y casos”, afirma. “Inicialmente, [the breach] Aunque puede que no sea significativo en ese momento, debes continuar evaluando el daño para ver si ha alcanzado un nivel crítico. “

Leer más: Los CISO y sus empresas luchan por cumplir con las reglas de divulgación de la SEC

Relacionado: Analizando una violación de datos: qué hacer si te sucede a ti, evento virtual gratuito Dark Reading programado para el 20 de junio. Alex Pinto de Verizon pronunciará el discurso de apertura, “De cerca: Violación de datos en el mundo real”, detallando los hallazgos de DBIR y más.

Podcast: Lectura oscura confidencial: CISO y SEC

Moderado por la editora senior de Dark Reading, Becky Bracken, y la editora en jefe Kelly Jackson Higgins

El episodio 1 de Dark Reading Confidential estará en el escenario con Frederick “Flee” Lee, CISO de Reddit, Beth Burgin Waller, una abogada cibernética en ejercicio que representa a muchos CISO, y Ben Lee, director jurídico de Reddit.

Este es el último podcast de los editores de Dark Reading. Aquí, nos enfocamos en brindarle historias reales desde el frente cibernético. El primer episodio detalla la relación cada vez más compleja entre la Comisión de Bolsa y Valores (SEC) y el papel del director de seguridad de la información (CISO) en las empresas públicas.

Después de que Joe Sullivan de Uber y Tim Brown, ejecutivo de SolarWinds, fueran considerados responsables de las infracciones, los CISO ahora deben interpretar adecuadamente lo que significa la SEC en las nuevas reglas sobre incidentes cibernéticos. Se enfrenta al doble desafío de su propia responsabilidad personal y su responsabilidad personal.

Más información: Dark Reading Confidential: CISO y SEC (con transcripción)

Relacionado: El ex CISO de Uber aboga por un ‘plan personal de respuesta a incidentes’ para los ejecutivos de seguridad

Las 5 amenazas cibernéticas más peligrosas de 2024

Erika Cikowski, escritora colaboradora de Dark Reading

Los expertos del SANS Institute ofrecen sus opiniones sobre los principales vectores de amenazas a los que se enfrentan las empresas y el público en general.

Estamos solo a cinco meses de 2024, pero ha sido un año muy ocupado para los profesionales de la ciberseguridad. Pero, ¿qué pasa con el resto de este año? Según el Instituto de Tecnología SANS, hay cinco amenazas principales sobre las que los expertos de SANS han advertido y que deberían preocupar a las empresas.

1. Implicaciones de seguridad de la deuda técnica: las fallas de seguridad causadas por la deuda técnica pueden no parecer una nueva amenaza inmediata, pero Johannes Ullrich, director de investigación del Instituto de Tecnología SANS, según él, la pila de software empresarial se encuentra en un punto de inflexión en problemas en cascada. .

2. Identificación sintética en la era de la IA: se están utilizando videos y audios falsos para hacerse pasar por personas, dijo Ulrich, y engañarán a muchos de los métodos de autenticación biométrica que se han vuelto populares durante la última década. “Lo que cambia las reglas del juego hoy no es la calidad de estas imitaciones”, dijo. “Lo que cambia las reglas del juego es el costo. La suplantación de identidad ahora es barata”.

3. Sextorsión: según Heather Mahalick Barnhart, miembro de la facultad de SANS y directora senior de participación comunitaria de Celebrite, los delincuentes privan a los usuarios en línea de imágenes y videos sexualmente explícitos, y si la víctima no cumple con sus demandas, los delincuentes se dice que hay Cada vez son más los casos en los que se amenaza con hacer públicos los documentos. En una era en la que la IA genera imágenes hiperrealistas, no es necesario que estas imágenes y videos sean reales para causar daño. Dijo que se trata de un problema “generalizado”.

4. Amenazas electorales GenAI: la manipulación de medios falsos y otras amenazas electorales generadas por IA siempre estarán presentes en todas las plataformas principales, advierte Terrence Williams, instructor de SANS e ingeniero de seguridad en AWS Masu. “Deberíamos estar agradecidos por las bendiciones de GenAI y las elecciones de 2024”, afirma. “Ustedes saben lo bien que estamos lidiando con esas amenazas, por lo que debemos comprender los desafíos que enfrentamos ahora”.

5. La IA ofensiva amplifica las amenazas: a medida que GenAI se vuelve más sofisticada, incluso los ciberatacantes menos sofisticados pueden atacar con intenciones maliciosas, según Stephen Sims, miembro de SANS e investigador de seguridad ofensiva desde hace mucho tiempo. Pronto tendrá herramientas más flexibles para lanzar rápidamente. sus campañas.

“La velocidad a la que se descubren y armamentizan las vulnerabilidades es ahora muy rápida y cada vez más rápida”, afirmó Sims.

Leer más: Las 5 amenazas cibernéticas más peligrosas de 2024

Relacionado: Por qué los delincuentes prefieren la IA para el fraude de identidad sintética

Tres consejos para convertirse en el campeón del comité de IA de su organización

Comentario de Mattan Götz, director ejecutivo y cofundador de Aim Security

Los CISO ahora se consideran miembros del C-suite de una organización y tienen tanto la responsabilidad como la oportunidad de impulsar el éxito empresarial y la seguridad.

A medida que las organizaciones buscan comprender cómo la IA puede beneficiar sus servicios específicos y comprender los riesgos asociados con la adopción de la IA, muchas empresas con visión de futuro se aseguran de que sus organizaciones estén completamente preparadas para esta revolución. Ya tenemos una parte interesada dedicada a la IA dentro de nuestra organización.

El Director de Seguridad de la Información (CISO) está en el centro de este comité y tiene la responsabilidad final de implementar las recomendaciones del comité. Por lo tanto, comprender las prioridades, tareas y desafíos potenciales del comité es fundamental para los CISO que desean facilitar los negocios en lugar de obstaculizarlos.

Para ser un activo clave para su comité de IA y garantizar su éxito, existen tres fundamentos que los CISO pueden utilizar como guía.

1. Comience con una evaluación integral: no se puede proteger lo que no se sabe.

2. Implementar un enfoque de implementación por fases: La implementación de un enfoque de implementación por fases permite al personal de seguridad ayudar con la implementación y evaluar el impacto de la implementación en la seguridad en tiempo real. Una implementación por fases permite a los CISO adoptar controles de seguridad paralelos y medir su éxito.

3. Colóquese barandillas y sea una persona que diga “¡SÍ!” Para protegerse contra las amenazas, los CISO deben configurar barreras de seguridad basadas en contenido para definir y alertar sobre avisos que sean riesgosos, maliciosos o violen los estándares de cumplimiento. Las nuevas soluciones de seguridad centradas en la IA también permiten a los clientes establecer y definir sus propios parámetros para recibir indicaciones seguras.

Leer más: 3 consejos para convertirse en un defensor del comité de IA de su organización

Relacionado: Expertos en inteligencia artificial de EE. UU. apuntados a la campaña SugarGh0st RAT

Global: Actualización de ciberseguridad de Singapur advierte a los proveedores de nube

Robert Lemos, colaborador de lectura oscura

El país modificó su ley de ciberseguridad para otorgar a las principales agencias de ciberseguridad más poderes para regular la infraestructura crítica y a terceros, y exigir informes de incidentes cibernéticos.

Teniendo en cuenta el impacto de la operación de sistemas de gestión de infraestructura crítica en la infraestructura de la nube y el uso de proveedores externos por parte de los operadores de infraestructura crítica, así como el panorama de amenazas cibernéticas cada vez más peligroso en Asia, los legisladores de Singapur actualizaron las regulaciones de ciberseguridad del país el 7 de abril.

Dado que tantos proveedores de infraestructura de información crítica subcontratan algunas de sus operaciones a terceros y proveedores de nube, se necesitan nuevas reglas para responsabilizar a estos proveedores de servicios, dijo Janil Puthucheary, Ministro de Estado del Ministerio de Comunicaciones e Información de Singapur, en un informe. discurso en el parlamento del país.

“La ley de 2018 se promulgó para regular las CII, que es un sistema físico, pero desde entonces han surgido nuevas tecnologías y modelos de negocio”, dijo. “Por lo tanto, la ley debe actualizarse para regular mejor las ICI y garantizar que permanezcan seguras y resilientes contra las amenazas cibernéticas, independientemente de la tecnología o el modelo de negocio con el que operen”.

Leer más: La actualización de ciberseguridad de Singapur advierte a los proveedores de la nube

Relacionado: Singapur establece altos estándares para las medidas de ciberseguridad

No falta talento cibernético.

Explicado por Rex Booth, CISO de SailPoint

Hay muchos candidatos dignos en el mercado. Los reclutadores simplemente buscan en los lugares equivocados.

Los reclutadores a menudo dudan en contratar candidatos que parecen no estar calificados porque creen que debe haber un candidato “perfecto” en alguna parte.Pero la verdad es que el candidato perfecto es [a bachelor’s degree in cybersecurity, Security+ (CISSP preferred) training, and $30,000 worth of SANS courses] Probablemente no esté interesado en un puesto SOC de tercer turno. Esto significa que los gerentes de contratación deben reevaluar dónde buscan nuevos empleados y qué calificaciones son más importantes.

Reducir el grupo de candidatos en función de un pequeño número de calificaciones arbitrarias obliga a las organizaciones y a los reclutadores a seleccionar candidatos que sean buenos para obtener calificaciones y realizar exámenes, los cuales están en el campo de la ciberseguridad. No necesariamente tiene nada que ver con mucho tiempo. -término de éxito. Dar prioridad a este pequeño grupo de candidatos significa que los candidatos con capacidad analítica, técnica y dedicación profesional pueden no tener el título adecuado o no haber realizado el curso de formación adecuado. También significa pasar por alto a un gran número de candidatos.

Al recurrir a estos candidatos, las organizaciones se darán cuenta de que la “escasez de mano de obra cibernética” que ha recibido tanta atención no es un problema tan difícil de resolver después de todo.

Leer más: No hay escasez de talento cibernético

Relacionado: La ciberseguridad se está volviendo más diversa… pero no el género

¿Es impotente el compromiso “Secure by Design” de CISA?

Nate Nelson, escritor colaborador de Dark Reading

El acuerdo CISA es voluntario y, francamente, básico. Los firmantes dicen que eso es algo bueno.

En la conferencia RSA 2024 celebrada la semana pasada, marcas como Microsoft, Amazon Web Services (AWS), IBM y Fortinet trabajaron para lograr un conjunto de siete objetivos acordados por la principal agencia cibernética del país.

El compromiso Secure by Design de CISA proporciona áreas de mejora de seguridad divididas en siete categorías clave: autenticación multifactor (MFA), contraseñas predeterminadas, reducciones entre clases de vulnerabilidades, parches de seguridad, políticas de divulgación de vulnerabilidades, CVE y evidencia de compromiso.

No hay nada revolucionario en este compromiso y no tiene fuerza vinculante (es voluntario y no vinculante legalmente). Pero para los involucrados eso no importa en absoluto.

“Puede que no tengan autoridad directa, pero creo que sí tienen autoridad indirecta al comenzar a definir lo que se espera”, dijo Chris Henderson, director sénior de Prevención de Amenazas de Huntress, uno de los firmantes.

Leer más: ¿Es impotente el compromiso Secure by Design de CISA?

Relacionado: Martes de parches: Microsoft Windows DWM de día cero apunta a una explotación a gran escala



Fuente: https://www.darkreading.com/cybersecurity-operations/ciso-corner-cyber-labor-shortage-trouble-meeting-sec-disclosure-deadlines