Bienvenido al Rincón CISO. Este es un resumen semanal de artículos diseñados específicamente para los lectores y líderes de seguridad de operaciones de seguridad de Dark Reading. Cada semana, le traemos historias de nuestras secciones Operaciones de noticias, The Edge, Tecnología DR, DR Global y Comentarios. Estamos comprometidos a brindar diversas perspectivas para respaldar el trabajo de poner en práctica estrategias de ciberseguridad para líderes en organizaciones de todas las formas y tamaños.
En esta edición de CISO Corner, cubriremos:
Inside Baseball: El juego de seguridad en la nube de los Red Sox
La tecnología y la regulación no pueden salvar a las organizaciones de los deepfakes.
La búsqueda de empleo en ciberseguridad puede depender de la obtención de calificaciones
Global: Kenia y Estados Unidos apuntan a fortalecer la seguridad digital de África como aliados
La violación de Ticketmaster destaca los riesgos de seguridad de los datos de SaaS
Comprender los nuevos puntos ciegos de seguridad: ingeniería en la sombra
Inside Baseball: El juego de seguridad en la nube de los Red Sox
Tara Shields, lectura oscura, editora de noticias
Explicaré la estrategia del equipo de béisbol para construir operaciones de seguridad de próxima generación a través de Zero Trust y sus esfuerzos para proteger los datos del equipo, la información de los fanáticos y el icónico Fenway Park (que, por cierto, ahora es un estadio inteligente).
Tras el hackeo de los Astros de Houston en 2013-2014 por parte de un ex ejecutivo de los Cardenales de San Luis, las Grandes Ligas de Béisbol comenzaron a desarrollar capacidades básicas de ciberseguridad disponibles para los 30 equipos. Los Medias Rojas de Boston fueron los primeros en adoptarlo. Los Medias Rojas fueron el primer equipo en contratar a un oficial de ciberseguridad a tiempo completo y uno de los primeros tres equipos en inscribirse en el programa cibernético formal de la MLB.
“Nuestro grupo propietario en particular ha apoyado mucho todo lo que queremos hacer”, dijo el vicepresidente de operaciones tecnológicas y seguridad de la información de los Medias Rojas, Randy George. “De hecho, nunca he aceptado un no por respuesta cuando se trata de inversiones en seguridad”.
Y esas inversiones son de amplio alcance, y más recientemente se centraron en migrar a la nube y actualizar Fenway para convertirlo en un estadio inteligente impulsado por IoT. El siguiente paso es la IA. “Con 30.000 personas corriendo por Fenway Park, estamos utilizando IA para identificar amenazas al lugar, rastrear a los niños mientras se mueven por el estadio y ayudar a garantizar y mejorar la experiencia de los fanáticos. Hay muchas oportunidades, pero necesitamos una política. marco para estas herramientas de IA”.
Leer más: Inside Baseball: juego de seguridad en la nube de los Red Sox
Relacionado: Juegos Olímpicos de París: la brecha en la superficie de ataque pone en riesgo la ciberseguridad
La tecnología y la regulación no pueden salvar a las organizaciones de los deepfakes.
Robert Lemos, colaborador de lectura oscura
Con pérdidas financieras, daños a la reputación y caídas de los precios de las acciones, los ataques basados en IA son difíciles de contrarrestar, y mucho menos de prevenir.
Según un informe de Deep Instinct, los deepfakes ahora ocupan el primer lugar en la lista de preocupaciones sobre ciberamenazas, y un tercio de las empresas los consideran una amenaza grave o significativa. Pero la situación podría empeorar aún más.
Según Moody’s Ratings, a corto plazo, el impacto de las campañas deepfake destinadas a dañar la reputación de una empresa puede ser significativo y afectar potencialmente la solvencia crediticia general de la empresa.
A largo plazo, los deepfakes podrían mejorar las estrategias de fraude actuales, utilizando IA generativa para montar ataques a las prácticas de conocimiento de su cliente (KYC) de las instituciones financieras o manipular los mercados de valores con ataques a la reputación de empresas específicas que cotizan en bolsa. Los expertos predicen que las empresas lo harán. comienzan a chantajear a ejecutivos y miembros de la junta directiva con contenido falso (pero aún vergonzoso).
En otras palabras, “los deepfakes tienen el potencial de causar un daño significativo y de gran alcance a las empresas”, dijeron los analistas de Moody’s.
Leer más: La tecnología y la regulación no pueden salvar a las organizaciones de los deepfakes
Relacionado: Proliferan las aplicaciones que generan deepfake, lo que permite atracos corporativos multimillonarios
La búsqueda de empleo en ciberseguridad puede depender de la obtención de calificaciones
editor de bordes
¿Por qué tanta gente sigue buscando trabajo cuando la fuerza laboral actual en ciberseguridad solo cubre el 85% de las necesidades de Estados Unidos? Los datos de CyberSeek, una asociación público-privada del NIST, proporcionan algunas ideas.
En Estados Unidos, los profesionales actuales de ciberseguridad solo satisfacen el 85% de la demanda de los empleadores, con aproximadamente 500.000 (469.930) puestos vacantes. Esto es según CyberSeek, un proyecto conjunto de la agencia de certificación de tecnología CompTIA, el analista del mercado laboral Lightcast y NICE, un programa del gobierno federal de Estados Unidos centrado en la ciberseguridad.
En otras palabras, la escasez de talento cibernético es real. Por supuesto, los factores geográficos también son importantes. Si está buscando trabajo en California, es posible que desee visitar Fresno, donde se cubre el 120% de la demanda laboral, en lugar de San Diego, donde solo se satisface el 87% de la demanda laboral.
El mapa interactivo de CyberSeek proporciona pistas interesantes sobre por qué los profesionales experimentados se sienten ignorados por los reclutadores.
Accede al mapa: Tu búsqueda de empleo en ciberseguridad puede depender de obtener una certificación
Relacionado: Resolver la brecha de habilidades en ciberseguridad con inclusión racial
Completar el manual de seguridad proactiva
Campo NetSPI explicado por Nabil Hannan, CISO
Es más importante que nunca que las organizaciones se preparen para amenazas conocidas y desconocidas y mantengan una postura de ciberseguridad.
Cualquier buen entrenador deportivo le dirá que un libro de jugadas es una herramienta fundamental para garantizar el éxito continuo de un equipo. Esto también se aplica a la ciberseguridad. Sin un manual de seguridad eficaz, las organizaciones no están preparadas para posibles consecuencias, impactos y soluciones, lo que las deja expuestas a vulnerabilidades.
Un primer paso importante en la creación de un manual es la planificación. Así como los entrenadores necesitan crear libros de jugadas personalizados para cada nuevo oponente, los líderes de seguridad deben asegurarse de que todas las partes interesadas, desde empleados hasta clientes y contratistas, sepan qué esperar en caso de una infracción. Deben planificar diversas crisis y situaciones para que sabes lo que está pasando.
En el mundo del deporte, el resultado del día del partido determina el resultado. En el mundo de la ciberseguridad, las “victorias” de equipo son un poco vagas. Independientemente de cómo sea el éxito, los equipos deben evaluar sus estrategias, identificar debilidades y practicar la identificación de obstáculos para el éxito. Los ejercicios de mesa siguen siendo una estrategia eficaz para ello.
El panorama de amenazas continúa evolucionando y volviéndose más complejo, en gran parte debido a la proliferación de la adopción de la IA. No todo el mundo es o debería ser un experto en IA, pero los líderes de seguridad deben comprender dónde se encuentran sus equipos en su viaje hacia la IA. Para abordar la brecha de habilidades y detectar de manera confiable las amenazas basadas en IA, los líderes deben preguntarse: “Dadas las capacidades técnicas de mis equipos internos, ¿cómo puedo ofrecer el mejor valor?”.
Más información: Complete su manual de seguridad proactiva
Relacionado: Ivanti recibió calificaciones bajas por su respuesta a incidentes cibernéticos
Global: Kenia y Estados Unidos apuntan a fortalecer la seguridad digital de África como aliados
Robert Lemos, colaborador de lectura oscura
En medio de un aumento de los ataques, Kenia busca expandir su sector tecnológico y mejorar la ciberseguridad para proteger su floreciente economía digital.
El presidente de Kenia, William S. Ruto, visitó los Estados Unidos y, en respuesta a la designación de Kenia por parte de los Estados Unidos como un importante aliado no perteneciente a la OTAN, acordó cumplir con el acuerdo existente entre países europeos, norteamericanos y asiáticos en el ciberespacio. “Marco sobre Conducta Responsable de los Estados” y se comprometió a seguir ciertas normas en el ciberespacio.
Los líderes de Estados Unidos y Kenia también acordaron compartir inteligencia sobre amenazas entre socios en la región de África Oriental y destacaron la colaboración de la industria privada, incluida una colaboración entre el gobierno de Kenia y Google para construir una plataforma de operaciones cibernéticas y un proyecto piloto de gobierno electrónico. Estados Unidos también se comprometió a proporcionar servicios de asesoramiento normativo y normativo.
Leer más: Como aliados, Kenia y Estados Unidos apuntan a fortalecer la seguridad digital de África
Relacionado: África tiene baja resistencia cibernética al phishing
La violación de Ticketmaster destaca los riesgos de seguridad de los datos de SaaS
Jai Vijayan (colaborador de lectura oscura)
La MFA y otros mecanismos son esenciales para evitar el acceso no autorizado a los datos en entornos de aplicaciones en la nube, pero las empresas siguen sin alcanzarlos.
La filtración masiva de datos en Ticketmaster y otra en el Banco Santander el mes pasado fueron resultado de fallas en la seguridad de bases de datos en la nube de terceros, lo que los analistas identificaron como un copo de nieve.
El incidente, que afectó a más de 500 millones de personas, llevó a las organizaciones que almacenan datos confidenciales en la nube a implementar autenticación multifactor (MFA), restricciones de IP y otros mecanismos para proteger el acceso a sus datos. Es otro recordatorio de lo que se necesita.
Si bien esto puede parecer una obviedad, incluso las empresas maduras en TI continúan ignorando la seguridad de la nube en la prisa por transformarse digitalmente, lo que pone en duda la eficacia de los modelos de responsabilidad compartida para la seguridad de la nube. Está claro que esto está ocurriendo.
Leer más: La violación de Ticketmaster destaca los riesgos de seguridad de los datos de SaaS
Relacionado: Hacerse cargo del creciente modelo de responsabilidad compartida en la nube
Comprender los nuevos puntos ciegos de seguridad: ingeniería en la sombra
Comentario de Yair Finzi, cofundador y director ejecutivo de Nokod Security
Muchas organizaciones que se apresuran a transformarse digitalmente se exponen, sin saberlo, a riesgos de seguridad asociados con las aplicaciones de desarrollo ciudadano.
La tecnología de código bajo/sin código (LCNC), que facilita la creación de aplicaciones a personas sin formación formal en codificación o desarrollo de software, está creando un nuevo problema para las empresas: la ingeniería en la sombra.
La plataforma LCNC proporciona una interfaz intuitiva de arrastrar y soltar y de IA generativa (GenAI), lo que permite a los empleados crear e implementar aplicaciones de forma independiente fuera del ámbito del equipo de seguridad. Esto, sin saberlo, expone a las organizaciones a riesgos de seguridad asociados con las aplicaciones de desarrollo ciudadano.
Estas aplicaciones también pasan por alto las pruebas de código normales diseñadas para detectar vulnerabilidades y configuraciones incorrectas del software que podrían provocar una infracción. Por ejemplo, una automatización de código bajo creada por un equipo de ventas para procesar pagos con tarjeta de crédito puede exponer datos confidenciales y violar los requisitos de PCI DSS sin dejar de ser invisible para los equipos de operaciones de seguridad.
Afortunadamente, las empresas pueden abordar los riesgos asociados con la ingeniería en la sombra aplicando principios de seguridad de aplicaciones tradicionales a las aplicaciones LCNC.
Obtenga más información sobre cómo abordar los riesgos de la ingeniería oculta a continuación.Comprender los nuevos puntos ciegos de seguridad: ingeniería en la sombra
Relacionado: Los invitados no autorizados de Azure AD pueden robar datos a través de Power Apps
Fuente: https://www.darkreading.com/cybersecurity-operations/ciso-corner-red-sox-cloudsec-deepfake-biz-risk-ticketmaster
