Mantener la gestión de riesgos digitales en el mundo conectado de hoy requiere actualizar los procesos y procedimientos de seguridad para identificar los niveles de riesgo que los enfoques más tradicionales no logran identificar. Esto significa comprender sus aplicaciones y la interconexión entre tecnologías a lo largo de su cadena de suministro/alianzas y/o socios. También es necesario comprender los procesos de datos.
Eso significa mapeo de flujo de datos: “conocer” sus datos; “quién” tiene acceso a “qué”; “cómo” acceden a él y “con qué frecuencia”; y las ubicaciones físicas que podrían estar bajo diferentes regulaciones y legislaciones locales. Esto debe ir acompañado de trabajo para crear obligaciones comerciales maduras entre usted y sus proveedores para lograr los niveles de mitigación de riesgos que necesita.
La fuente de amenazas y el riesgo inherente se pueden identificar a través de varios medios, incluido el mapeo de inteligencia de amenazas de la huella digital de la organización o la superficie de ataque y los actores de amenazas que apuntan a su organización o sector.
Los ejercicios de búsqueda de amenazas deben llevarse a cabo regularmente, por ejemplo, buscando oportunidades de adquisición de subdominios o atacantes que se dirijan a las organizaciones mediante la compra de dominios de typo-squatting.
Las pruebas de penetración pueden establecer riesgos específicos para los sistemas, pero recuerde que esto es en un punto específico en el tiempo, redes y aplicaciones, y estos riesgos deben asignarse a regulaciones clave y estándares de buenas prácticas, incluidos GDPR, NCSC Cloud Security Principles, NIST e ISO 27001 .
Sin embargo, también debemos considerar qué medidas proactivas continuas están disponibles para reforzar esta actividad.
Los avances en tecnología brindan la oportunidad de abordar el riesgo en ecosistemas de TI amplios y complejos. La combinación de una combinación de inteligencia de amenazas y medidas de protección de superficie de ataque permite a las organizaciones descubrir, evaluar y proporcionar inteligencia procesable. Esto les dirá lo que no saben, en lugar de centrarse en lo que ya saben.
Estas plataformas pueden proporcionar marcos analíticos escalables que permiten a las organizaciones encontrar de manera rápida y eficiente atributos inusuales en datos masivos no estructurados y en infraestructura interna y expuesta orientada a Internet.
Estas nuevas tecnologías brindan la capacidad de identificar rápidamente los activos que requieren más atención de seguridad que otros en todo el dominio de TI. Esto proporciona una forma de priorizar las amenazas que deben abordarse a corto, mediano y largo plazo, lo que permite un uso más eficiente y eficaz de los recursos urgentes.
Los avances en inteligencia artificial (IA) también están ayudando a incorporar la predicción y la capacidad de racionalizar mejor y tomar las medidas adecuadas en respuesta al riesgo. Esta tecnología ahora está disponible como una solución comercial para monitorear sistemas y datos clave para proteger las operaciones comerciales, los ingresos, la reputación y las ganancias del riesgo cibernético y digital las 24 horas del día, los 7 días de la semana.
Probar la capacidad de detección y respuesta de ciberdefensa
También es importante realizar ejercicios de incidentes cibernéticos para establecer qué tan resistentes son las organizaciones a los ataques cibernéticos y practicar su respuesta en un entorno seguro. Los ejercicios también ayudan a crear una cultura de aprendizaje dentro de una organización y brindan una oportunidad para que los equipos e individuos relevantes maximicen su eficacia durante un incidente.
La creación de ejercicios personalizados es una forma de adaptarlos para que reflejen los valores de la organización y los desafíos, limitaciones y amenazas únicos a los que se enfrenta.
Un ejemplo de esto es CBEST, que fue desarrollado por el Banco de Inglaterra como un enfoque para las pruebas de resiliencia operativa y el cumplimiento. Se diferencia de otros tipos de pruebas de seguridad porque se basa en la inteligencia de amenazas y tiene menos restricciones, ya que adopta una visión holística de toda la organización, en lugar de una prueba de penetración enfocada en un sistema específico. También se enfoca en los ataques más sofisticados y persistentes contra sistemas críticos y servicios esenciales.
La inclusión de inteligencia específica sobre amenazas cibernéticas garantiza que las pruebas repliquen, lo más fielmente posible, el panorama de amenazas en evolución y, por lo tanto, sigan siendo relevantes y actualizados. La retroalimentación de la prueba luego describe las acciones que se pueden tomar para mejorar las capacidades de defensa y aumentar la resiliencia operativa.
Este tipo de prueba contradictoria generalmente se conoce como prueba del Equipo Rojo, con la compañía de prueba de penetración simulando a los atacantes que luego se enfrentan a la capacidad de detección y respuesta de la organización: el Equipo Azul. Un enfoque más colaborativo entre atacantes y defensores se conoce comúnmente como ejercicio del Equipo Púrpura, que generalmente se lleva a cabo de forma iterativa para proporcionar una mejora continua de la capacidad de detección y respuesta. Los ataques, ya sean reales o simulados a través de pruebas, deben detectarse y debe ponerse en marcha una respuesta adecuada y oportuna.
Dadas las complejidades y la interconexión de la tecnología comercial moderna, es fundamental que los equipos de TI implementen la gama completa de defensas para comprender y monitorear sus vulnerabilidades y poner en marcha acciones para minimizar los riesgos que identifican.
Rob McElvanney es experto en seguridad cibernética en PA Consulting