Reexaminando las “5 Leyes de la Ciberseguridad”
Hace casi un año, el periodista Martin Banks codificó “Cinco leyes de la ciberseguridad”. La ciberseguridad es un campo complicado, y cualquier forma de simplificar sus múltiples facetas en máximas breves y fáciles de recordar siempre es bienvenida. Las cinco leyes son un muy buen comienzo para desarrollar un programa de seguridad sólido. Las leyes son:
- Trata todo como si fuera vulnerable.
- Suponga que la gente no seguirá las reglas.
- Si no necesitas algo, deshazte de ello.
- Documente todo y audite regularmente.
- Plan para el fracaso.
Por supuesto, el cumplimiento de las reglas reales no es necesariamente igual a la seguridad, pero estas “leyes” generales de ciberseguridad son una referencia útil. Aún así, al igual que las regulaciones reales, cierta profundidad y antecedentes pueden proporcionar un valor significativo. En algunos casos, los orígenes de estas leyes no oficiales pueden sumarse a un animado debate incluso por parte del practicante de ciberseguridad más acérrimo.
Trata todo como si fuera vulnerable
La primera regla de la ciberseguridad es tratar todo como si fuera vulnerable porque, por supuesto, todo es vulnerable. Cada curso de gestión de riesgos, examen de certificación de seguridad y mentalidad de auditoría siempre enfatiza que no existe un sistema 100% seguro. Podría decirse que todo el campo de la ciberseguridad se basa en este principio.
Dado que muchas organizaciones no cumplen con este estándar en su totalidad, el aumento de la seguridad de confianza cero se ha convertido en el nuevo punto de referencia de la práctica de ciberseguridad madura. La confianza cero, por diseño, niega el acceso a todo sin verificar su autoridad. Esto es similar a lo que puede ver en una película de espías, donde el acceso a todas y cada una de las habitaciones requiere autorización. Zero Trust va aún más allá, al volver a verificar ese permiso en varias etapas de una sesión. La gestión de acceso a la identidad (IAM) tanto para usuarios como para dispositivos, así como pasos como la verificación de actualizaciones, son la base de un entorno de confianza cero. Ningún dispositivo, programa o usuario debe tener acceso a nada sin verificación y revalidación.
Suponga que las personas no seguirán las reglas
Prefiero reformular esta regla como «La gente puede eludir las reglas», ya que su redacción original es demasiado acusatoria. Esta mentalidad de romper las reglas en lo que respecta a las computadoras se remonta a los círculos originales de «hackers», que comenzó en el MIT Model Railroad Club. Dado que cumplir con algunos protocolos de seguridad a menudo es inconveniente, los empleados pueden encontrar formas de eludir estas medidas de seguridad, lo que genera vulnerabilidades.
Las estadísticas respaldan este principio, con 94% de las organizaciones de EE. UU. y el Reino Unido sufriendo violaciones de datos internos en 2020. De manera similar, el 84% de los líderes de TI citan el error humano como la causa más común de incidentes graves. A medida que los ataques de ingeniería social se han vuelto más comunes, esta regla se ha vuelto cada vez más relevante. Las medidas contra el phishing, los requisitos de contraseña y reglas similares solo son efectivas si las personas las siguen.
Las empresas deben ir más allá de implementar políticas de ciberseguridad más estrictas. Eso significa hacer cumplir estas reglas y al mismo tiempo facilitar su cumplimiento mediante el uso de herramientas como los administradores de contraseñas. Aún así, como establece esta ley en particular, los profesionales de la seguridad deben comprender que también se requieren controles técnicos para fortalecer la seguridad. Las restricciones de acceso y protecciones similares son necesarias para mitigar las infracciones internas.
Si no lo necesita, deshágase de él
La tercera ley de ciberseguridad, originalmente popularizada como una de las leyes de Brian Krebs. 3 reglas para la seguridad en línea, tiene como objetivo minimizar las superficies de ataque y maximizar la visibilidad. Si bien Krebs se refería solo al software instalado, la ideología que respalda esta regla se ha expandido. Por ejemplo, muchas empresas conservan datos, sistemas y dispositivos que ya no usan o necesitan, especialmente a medida que escalan, actualizan o expanden. Esto es como ese viejo y amado par de zapatillas desgastadas que se encuentran en un armario. Este exceso puede presentar vulnerabilidades innecesarias, como un exploit de hace décadas descubierto en algunos software de código abierto.
La mayoría de las empresas tienen aproximadamente solo un 75 % de visibilidad sobre sus operaciones de OT. La retención de activos redundantes o irrelevantes impide una visibilidad del 100 %. Si dejaran de lado los sistemas y datos antiguos, podrían obtener más información sobre sus operaciones, lo que podría acelerar la vulnerabilidad y la detección de infracciones.
Documente todo y audite regularmente
Esta regla es en realidad dos reglas en una. Parte de maximizar la visibilidad y descubrir vulnerabilidades es una auditoría interna regular y consistente. Para la mayoría de los profesionales de seguridad, una auditoría es un proceso tedioso y doloroso. Desafortunadamente, muchas empresas todavía se quedan cortas, lo que hace que las auditorías sean una parte necesaria de la ciberseguridad. Por ejemplo, algunos atacantes controlan las máquinas de las víctimas durante meses o años antes de que nadie se dé cuenta debido a procesos de registro insuficientes. El proceso de auditoría debe incluir no solo revisiones de configuración, sino también pruebas activas para verificar vulnerabilidades nuevas o no mitigadas.
La documentación, a menudo anunciada como una de las tareas más arduas de la ciberseguridad, es esencial, tanto para el personal actual como para la planificación de la sucesión. Con demasiada frecuencia, los ingenieros se ven presionados para poner en marcha un sistema y dejar la documentación como un evento «después de la acción». Desafortunadamente, este evento nunca ocurre, ya que el trabajo diario excede el tiempo para documentar con precisión cada componente de un sistema complejo. La gestión del cambio también se incluye en este elemento. Cuantas más empresas registren, más fácil será rastrear y remediar actividades sospechosas e implementar nuevos sistemas.
Plan para el fracaso
La última ley de ciberseguridad establece que las organizaciones deben prepararse para lo peor. Esto es quizás más cierto que nunca, dada la rapidez con la que evoluciona el delito cibernético. Los riesgos de un exploit de día cero son demasiado altos para que las empresas asuman que nunca serán víctimas de una infracción. Afortunadamente, la mentalidad del fin del mundo que anteriormente se anunciaba como el «dos tipos de organizaciones. . .” El tropo ha sido reemplazado por uno de una mentalidad de resiliencia.
Todo esto indica que las organizaciones deben promulgar fuertes medidas preventivas, así como planes de recuperación detallados. El costo promedio de un ataque de ransomware es siete veces mayor que el propio rescate, por lo que es mejor prevenir que curar. Las empresas deben equilibrar ambos para garantizar que sean lo más seguros posible.
Las copias de seguridad y los planes de respuesta ante emergencias deben ser una parte estándar de las prácticas de seguridad de todas las empresas. Sin embargo, es importante asegurarse de que estos sean, de hecho, planes de respaldo y que las empresas no escatimen en sus defensas perimetrales.
Las 5 leyes de la ciberseguridad no son una lista concluyente
Uno puede preguntarse, ¿por qué la necesidad de reafirmar y reconsiderar estas cinco reglas? Por un lado, las cinco leyes de la ciberseguridad siguen siendo tan relevantes como siempre. Además, es importante reconocer que la ciberseguridad nunca es una «casilla de verificación» o una actividad estática. Las organizaciones deben revisar y aplicar de forma continua y cuidadosa estas prácticas.
El ciberdelito está en constante evolución y los riesgos son demasiado graves para pasar por alto las posibles vulnerabilidades. Estas cinco pautas son precisamente eso: pautas. Si bien nos ayudan a recordar lo que debe incluir un plan de seguridad confiable, las organizaciones deben recordar e implementar los detalles más finos para mantenerse seguros.