Cómo el gobierno australiano puede desarrollar la resiliencia nacional en materia de ciberseguridad y hacer frente a las amenazas
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional, pero ¿su estrategia va lo suficientemente lejos?
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Con 2020 viendo un enorme aumento en el trabajo remoto, además de las continuas filtraciones de datos a gran escala y un enfoque cada vez mayor en las consecuencias de comprometer la privacidad en línea, nunca ha habido un enfoque público más centrado en la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluidas las estrategias y normativas que las empresas deben seguir a la hora de gestionar nuestros recursos digitales más preciados.
Las directrices de protección estratégica para la ciberseguridad no son un concepto nuevo, y organizaciones como NIST han influido en las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que avanzamos a un ritmo vertiginoso en el avance digital, a muchos les resulta difícil mantenerse al día con la cantidad de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.
Un reciente incumplimiento de 54.000 licencias de conducir de Nueva Gales del Sur como resultado de un bucket de S3 mal configurado y de fácil acceso en un servidor de terceros, ha puesto en peligro a miles de personas, y el investigador de seguridad que lo denunció admitió que es posible que los datos ya se hayan vendido en la web oscura. Lo triste es que se trata de una solución fácil y no habría sido posible si la seguridad hubiera sido una prioridad para los configuradores de la caché.
El Gobierno australiano publicó recientemente el Estrategia Australiana de Ciberseguridad 2020, destacando las nuevas iniciativas y el aumento de financiación de 1.670 millones de dólares que se utilizarán durante la próxima década para lograr su «visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos». Evidentemente, se trata de una revisión y un plan actualizado que acogemos con gran satisfacción, sobre todo si se tiene en cuenta que uno de los principales objetivos es:
«Acciones de las empresas para proteger sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas«.
Si bien los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relacionadas con la infraestructura crítica de un país (áreas que están listas para un ataque organizado catastrófico), lo que faltaba en el pasado eran directrices para las empresas que recopilan y utilizan nuestros datos todos los días.
Ahora, cuando se trata de estrategias oficiales como esta, no siempre se trata de cerveza y bolos. Puede resultar un poco difícil de interpretar e impreciso en cuanto a los detalles, lo que deja en manos del equipo de seguridad de la organización la elaboración de un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nuevo lanzamiento.
Centrarse en la reacción, no en la prevención.
La Estrategia de Ciberseguridad de Australia actualizada es un avance más relevante con respecto a la última versión de 2016, con planes bastante completos para las empresas, especialmente para las pymes. La estrategia describe lo siguiente:
«El gobierno y las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad en materia de ciberseguridad. El Gobierno australiano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las pymes información y herramientas en materia de ciberseguridad como parte de «paquetes» de servicios seguros (como el bloqueo de amenazas, los antivirus y la formación en materia de ciberseguridad)».
Esto proporcionará a las pymes una base básica decente sobre la que proteger sus negocios de las ciberamenazas, pero es en gran medida un enfoque reactivo, y la atención se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.
Sorprendentemente, también hay poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Si bien muchos pueden formar parte de los planes para proteger la infraestructura crítica (como las telecomunicaciones y el transporte), servicios financieros, venta al por menor, y muchos otros mercados verticales tienen mucho que perder cuando se trata de un ciberataque exitoso. Quizás esto forme parte de la próxima legislación, pero aun así, es fundamental destacar la importancia de aplicar meticulosas mejores prácticas de ciberseguridad a nivel empresarial para lograr un cambio significativo y una disminución de los datos comprometidos y la ciberdelincuencia.
En general, cuando se considera la estrategia en su conjunto, se basa en un enfoque reactivo. La lucha contra los ciberataques, la desarticulación de los ciberdelincuentes activos y la garantía de su persecución, así como el intercambio de información de inteligencia con los aliados internacionales, son factores importantes, pero imagínese si la norma nacional de protección se centrara en la prevención. Además de las medidas de protección para la infraestructura crítica, si la seguridad fuera una prioridad en todas las empresas y cada persona que toque el código que crea nuestro mundo digital estuviera debidamente equipada para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y angustia para las víctimas es inconmensurable.
La resiliencia es posible, pero hay que planificarla.
Del esfuerzo del Gobierno australiano por tomarse en serio la ciberseguridad se desprende claramente que se la ha identificado como un área de riesgo clave a nivel nacional. Como cualquier otro ataque malintencionado que tenga la capacidad de perturbar nuestro modo de vida, la resiliencia es absolutamente crucial, no solo para resistir un intento de este tipo, sino también para disuadir de que se produzca. A fin de cuentas, incluso los actores de las amenazas pueden ser perezosos y, si se ponen demasiados obstáculos para lograr su objetivo, optarán por un objetivo más fácil para alcanzar su objetivo.
Por el momento, nos enfrentamos a una escasez mundial de habilidades de ciberseguridad, y esto es algo que mantiene despiertos a los CISO de todo el mundo por la noche. Miles de millones de líneas de código, violaciones de datos constantes y a gran escala y un mayor riesgo de penalización (solo en Marriott) recibió una multa de 123 millones de dólares en virtud del RGPD por su violación de datos en 2018... y ellos tuvo otra infracción este año) ha creado más que nunca un abismo en la demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Simplemente hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.
Entonces, ¿deberíamos renunciar a la idea de que alguna vez nos mantendremos firmes frente a las ciberamenazas? No hay ninguna posibilidad. La resiliencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia de Ciberseguridad de Australia, como ejemplo, y profundizar en la forma en que se pueden personalizar para respaldar un cambio efectivo que sea relevante para la empresa.
Para ello, es importante desglosar un par de consejos:
- Formación sobre sensibilización en materia de seguridad: se dirige específicamente a las pymes y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar correos electrónicos de suplantación de identidad, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y centrarse en funciones específicas, especialmente para quienes se dedican al código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y del fomento de la resiliencia
- Educación: En un cambio refrescante, hay un plan detallado para abordar la escasez de habilidades de ciberseguridad durante la próxima década, haciendo hincapié en la formación en ciberseguridad desde la escuela primaria y secundaria hasta la educación superior. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades empresariales en este momento, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes y debe formar parte de un programa de seguridad funcional.
Como expertos en seguridad, debemos hacer más para ayudar a las empresas de todo el mundo a entender la importancia de crear un programa de seguridad interna que vaya más allá de las simples medidas fundamentales de concienciación. Dedicar tiempo a mejorar las habilidades de los desarrolladores alivia la presión sobre los especialistas en AppSec, que tienen el exceso de trabajo, y garantizar que toda la organización esté tan concienciada con la seguridad como sea posible en el contexto de su función es vital para reducir el área de ataque del software a la superficie amenazada.
La mejora de las habilidades de los desarrolladores es un tiempo bien empleado, entonces, ¿por qué tantas empresas lo ignoran?
Una encuesta reciente de DDLS concluyó que hay muy poco sentido de prioridad en lo que respecta a la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados califica el conocimiento de la ciberseguridad como «extremadamente» o «muy importante» en sus negocios.
No es de extrañar, entonces, que Australia esté esforzándose por cerrar la creciente brecha de habilidades y tenga mucho trabajo por hacer para crear una infraestructura más resiliente, desde los servicios esenciales hasta el comercio minorista y todo lo demás.
Aquí hay una enorme oportunidad para gobiernos para crear una certificación básica o regulación de habilidades de seguridad, y la estrategia alude a esto como una forma de trabajar con recursos limitados. Sin embargo, una vez más, esta parece ser una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de alto impacto. Para mí, la esperanza reside en los equipos de desarrollo de cada organización y, si cuentan con las herramientas y los conocimientos necesarios para tener éxito, pueden eliminar de inmediato las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una violación de datos en su organización.
En 2019, El 24% de todas las filtraciones de datos se debieron a errores humanos - es decir, errores de configuración de seguridad, que suelen ser correcciones relativamente simples a nivel de código. Si la formación se convierte en una prioridad, junto con la creación de conciencia en materia de seguridad en toda la empresa, apuesto a que habría menos CISO que los CISO firmaran las notificaciones de infracciones a miles de clientes comprometidos.
%20(1).avif)
.avif)
