"¿Qué puedo hacer?" En los últimos días, todos nos hemos hecho alguna versión de esta pregunta y hemos buscado formas de hacernos a nosotros mismos, a nuestras familias, empresas y aliados un poco más seguros.
Nosotros también hemos oído esa pregunta de nuestros socios y clientes: como organización que lleva décadas ayudando a proteger algunas de las organizaciones más sensibles a la seguridad del mundo, comprendemos la urgencia de este momento y lo utilizamos para mantener conversaciones, realizar inversiones y tomar medidas.
Porque cada uno de nosotros puede contribuir hoy a una Internet más segura y a largo plazo. Todos deberíamos sentirnos capacitados para proteger nuestras infraestructuras e identidades digitales. Más que facultados, deberíamos sentirnos responsables de hacerlo.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) comparte recursos que los particulares, las organizaciones y los directivos de las empresas pueden adoptar para protegerse. También hemos elaborado las cinco recomendaciones siguientes para reforzar la ciberresiliencia ahora y en el futuro:
- Prepárese hoy para los efectos duraderos de mañana
- Centrarse en lo fundamental: implantar la autenticación multifactor
- Construir hacia la confianza cero con privilegios mínimos, autenticación contextual y seguridad basada en excepciones.
- Dar prioridad al déficit de competencias en ciberseguridad
- Desconfíe de las estafas de "Ayuda a Ucrania
A continuación se detallan los pasos a seguir en cada uno de estos puntos.
Cada uno de estos cinco pasos representa los fundamentos básicos de la ciberseguridad que preceden a la crisis actual y perdurarán más allá de ella.
Es importante que los dirigentes lo recuerden: aunque en este momento no existen "amenazas cibernéticas específicas o creíbles para EE.UU.", per CISA, y ninguna "amenaza específica actual para las organizaciones del Reino Unido", según el Centro Nacional de Ciberseguridad, La crisis geopolítica de hoy podría dar lugar a los retos de ciberseguridad de mañana.
"Existe el riesgo de que cualquier herramienta cibernética que Rusia utilice en Ucrania no se quede en Ucrania", dijo el presidente de Inteligencia de la Cámara de Representantes de EE.UU., Adam Schiff, señalando la nueva Malware "limpiador" FoxBlade que borra datos informáticos.
En términos generales, cuando un malware dirigido a "un objetivo determinado se libera en la naturaleza" puede "cobrar vida propia". Así que podríamos ser víctimas de malware ruso que ha ido más allá de su objetivo previsto", dijo Shiff.
El senador Mark Warren, que dirige el Comité de Inteligencia del Senado, señaló que las sanciones podrían provocar "ciberataques directos contra países de la OTAN" o "ataques de ransomware a nivel masivo".
Uno de los cambios de mayor valor tanto para los individuos y que pueden hacer las organizaciones es aplicar autenticación multifactor (MFA) en todas las cuentas.
CISA explica que añadir una segunda capa de autenticación -incluyendo "un mensaje de texto o correo electrónico de confirmación, un código de una app de autenticación, una huella dactilar o Face ID, o mejor aún, una clave FIDO"- hace 99% menos probable que una persona sea hackeada.
Las organizaciones también necesitan MFA: CISA aconseja que las empresas confirmen que "todos los accesos remotos a la red de la organización y los accesos privilegiados o administrativos requieren autenticación multifactor."
Este paso se está volviendo más crítico con cada dispositivo IoT e IIOT que entra en línea, ya que estos dispositivos inteligentes representan objetivos probables de ransomware. El año pasado, el sindicato ruso de ransomware DarkSide violó la red de Colonial Pipeline utilizando una cuenta VPN que ya no estaba en uso y no estaba protegida por MFA.
Enero memorándum de seguridad nacional construido sobre el verano pasado Decreto 14208 y ordenó a las agencias federales que comenzaran a desarrollar una arquitectura de confianza cero.
Confianza cero" es la palabra de moda más espumosa que existe en ciberseguridad. Lo importante es la máxima clave: nunca confíes, siempre verifica. Esto significa que los equipos de seguridad deben encontrar y eliminar cualquier confianza o privilegio implícito en todos los usuarios, cuentas, aplicaciones y dispositivos. Nada ni nadie debe tener un pase libre: su sistema de seguridad debe autenticar cada solicitud de acceso que se le presente.
Pero no deje que lo perfecto sea enemigo de lo bueno: la confianza cero es una aspiración a largo plazo, no un estado final inmediato. Cualquier paso que las organizaciones puedan dar para encontrar y minimizar la confianza es valioso.
Instituir el privilegio mínimo -proporcionar el conjunto mínimo de derechos que un usuario necesita para hacer su trabajo- es una forma excelente de que las organizaciones reduzcan su superficie de ataque y den un paso importante hacia la confianza cero.
Después de haber dado ese primer paso, continúe su viaje de confianza cero: contexto o autenticación basada en el riesgo puede ayudar a su sistema de seguridad a tomar decisiones de seguridad más inteligentes, rápidas y mejor informadas. Si un usuario determinado inicia sesión todos los días a las 9 de la mañana, hora del Pacífico, desde el mismo dispositivo Apple y solicita el mismo conjunto de aplicaciones, entonces mi sistema de seguridad debería ser capaz de tratar las solicitudes de acceso dentro de esos parámetros con un alto grado de confianza.
Otra medida de gran valor que pueden adoptar las organizaciones es establecer políticas sólidas de gobierno de identidades y desarrollar una seguridad basada en excepciones. Si el usuario X tiene 150 derechos, y si 120 de esos derechos se comparten con todos los demás usuarios de una organización, mi equipo de seguridad debería centrarse en las 30 credenciales que son exclusivas de ese usuario concreto.
Los problemas actuales de ciberseguridad llevan años gestándose. De hecho, no son problemas estrictamente tecnológicos, sino también humanos. En los últimos años hemos asistido a una escasez de competencias en ciberseguridad. cinco años, y el pasado mes de mayo hubo más de 460,000 puestos vacantes de ciberseguridad sólo en Estados Unidos.
Como sector, no nos hemos hecho ningún favor: hemos sido demasiado exclusivos a la hora de contratar y formar cuando deberíamos haber sido inclusivos. Hemos enterrado lo que hacemos en capas de jerga y acrónimos que disuaden a los candidatos y ocultan la importancia de lo que hacemos.
Tenemos que hacer que la ciberseguridad sea accesible e importante para todos. Eso significa dar a los niños conocimientos básicos de ciberseguridad en el jardín de infancia, y luego hacer de la ciberseguridad una opción profesional viable (e importante) a medida que avanzan en la escuela.
Los ciberdelincuentes se aprovechan de cualquier crisis. Lo vimos cuando empezó la pandemia y lo estamos viendo ahora, con estafadores que utilizan la invasión como pretexto para pedir "donaciones" en criptomoneda para ayudar a Ucrania.
Este tipo de maniobras de ingeniería social siempre son el resultado de grandes interrupciones. Espero que veamos tácticas similares, phishing y spear-phishing como resultado de la invasión. Los responsables de ciberseguridad deben decir a sus equipos que estén alerta y recordar a sus usuarios que no hagan clic en enlaces que parezcan demasiado buenos para ser verdad.
NPR y Charity Navigator han enumerado varias organizaciones benéficas legítimas que ayudan a Ucrania.
Participe en nuestro seminario web gratuito el miércoles 16 de marzo a las 14.00 horas, hora de Europa del Este. para saber más.
