Lo que necesitas saber hoy sobre ciberseguridad

POR: TB

Los temas más importantes para la semana que finalizó el 16 de septiembre | Cómo la excelencia en ciberseguridad impulsa el negocio. Los CISO en una campaña de consolidación de proveedores. Una rápida revisión de la ciberseguridad convergente OT/IT. Guías para ayudar a los desarrolladores a reforzar la seguridad. ¡Y mucho más!

1. La ciberseguridad de primera clase produce beneficios empresariales

Las empresas que destacan en materia de ciberseguridad, protección de datos de los consumidores y servicios basados en la IA gozan de una mayor fidelidad de los clientes y generan mayores ingresos y beneficios.

Esta es una de las principales conclusiones de una encuesta mundial sobre la confianza digital realizada por la consultora McKinsey & Co. entre más de 1,300 líderes empresariales y 3,000 consumidores.

(Source: McKinsey Global Survey on Digital Trust, Sept. 2022)

Entonces, ¿cómo puede una empresa ganarse la reputación de ser digitalmente fiable y ética, y de tener prácticas de protección de datos excelentes?

Estas son algunas recomendaciones para entrar en el exclusivo club de los líderes de la confianza digital:

• Establecer objetivos para la gestión del riesgo digital, como por ejemplo

  • Mejorar el rendimiento operativo mediante el uso de los modelos de IA más precisos

  • Obtener una ventaja competitiva a través de la rápida recuperación de las interrupciones de la industria

  • Cumplir con la normativa

• Mitigar activamente los riesgos digitales en áreas como:

  • Migración y configuración de la nube

  • Retención de datos, privacidad y calidad

  • Modelización y transparencia de la IA

  • Ciberseguridad

• Adoptar las mejores prácticas para la privacidad de los datos, la ética de la IA y la ciberseguridad, incluyendo:

  • Disponer de políticas de almacenamiento y acceso a los datos

  • Evaluar los riesgos para la privacidad cuando se utilizan datos externos

  • Esbozar normas claras para el riesgo de la IA

  • Establecer procesos coherentes para identificar los fallos de los modelos de IA

  • Utilizar herramientas de ciberseguridad automatizadas para impulsar la prevención, la respuesta y la eficiencia

  • Integrar las consideraciones de seguridad en el diseño de nuevas tecnologías

Para más información, puedes leer el artículo de McKinsey & Co. “Why digital trust truly matters” y ver la infografía adjunta "Consumers value digital trust.”

2. Guías para ayudar a los desarrolladores en materia de ciberseguridad

A medida que la seguridad se desplaza en el ciclo de vida del desarrollo de software, los desarrolladores se han hecho responsables de tareas, comprobaciones y pruebas de seguridad que tradicionalmente quedaban fuera de su ámbito de trabajo. Por ello, muchos desarrolladores necesitan formación y educación en materia de seguridad.

Acaban de aparecer un par de guías de la Open Source Security Foundation (OpenSSF) destinadas a ayudar a los desarrolladores a perfeccionar sus conocimientos sobre seguridad. He aquí una muestra de los consejos de cada guía:

• Guía concisa para desarrollar software más seguro

  • Para evitar que los atacantes se apropien de las cuentas de los desarrolladores -incluidas las que tienen privilegios de confirmación o aceptación- exija que utilicen tokens de autenticación multifactor (MFA).

  • Aproveche los cursos gratuitos sobre desarrollo de software seguro.

  • Utiliza una combinación de herramientas en tu pipeline de CI (integración continua) para la detección de vulnerabilidades.

  • Antes de seleccionar un software como dependencia directa, evalúelo, añádalo sólo si es necesario y asegúrese de recuperarlo del repositorio correcto.

  • Utilice gestores de paquetes para gestionar automáticamente las dependencias y permitir actualizaciones rápidas.

• Guía concisa para evaluar el software de código abierto

  • Considere si realmente necesita añadir una nueva dependencia de código abierto (OSS) o si puede utilizar una existente.

  • Asegúrese de que está evaluando la versión correcta del componente OSS y no una bifurcación creada por un atacante.

  • Compruebe si el software se mantiene activamente. Si no es así, es probable que contenga problemas de seguridad.

  • Investiga si el componente de software fue creado utilizando las mejores prácticas de codificación segura.

  • Averigüe si el proyecto de software proporciona instrucciones para informar y revelar las vulnerabilidades.

Para mayor información:

• “OpenSSF director warns over secure development” (The Stack)

• “Can 'shift left' in DevOps pipelines go too far?” (TechTarget)

• “How Security Leaders Can Become Dev and Ops Whisperers” (Tenable)

• “How to Boost Shift-Left Security in the SDLC” (DarkReading)

• “Shift left: Still a work in progress” (Tenable)

3. Una rápida encuesta sobre la seguridad convergente de TI/OT

La ciberseguridad de los sistemas convergentes de TI y OT utilizados por los proveedores de infraestructuras críticas está en el punto de mira, así que preguntamos a los asistentes a un reciente seminario web de Tenable un par de preguntas sobre este tema. Consulta las respuestas a nuestra encuesta, ciertamente poco científica.

Para más información, consulta los siguientes recursos de Tenable:

• “IT/OT Convergence: Now Is the Time to Act” (blog)

• “Securing Critical Infrastructure: What We've Learned from Recent Incidents” (blog)

• “How Can We Strengthen the Cybersecurity of Critical Infrastructure?” (blog)

• “The State of OT Security, a Year Since Colonial Pipeline” (podcast)

• “What is operational technology?” (FAQ)

• “The Many Faces of OT Security” (webinar)

4. Encuesta: Los CISOs están firmemente en el círculo interno de la empresa

Después de elevar su perfil ayudando a sus organizaciones a hacer frente a los desafíos de la pandemia, como asegurar el trabajo a distancia, los CISO han mantenido su prominencia e influencia entre los CxO y los miembros de la junta directiva.

Así lo afirma el ClubCISO, un grupo no comercial de unos 600 líderes en ciberseguridad, en su informe anual "Information Security Maturity Report", que acaba de publicarse.

"Los CISOs están siendo vistos ahora no sólo como un activo valioso, sino como un impulsor del negocio y solucionador de retos", escribió Stephen Khan, presidente del Consejo Asesor del ClubCISO.

Otras buenas noticias para los CISO y sus equipos de ciberseguridad:

• La mitad de los CISO encuestados informan de que sus organizaciones tienen ahora una "política de no culpabilidad", frente al 27% en 2021, lo que significa que los ciberincidentes se consideran un problema de la organización, no una culpa exclusiva de los líderes de seguridad.

• Dos tercios de los encuestados informaron que sus presupuestos aumentaron en 2022, y una quinta parte dijo que aumentó un 50% o más en comparación con el año pasado..

• El porcentaje de encuestados que informan de que "no se produjo ningún incidente cibernético material" aumentó al 54% desde el 28% en 2021.

• Enfrentados a un entorno de contratación difícil, los CISO están echando una red más amplia para encontrar buenos candidatos fuera de los campos tradicionales de TI y ciberseguridad, como muestra este gráfico:

(Source: “Information Security Maturity Report 2022” from ClubCISO, Sept. 2022)

Y aquí hay algunos resultados no tan alentadores:

• El 75% de los encuestados cree que los retos del sector siguen siendo enormes, y se ven agravados por la falta de personal y el rápido ritmo de los cambios empresariales.

• La madurez de la seguridad en la nube sigue siendo un hueso duro de roer.

• El estrés sigue siendo un problema para los CISO y sus equipos: solo el 11% de los encuestados cree que sus organizaciones están tomando medidas eficaces para combatir el estrés.

Para más información:

• “Here are what CISOs named as their 20 critical priorities for 2022” (SC Media)

• “CISOs say stress and burnout are their top personal risks” (CNBC)

• “CXO of the Week: Robert Huber, Chief Security Officer, Tenable” (CIOL)

• “The evolving CISO role: What success looks like” (Korn Ferry)

5. Fuerte aumento de las organizaciones que buscan la consolidación de los proveedores de seguridad

Los CISOs quieren disminuir el número de proveedores de seguridad con los que sus organizaciones hacen negocios.

El porcentaje de organizaciones que buscan consolidar sus proveedores de seguridad ha aumentado del 29% en 2020 al 75% este año, según un comunicado de prensa de Gartner® que cita los resultados de una encuesta reciente.

“Los responsables de la seguridad y la gestión de riesgos están cada vez más insatisfechos con la ineficacia operativa y la falta de integración de una pila de seguridad heterogénea", afirma John Watts, analista VP de Gartner. "Como resultado, están consolidando el número de proveedores de seguridad que utilizan.”

“La encuesta se realizó en línea durante marzo y abril de 2022 entre 418 encuestados de Norteamérica, Asia Pacífico y EMEA. Su objetivo era determinar los esfuerzos y las prioridades de consolidación de proveedores de seguridad de las organizaciones, así como los impulsores y los beneficios de los esfuerzos de consolidación.”

“The survey found that already 57% of organizations are working with fewer than 10 vendors for their security needs as they are looking to optimize to fewer vendors in key areas like secure access service edge (SASE) and extended detection and response (XDR) ... The survey found that organizations want to consolidate their security vendors to reduce complexity and improve risk posture, not to save on budget or to improve procurement.”

Gartner Press Release, Gartner Survey Shows 75% of Organizations Are Pursuing Security Vendor Consolidation in 2022

GARTNER is the registered trademark and service mark of Gartner Inc., and/or its affiliates in the U.S. and/or internationally and has been used herein with permission. All rights reserved.

Para obtener más información sobre la consolidación de proveedores de ciberseguridad, Tenable recomienda estos recursos:

• “Most enterprises looking to consolidate security vendors” (CSO Magazine)

• “Security leaders are increasingly consolidating vendors, says Gartner” (ITWorld Canada)

• “Analyst: CISOs shifting from ‘best of breed’ products to platforms” (Tenable)

• “Thanks to the economy, cybersecurity consolidation is coming” (Protocol)

6. Quick takes

He aquí un resumen de los últimos parches, incidentes y tendencias que debe tener en su pantalla de radar.

• La Casa Blanca ha publicado esta semana unas directrices diseñadas para garantizar que las agencias gubernamentales de Estados Unidos utilicen software construido de forma segura. Como dijo el Director Federal de Seguridad de la Información, Chris DeRusha, en un comunicado, las directrices "dirigen a las agencias para que utilicen únicamente software que cumpla con los estándares de desarrollo de software seguro, crea un formulario de auto-certificación para los productores de software y las agencias, y permitirá al gobierno federal identificar rápidamente las brechas de seguridad cuando se descubran nuevas vulnerabilidades". Más información de TechTarget, FCW, FedScoop, Roll Call y Bloomberg.

• Microsoft abordó 62 CVEs en su parche del martes de septiembre de 2022, incluyendo cinco fallos críticos.

• Trend Micro ha parcheado seis vulnerabilidades en sus productos Apex One on-prem y SaaS, una de las cuales ha sido explotada in the wild.

• Un grupo de agencias mundiales de ciberseguridad emitió un aviso conjunto sobre actores de amenazas patrocinados por el gobierno iraní que están explotando vulnerabilidades para permitir ataques de ransomware.

• Apple ha corregido varias vulnerabilidades en sus productos, incluido un fallo de día cero activamente explotado. Más información de TechCrunch, Center for Internet Security, The Register y Help Net Security.

• Adobe parcheó una serie de vulnerabilidades en productos como Illustrator, Photoshop e InDesign

• Se espera que el gasto en seguros de ciberseguridad alcance los 32.600 millones de dólares en 2028, lo que representa una tasa de crecimiento anual compuesta de casi el 19% entre 2019 y 2028, según Research and Markets.

• El FBI advierte de los peligros de los dispositivos médicos sin parches y obsoletos.