El ataque SolarWinds destaca la necesidad de una decisión de ciberseguridad a nivel de la junta

El hack de SolarWinds revelado en diciembre de 2020 subraya la facilidad con la que las cadenas de suministro de software y sistemas pueden ser objetivos fáciles si no existe una buena política de ciberseguridad integrada en una organización.

En el comunicado oficial, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), dijo que los compromisos de las agencias gubernamentales de EE. UU., Las entidades de infraestructura crítica y las organizaciones del sector privado por parte de un actor de amenaza persistente avanzada (APT) comenzaron al menos en marzo de 2020. El actor demostró paciencia, seguridad operativa y habilidad comercial compleja en estas intrusiones. "CISA espera que eliminar a este actor de amenazas de entornos comprometidos será muy complejo y desafiante para las organizaciones". Los vectores de infección detallados y las mitigaciones de compromiso se enumeran en la declaración aquí.

La lectura de sus detalles confirma mucho de lo que se nos dice en las sesiones informativas en embedded.com y EE Times sobre los temas de seguridad y ciberseguridad de Internet de las cosas (IoT) por parte de expertos en seguridad de la industria de semiconductores y de empresas que ofrecen elementos, dispositivos, aprovisionamiento y seguridad seguros. gestión del ciclo de vida.

Realmente me sorprende que tales infracciones puedan ocurrir cuando los departamentos gubernamentales de todo el mundo están tan paranoicos con la seguridad, pero se vuelven completamente vulnerables a través de sistemas de terceros, software y proveedores de dispositivos que parecen saltarse los mecanismos y políticas de seguridad adecuados. Recuerdo, incluso trabajando como contratista para el gobierno británico hace unos años, la cantidad de entrenamiento en seguridad, la conciencia de la que necesitábamos estar siempre al tanto. Solo un pequeño ejemplo fue lo paranoico que me volví para nunca dejar mi computadora portátil en un automóvil cerrado con llave o en cualquier otro lugar cuando viajaba por negocios. Siempre tenía que estar en mi persona o cerca de mí donde pudiera verlo. Por supuesto, había muchas otras cosas que teníamos que observar con diligencia.

Pero la brecha de SolarWinds es más un problema de política fundamental sobre si la seguridad debe ser competencia de los diseñadores de sistemas de hardware y software o tomarse más en serio en un nivel superior de la organización.

Por lo tanto, es oportuno que el asesor de finanzas corporativas Woodside Capital Partners elabore un informe que describa "siete lecciones para los directores generales, directores, miembros de la junta y firmas de capital privado". Escrito por su director gerente, Nishant Jadhav, el informe dice que el ataque a la cadena de suministro de SolarWinds ha subrayado la necesidad de una comprensión más profunda de la ciberseguridad a nivel ejecutivo y de la junta. En medio de un mundo de amenazas persistentes avanzadas que potencialmente acechan en la mayoría de los entornos empresariales invisibles para las herramientas de vigilancia, es cada vez más importante proteger la reputación y el valor empresarial frente a lo desconocido.

La clave que los ejecutivos, asesores e inversores deben preguntarse, dice, es si la empresa puede responder a nivel de directorio si tiene seguridad cibernética. Aquí están sus siete lecciones.

Lección uno:adopte una mentalidad de seguridad en lugar de primero en cumplimiento, de arriba hacia abajo

Una mentalidad de seguridad primero implica que el equipo de liderazgo ejecutivo y la junta comprenden los riesgos que se presentan para esa empresa específica. También implica que la empresa comprende los riesgos que crea para sus clientes y socios. Una mentalidad de cumplimiento primero, por otro lado, es una carrera para hacer lo mínimo para recibir una calificación aprobatoria. Una mentalidad de cumplimiento primero es regresiva en el sentido de que mide su línea de base el día del ataque y le brinda seguridad durante un período de tiempo fijo en el futuro. Desafortunadamente, esa es una estrategia fallida para la protección de la ciberseguridad, ya que las amenazas evolucionan constantemente y se vuelven más sofisticadas con los adversarios estatales en juego. El equipo de liderazgo ejecutivo junto con la junta deben aprobar trimestralmente cuál es la postura de amenaza de una empresa.

Lección dos:los directores de seguridad de la información (CISO) deben ser parte del equipo de liderazgo ejecutivo y no solo informar al jefe de tecnología de la información

Los buenos CISO están capacitados para pensar en los vectores de amenazas continuas y las superficies de ataque en evolución para su empresa en su conjunto. Esto incluye la fuga involuntaria de datos de los rangos de atención al cliente, los riesgos para los clientes por el uso de sus productos y los riesgos de su empresa al implementar tecnologías para su propio uso. Como resultado, el CISO debe tocar todas las facetas del negocio y tener el rango de influencia como líder de línea para necesitar un cambio a nivel atómico. El CISO debe ser responsable de garantizar que sus recomendaciones se hayan filtrado a través de las filas y que la protección continua y la exposición al riesgo se puedan medir en cualquier momento. Esto suena oneroso y puede ser político, pero las responsabilidades como resultado de un ataque que ciega a la empresa y no puede contenerla podrían ser devastadoras, temporalmente en los mercados de capitales y permanentemente desde el punto de vista de la reputación.

Lección tres:los KPI para los CISO deben incluir protección y remediación continuas

Parece ser una práctica común despedir a un CISO tan pronto como se descubre una nueva brecha en una red, pero esta línea de pensamiento es ineficaz y arcaica. En cambio, es la conversación sobre las responsabilidades del CISO a raíz de una amenaza que debe cambiar. Capacite al CISO con un presupuesto de seguridad que esté en línea con la brecha de seguridad de la empresa. Además, mida su éxito no solo en el tiempo de actividad de la empresa en un trimestre determinado, sino también en la conciencia generada dentro de cada facción de la empresa a lo largo del tiempo. Agregue a esta combinación KPI sobre cómo responderá la empresa a una amenaza que se origina fuera del ámbito de su propia organización, como el caso de SolarWinds. Modele ese comportamiento y su impacto en sus clientes, y su reputación y, posteriormente, su valoración / precio de las acciones.

Lección cuatro:un proveedor / socio de soluciones de confianza no implica un socio seguro

El ataque a la cadena de suministro de SolarWinds ha demostrado que las amenazas pueden estar fuera del control de sus propias mejores prácticas de seguridad. En esencia, ningún socio es un socio seguro, sin importar el tamaño de la empresa y la reputación de sus prácticas de seguridad. La creación de una red "con espacios abiertos" en la que se incuban nuevos productos puede mitigar la infiltración de amenazas a través de soluciones de socios confiables.

Lección cinco:comprometer la seguridad es la palanca equivocada para aumentar la rentabilidad

Woodside Capital (WCP) prevé que una métrica de valoración clave para una empresa es su valor de evaluación de la postura de seguridad:un "grado cibernético". El grado cibernético se mide en las inversiones en tecnología y capacitación para las políticas de protección en curso de los activos propios de la empresa, así como los riesgos para los clientes y socios de la empresa. Un factor clave en este grado cibernético también serán los esfuerzos de remediación que la empresa ya ha puesto en marcha frente a amenazas anteriores y el tiempo necesario para responder (ponderado por la gravedad de la amenaza). Cuanto mayor sea el grado cibernético, mayor será la valoración de esa empresa. Las empresas de capital privado (PE) especializadas en empresas de ciberseguridad deben prestar mayor atención a los grados cibernéticos de sus empresas de cartera y no abandonarlos por la rentabilidad a corto plazo. La recomendación de WCP a las aproximadamente 5000 empresas de ciberseguridad privadas es crear una versión de su grado cibernético que resuma su compromiso continuo con la ciberseguridad y el compromiso a nivel de su equipo de liderazgo ejecutivo para lograr estos resultados. En ausencia de un estándar para toda la industria, es más fácil definir un conjunto básico de pautas que el equipo de liderazgo ejecutivo y la junta pueden mostrar, lo que los diferencia como una empresa que prioriza la seguridad.

Lección seis:el seguro cibernético necesita una mirada más de cerca a nivel de tablero

La mayoría de las pólizas de seguro cibernético brindan cobertura por pérdidas financieras resultantes de una violación de datos o acceso o divulgación no autorizados de información personal o protegida. Algunas compañías de seguros ofrecen endosos adicionales o disposiciones de pólizas específicas y cobertura para pérdidas causadas por varios otros medios, como ingeniería social (es decir, una infracción causada por phishing), cobertura específica para pérdidas de tarjetas de crédito y ataques de denegación de servicio, como ransomware y más. Pero un ataque a la cadena de suministro como este cambia el campo de juego. Esto no se puede descartar como un acto de Dios, ya que hay perpetradores reales que causan daños a una empresa fuera del control de herramientas manejables que una persona prudente podría usar. El CISO debe involucrar a la junta para exigir nuevas pólizas de seguro cibernético que incluyan la exposición a actores estatales maliciosos y ataques a la cadena de suministro. Estas políticas deben abarcar un intervalo de tiempo más amplio, ya que los daños generalizados posteriores de estas amenazas pueden extenderse a muchos meses y años después de un ataque.

Lección siete:protección continua de la reputación

A pesar de los mejores esfuerzos, una infracción puede afectar a una empresa en cualquier momento y puede tener un impacto tangible en el negocio. Las preguntas obvias aquí son:

• ¿SolarWinds recibe el golpe en este caso?
• ¿Microsoft sufre porque su código fuente fue expuesto porque usaron el software SolarWinds Orion?
• ¿SolarWinds puede recuperar su reputación perdida?
• ¿Microsoft será un buen comprador para las empresas de seguridad?

La respuesta radica en las acciones continuas que el equipo de liderazgo ejecutivo y la junta han tomado para mostrar que la ciberseguridad es un diferenciador fundamental para su empresa:la seguridad es lo primero, las calificaciones cibernéticas. Que han aprendido de sus propios errores y de los errores de otros para mejorar continuamente la postura de amenaza de la empresa y reducir las superficies de ataque para ella y sus clientes. Esto incluye una mejor cobertura de seguro cibernético y mejores políticas de reparación de la empresa a sus clientes. Es importante destacar que la empresa continúa invirtiendo y educando a su fuerza laboral sobre ciberseguridad. Básicamente, si la empresa ha creado seguridad cibernética para sí misma y puede transmitirla a sus clientes y socios, estará en una mejor posición para proteger su reputación a largo plazo.

El informe de WCP continúa enumerando una serie de empresas en etapa de crecimiento que ofrecen los componentes básicos de una estrategia holística de seguridad cibernética, desde la gestión de riesgos y la remediación de amenazas hasta el seguro cibernético. El informe está disponible aquí.