5 mitos sobre la ciberseguridad 2022-2023
Las pequeñas y medianas empresas tienen dificultades en lo que respecta a la ciberseguridad. La mayoría de los expertos en seguridad prefieren elegir un entorno de trabajo diferente que ir a SMB.
Los expertos en seguridad tienen una gran demanda. Sin embargo, en lugar de las pequeñas y medianas empresas, suelen preferir trabajar para empresas de seguridad especializadas y realizar pruebas de penetración. Otra opción preferida son las grandes empresas, donde pueden delimitar sus tareas y / o tener una trayectoria profesional más prometedora, hasta llegar al CISO.
Otro problema grave para las pequeñas y medianas empresas es el presupuesto. Las grandes empresas o las empresas especializadas generalmente pueden ofrecer a los expertos en seguridad salarios mucho más altos y beneficios adicionales. Y no es sorprendente que los expertos en seguridad sean exigentes: están en una posición ganadora, hay una pelea por ellos.
Después de todo, muchas pequeñas y medianas empresas contratan administradores de sistemas o equipos de TI para que se hagan cargo de la ciberseguridad. Incluso si logran tener un especialista en seguridad en su equipo, este profesional se convertirá en un experto en todos los oficios, a menudo quemado con el robot y renunciará temprano, en busca de otra carrera profesional.
Otro tema importante relacionado con el estado de la ciberseguridad para las pequeñas y medianas empresas es la falta de conciencia sobre la ciberseguridad y la creencia en los mitos, especialmente en el caso de los altos directivos y ejecutivos. Esto a menudo da como resultado que la seguridad se relegue a un segundo plano y se considere un problema menor. Y en tales condiciones, los presupuestos también son mínimos, porque en la mayoría de los casos están enfocados al desarrollo y al lucro directo. Incluso si los propietarios de pequeñas y medianas empresas y los altos ejecutivos comprenden que existe un riesgo de seguridad grave, a menudo están dispuestos a aceptar ese riesgo debido a los desafíos de mitigarlo, como la contratación como se describe anteriormente.
Intentemos desacreditar algunos de los principales mitos que son muy malos para el estado de la ciberseguridad en una organización.
1. «No necesitamos saber sobre seguridad porque contratamos a un experto».
Esta es una declaración muy peligrosa que conduce a la pérdida de personal. La ciberseguridad no es algo que se pueda arrojar sobre los hombros de una sola persona. Al igual que con la seguridad física, incluso si tiene las mejores cerraduras y el mejor sistema de alarma, un empleado es suficiente para olvidarse de cerrar las puertas al salir del trabajo, y todos los esfuerzos son inútiles. Y si en este caso solo se acusa a una persona, entonces puede estar seguro de que pronto estará buscando el mejor lugar para trabajar.
Si desea que su negocio prospere de forma segura, todos los miembros de la empresa deben conocer la ciberseguridad. Y esta no es solo una sesión de capacitación o la distribución regular de correos electrónicos de phishing falsos para todos. Se trata de garantizar que todos los empleados piensen en la ciberseguridad durante su trabajo.
Para que los empleados se preocupen por la ciberseguridad, son los ejecutivos los que deben ser los primeros en preocuparse por ella. En lugar de esperar milagros, la alta dirección debe predicar con el ejemplo y asegurarse de que los riesgos cibernéticos se perciban como una parte importante del trabajo. Y no es difícil, basta con que cada decisión tenga en cuenta la seguridad, y cada discusión seria incluya el tema de la seguridad, si es necesario.
2. «Estamos seguros porque subcontratamos nuestra seguridad a profesionales».
No hay posibilidad de que una empresa de subcontratación pueda ser tan eficaz en la gestión de la seguridad como usted. Esta es una salida fácil para una organización pequeña que no puede permitirse dedicar recursos separados a la ciberseguridad. Un contratista puede ayudarlo a seleccionar su entorno de ciberseguridad como NIST 1 , desarrollar una estrategia de ciberseguridad, ayudarlo con la gestión de riesgos y el análisis de amenazas, ayudarlo a configurar controles de seguridad e incluso participar en la respuesta a incidentes. Sin embargo, no pueden estar en todas partes y observar todo, y su tiempo de respuesta a las brechas de seguridad será mucho menor que el de sus empleados.
Si ha subcontratado personal de seguridad, aún debe asegurarse de que todos en la empresa conozcan y comprendan la importancia de la seguridad en su trabajo. Por ejemplo, estas empresas no impedirán que sus desarrolladores inyecten vulnerabilidades SQL en su software. Las empresas de subcontratación rara vez participan en su SDLC (ciclo de vida de desarrollo del sistema).
3. «Estamos seguros porque compramos una solución de seguridad integral».
No existe ningún software que pueda garantizar una seguridad completa. Además, no existe una única herramienta de seguridad que cubra ni siquiera la mitad de las posibles amenazas cibernéticas. Puede instalar una solución de oficina que lo proteja del malware, un firewall para proteger su red externa e interna de ciertos ataques a la red y, al mismo tiempo, permanecer vulnerable a una violación completa del sistema y la pérdida de todos los datos de la empresa como resultado de una sola Vulnerabilidad de SQL, porque ninguna de estas herramientas no lo protege de tales vulnerabilidades en lo más mínimo.
No se deje influir por las promesas vacías de los proveedores y no tenga miedo de buscar soluciones específicas para amenazas de ciberseguridad específicas, como un escáner de vulnerabilidades web especializado, para protegerse de las amenazas relacionadas con la red. Busque fabricantes que no tengan miedo de contarle casos específicos y cómo funciona el software, en lugar de escribir palabras diplomáticas para empañar sus ojos. Busque fabricantes especializados porque tienen los medios para protegerlo de manera efectiva. Y recuerde siempre que el software es solo una herramienta, y la forma en que usa esas herramientas realmente importa.
Otro error relacionado que cometen muchas pequeñas y medianas empresas es que se centran en la seguridad de sus oficinas. En el pasado, esto tenía sentido porque la mayoría de los activos se almacenaban en la oficina, a menudo incluidos servidores. Hoy en día, las pequeñas y medianas empresas dependen principalmente de las soluciones en la nube y, por lo tanto, los controles de ciberseguridad deben centrarse en la seguridad en la nube y la presencia en Internet, ya que la mayoría de los activos comerciales se basan en tecnologías web (incluidas tecnologías móviles e IoT).
Quizás en 2000, el antivirus y el escáner de red eran más importantes que un escáner de vulnerabilidades web, pero ahora, en 2020, este ya no es el caso. Si bien las soluciones anti-malware siguen siendo clave para protegerse contra amenazas como el ransomware, la protección de la red es al menos tan importante y solo los escáneres de vulnerabilidades pueden proporcionarla.
4. «Estamos seguros porque no divulgamos nuestras aplicaciones o datos al público».
Este es otro mito muy peligroso que genera serios problemas. Los gerentes de pequeñas y medianas empresas a menudo piensan que si una empresa no opera en un espacio público, está protegida contra ataques. Sin embargo, esto está lejos de la verdad.
Por ejemplo, si está desarrollando una aplicación B2B que es utilizada por un número limitado de empresas y requiere acceso para la autenticación, es tan vulnerable a los riesgos de ciberseguridad como un sitio web público. Un ciberataque puede ser llevado a cabo no solo por el empleado de su cliente. Si, por ejemplo, su formulario de inicio de sesión tiene una vulnerabilidad de SQL, un atacante externo puede obtener acceso a una aplicación que está destinada a ser utilizada solo por ciertos usuarios, en lugar de estar disponible públicamente.
También tenga en cuenta que muchas fugas de datos son el resultado de negligencia o actos maliciosos por parte de personas con información privilegiada; por ejemplo, la mayoría de las fugas de datos en 2019 fueron causadas por bases de datos inseguras que fueron el resultado de la negligencia de los empleados (la base de datos nunca fue pensada para el público en general).
Si bien la disponibilidad de recursos públicos aumenta las preocupaciones de ciberseguridad, su ausencia no garantiza en absoluto la ciberseguridad. Para estar seguro, debe proteger sus activos internos y activos autenticados de la misma manera que sus activos externos.
5. «Estamos a salvo porque no hay ningún beneficio de nuestra piratería».
El ciberdelito no siempre es el resultado de obtener algo. También suele ser el resultado de una oportunidad. Algunos ciberdelincuentes se centran en la propiedad intelectual valiosa o en datos confidenciales (y harán casi cualquier cosa para robarlos), mientras que otros simplemente disparan a ciegas y esperan pillar a alguien desprevenido. ¿Estás en guardia?
Si observa las mayores violaciones de datos de los últimos años, muy pocas de ellas fueron en realidad el resultado de un ataque dirigido. En algunos casos, como Equifax 2 , fue de hecho un ataque dirigido, presumiblemente por fuerzas especiales chinas. Sin embargo, el principal éxito de 2019, el hack de Capital One 3 , fue llevado a cabo por un hacker emocionalmente inestable que buscaba popularidad en los círculos de black-hat 4 . Sin embargo, la mayoría de los otros hackeos fueron simplemente el resultado de que alguien escaneara direcciones públicas y encontrara vulnerabilidades.
El camino a seguir
Una vez que su organización se deshaga de los mitos antes mencionados, será más fácil para usted mantener la seguridad cibernética sin una necesidad urgente e insatisfecha de que este «tipo mágico lo arregle todo». Con la seguridad percibida como un problema de toda la empresa, con el debido cuidado, así como las soluciones automatizadas adecuadas, como el software de evaluación y gestión de vulnerabilidades web con un motor de análisis de vulnerabilidades como Acunetix , su futuro parece mucho más seguro que el de las empresas. todavía viviendo en el pasado.
Fuente.
