4 maneras en que cada empleado puede desempeñar un papel en la seguridad de su empresa

Autor: Tomáš Honzák

Con lo que parece ser un flujo constante de titulares de violación de datos, la seguridad es lo más importante para muchas empresas, algunas de las cuales tienen que pensar en ello por primera vez. La verdad es que es un compromiso de toda la compañía para garantizar la seguridad general. Si bien puede preguntar qué papel podría desempeñar en ese mundo, hay una serie de medidas que usted y sus compañeros pueden tomar para ayudar a mantener las amenazas a raya.

1. Familiarícese con el Director de Seguridad de la Información (CISO) de su compañía

Es obvio pero vale la pena repetir: es el trabajo del Director de Seguridad de la Información garantizar la seguridad de la empresa y sus empleados. Con demasiada frecuencia, los empleados sienten que el equipo de seguridad es una entidad completamente separada, pero este es el tipo de cultura que debe abordarse y unificarse. La seguridad es un aspecto que afecta a cada parte de una empresa, y solo al escuchar las preocupaciones de los empleados en todos los niveles y en todos los sectores, un CISO puede desarrollar efectivamente una estrategia que aborde todas las facetas de una empresa. Quizás recientemente se encontró con algo que cree que podría ser una buena oportunidad de aprendizaje para otros en la empresa, o si tiene preguntas sobre cómo aplicar correctamente los procedimientos de seguridad en una situación particular. La naturaleza en constante evolución de la seguridad significa que un CISO puede usar toda esta información para desarrollar una estrategia de seguridad que eduque y proteja mejor al empleado y a la empresa en general. Sea lo que sea, esas puertas siempre deben estar abiertas para el debate.

2. Participar activamente en capacitaciones de seguridad en curso

Del mismo modo que una compañía realizaría simulacros para prepararse para posibles desastres, también necesita capacitarse para las amenazas a la seguridad. Mantener un ritmo constante de estos ejercicios dará sus frutos en caso de un posible ataque. Cada empleado debe tener una comprensión general de dónde se encuentran estos riesgos y debe estar bien versado en cosas como evitar ataques de phishing, crear una contraseña segura y proteger adecuadamente equipos como computadoras portátiles y unidades USB.

Estos tipos de simulacros pueden incluir el despliegue de un ataque de phishing dirigido “amistoso” en toda la empresa utilizando información públicamente disponible. El punto clave de este ejercicio es crear un nivel de exposición en un entorno seguro y protegido, en oposición a la prueba de fuego. El error humano es inevitable, pero al simular un ataque, los empleados pueden aprender cómo responder rápida y efectivamente como un equipo unificado.

3. Hable antes de que sea demasiado tarde

Aquí es donde cada empleado de una empresa debe asumir la responsabilidad. Ningún agente de seguridad puede supervisar a todas las personas y a todos los procesos de una empresa, y las personas pueden ser más conscientes de las brechas potenciales en su departamento que el equipo de seguridad. Ser proactivo y plantear las inquietudes que tiene sobre la seguridad de su entorno laboral, equipo o departamento inmediato ayuda al equipo de seguridad a abordar las amenazas antes de que se conviertan en algo peor. Esto me lleva de vuelta al punto número uno. Establezca esa relación con su CISO para que cuando reconozca una posible amenaza, esas conversaciones sean más probables antes de que sea demasiado tarde.

4. Comprenda que usted es crítico para la seguridad de su empresa

Todos en la empresa pueden ser un agente de seguridad para su empresa. Sin embargo, cuanto más alejado esté un empleado de las funciones principales de negocio de la empresa, menos consciente será de la función crítica que desempeña en la seguridad de la empresa. Alguien en Recursos Humanos escaneando documentos de nuevas contrataciones para carpetas de empleados podría considerarse bastante alejado de los procedimientos de seguridad, incluso si está manejando documentos que pueden contener información altamente confidencial como salarios, números de seguro social u otros datos importantes. Un incumplimiento que se dirija a esta información podría ser catastrófico y pondría a la empresa en violación de los estrictos requisitos normativos, como HIPAA y GDPR.

Si bien entiendo que aprender estas medidas puede parecer un trabajo completamente nuevo en sí mismo, al tomar estos pequeños y manejables pasos, puede ayudar a construir y mantener un sistema de seguridad que esté intacto de principio a fin. Al mantener estas cosas en primer plano, usted y sus compañeros pueden ayudar a su empresa a evitar filtraciones de datos catastróficas y proteger sus propios datos personales de manera más efectiva.

Sobre el autor: Tomáš Honzák se desempeña como jefe de seguridad, privacidad y cumplimiento en GoodData, donde construyó un sistema de gestión de seguridad de la información que cumple con las normas y regulaciones de seguridad y privacidad, como SOC 2, HIPAA y escudo de privacidad de EE. UU. la compañía para ayudar a las compañías Fortune 500 a distribuir análisis personalizados a su ecosistema empresarial.

Fuente principal: http://infosecisland.com/blogview/25048-4-Ways-Every-Employee-Can-Play-a-Role-in-Their-Companys-Security.html

¿Cuáles son los componentes claves de una seguridad empresarial?

Existen cinco componentes necesarios para mantener la seguridad de la empresa a prueba de amenazas cibernéticas como malware y hackers.
Por Charlie Barker*

Es justo decir que las empresas sienten temor cuando se trata de potenciales ciberataques y las interrupciones de negocio que ello conllevaría.

La protección de la información sin duda, puede ser una tarea que requiera mucho trabajo. La evolución de la tecnología combinada con la evolución de las amenazas cibernéticas, dieron lugar a un aumento de las infracciones de seguridad en las organizaciones, sin importar su tamaño.

Entonces, ¿qué se debe saber para ayudar a reducir el riesgo de exposición? Comencemos por entender los componentes centrales de la seguridad empresarial:

Seguridad de la red. Este término tan amplio describe las políticas y procedimientos que se implementan para evitar y mantener un registro del acceso no autorizado, explotación, modificación o negación de la red y sus recursos. Una seguridad de la red correctamente implementada ayuda a bloquear virus y malware, así como evitar que los hackers accedan o alteren la información que se desea proteger.
Firewall o Cortafuegos. El firewall es en muchos aspectos la primera línea de defensa. Actúa como una barrera entre una red confiable y las que no lo son; entre ellas el Internet, así como redes de menor confianza, tales como la de un comerciante minorista que no cuenta con los requisitos necesarios para proteger los datos. Los firewalls pueden implementarse tanto en hardware como en software, o bien en una combinación de ambos.


Control de acceso a la red. Tiene como objetivo hacer exactamente lo que su nombre menciona: Controlar el acceso a una red con políticas de seguridad para su pre-admisión y controles posteriores a su admisión, estos marcan hasta donde pueden navegar los usuarios y sus dispositivos así como qué pueden hacer cuando están allí.
Gestión unificada de amenazas. La gestión unificada de amenazas (UTM, por sus siglas en inglés) es un enfoque de administración de la seguridad que le permite al usuario de tecnología de la información monitorear y controlar una amplia variedad de aplicaciones de seguridad y componentes de la infraestructura, a través de una única consola. La UTM está diseñada para proteger a los usuarios de amenazas combinadas y reducir la complejidad de los sistemas de seguridad, al conjuntar en una misma plataforma elementos como el firewall, antivirus gateway y capacidades de detección y prevención de intrusiones.
Copia de seguridad y restauración. Sí, puede sonar básico, pero realizar copias de seguridad y restauraciones es una parte crucial de todo plan de seguridad empresarial. La forma de hacerlo puede incluir una combinación de procedimientos manuales y automatizados diseñados para restaurar datos perdidos en caso de falla de hardware o software. Realizar copias de seguridad de archivos, bases de datos y registros de actividad de la computadora es parte de los procedimientos de recuperación y restauración.
Muchos componentes se unen para ayudar a proteger. Ahora que cubrimos los aspectos básicos, podemos seguir adelante con una estrategia de seguridad empresarial que incorpore múltiples capas de seguridad en muchas aplicaciones, dispositivos, redes y plataformas. Seguridad de firewall, web, correo electrónico, datos, gestión de amenazas, reportes de incidentes de seguridad y planificación proactiva. Todos estos elementos se unen para ayudar a reducir la exposición a ataques de hackers.
*Charlie Barker, Value Marketing Director de AT&T

Fuente: https://www.forbes.com.mx/cuales-son-los-componentes-claves-de-una-seguridad-empresarial/

¿Pueden las organizaciones retroceder en el tiempo después de un ciberataque?

Autor: Patrice Puichaud

A raíz de una brecha cibernética, los costos de interrupción, tiempo de inactividad y recuperación pueden escalar pronto. Como hemos visto por los recientes ataques de alto perfil, estos costos pueden tener un impacto serio en los resultados de una organización. El año pasado, a raíz del ataque Notetia, Maersk, Reckitt Benckiser y FedEx tuvieron que emitir advertencias de que los ataques le habían costado a cada compañía cientos de millones de dólares . Si bien aún no se conoce el alcance completo, se ha subrayado el impacto financiero que pueden tener tales infracciones.

La gravedad de una infracción a menudo está vinculada a los costos asociados con la respuesta y la reparación del daño. Sin embargo, hay formas en que las organizaciones pueden minimizar una parte del proceso particularmente costosa: los nuevos enfoques para la corrección posterior a la brecha significan que las organizaciones pueden, en efecto, hacer retroceder el tiempo a un estado de “incumplimiento previo”.

Los costos de una violación

Los ciberataques pueden paralizar un negocio y tomar días para aclarar. Para las organizaciones más grandes que se ven afectadas por un incidente, el costo de la remediación podría incluir daños a la reputación de la marca, costos legales, establecimiento de mecanismos de respuesta para contactar a las víctimas de la violación, y más. Para las organizaciones más pequeñas, a pesar de que los costos de remediación pueden ser menores, asumirán una mayor proporción de sus ingresos operativos; desde la pérdida de datos hasta equipos dañados o inoperables, así como la interrupción del negocio normal. También está el costo de cualquier multa que se genere debido a fallas en el cumplimiento. De hecho, Ponemon ahora calcula que el costo promedio de una infracción es de $ 3.62 millones.

Esta operación de limpieza puede representar una seria pérdida para el tiempo y los recursos de una organización. El proceso de reparación y recuperación de datos de activos de TI comprometidos se informa consistentemente como uno de los elementos más costosos de la violación. Los ataques de Ransomware, en particular, es probable que sean más difíciles de remediar, al dirigirse a sistemas que son más difíciles de respaldar, lo que significa que los costos de limpieza después de una violación empeorarán. Pagar el rescate no es garantía de que se recuperarán los archivos: de hecho, el 20% de las víctimas de ransomware que pagaron nunca obtuvieron sus archivos.

Parte del desafío es que los ciberataques son cada vez más inteligentes y sigilosos, y detener cada ciberataque en su camino, antes de que llegue a la red y pueda infligir algún daño, no es realista. Lo que deben buscar las organizaciones es, en todos los casos, identificar el virus lo más rápido posible, detener el ejecutable y aislar el punto final infectado de la red. Durante la ejecución, el malware a menudo crea, modifica o elimina los archivos del sistema y la configuración del registro, además de realizar cambios en la configuración. Estos cambios, o restos remanentes, pueden causar un mal funcionamiento o inestabilidad del sistema.

Para las organizaciones que están lidiando con cientos de incidentes todas las semanas, la empresa puede tener un impacto grave al trabajar para volver a crear imágenes o reconstruir sistemas, o reinstalar archivos que se han visto afectados. No solo se debe tener en cuenta el trabajo perdido, sino también el tiempo de inactividad mientras se restauran los sistemas, ya que los empleados se ven obstaculizados si no pueden acceder a los archivos y sistemas que necesitan.

Existen enfoques a través de los cuales estos costos pueden minimizarse: una nueva generación de protección de punto final observa el comportamiento del malware para marcar actividades que se ven como anormalidades y pasos en la línea de ejecución para desviarlo por completo. Además, esta nueva generación de soluciones tiene capacidades de remediación para revertir cualquier modificación hecha por el malware.

Esto significa que cuando los archivos se modifican o eliminan, o cuando se realizan cambios en la configuración o los sistemas de configuración, puede deshacer el daño sin que los equipos tengan que volver a crear la imagen de los sistemas. Esta capacidad para revertir automáticamente los sistemas comprometidos a su estado anterior al ataque minimiza el tiempo de inactividad y la pérdida de productividad.

Evaluar el impacto

El trabajo aún no está hecho: un aspecto que a menudo se pasa por alto de la evaluación posterior a un evento de lo sucedido debería centrarse en cómo prevenir la repetición de un incidente similar. Para que el personal de seguridad identifique rápidamente el alcance del problema, es esencial que la seguridad de la cadena de interrupción y de los puntos finales afectados en toda la organización sea clara y oportuna. Con el fin de evaluar el impacto y el riesgo potencial, las organizaciones necesitan tener seguridad luego para confirmar si una amenaza particular estaba presente en su patrimonio: la capacidad de buscar Indicadores de compromiso (IoC) es vital. Los datos forenses en tiempo real permiten a las organizaciones rastrear amenazas o investigar después del ataque para proporcionar información sobre exactamente a qué vulnerabilidad se dirigió el atacante, y cómo.

Con el aumento de los costos de las infracciones, es más importante que nunca tener la capacidad de aprender de los incidentes para evitar que la historia se repita. Incluso si no es posible frustrar cada ataque, un enfoque de seguridad completo que incluya prevención, detección, mitigación automática y análisis forense garantizará que el impacto de cualquier incidente se minimice y que las operaciones normales se puedan reanudar lo más rápido posible.

Sobre el autor: Patrice Puichaud es Director Senior para la región EMEA, en SentinelOne.

Fuente principal: http://infosecisland.com/blogview/25069-Can-Organisations-Turn-Back-Time-after-a-Cyber-Attack-.html

Construyendo una Cultura de Seguridad Fuerte, Intencional y Sostenible

Autor : Perry Carpenter

Aquí está la gran idea: su cultura de seguridad es, y siempre será, un subcomponente de su cultura organizacional más amplia. En otras palabras, su cultura organizacional “triunfará” sobre sus objetivos de concientización de seguridad cada vez, a menos que sea capaz de entrelazar los valores y valores basados ​​en la seguridad en la estructura de su cultura organizacional global. ¿Pero cómo logra esto para finalmente construir una cultura de seguridad fuerte, intencional y sostenible? Hay cuatro secretos para el éxito.

1. Tome nota de dónde se encuentra y hacia dónde se dirige

Sin un plan y un camino, ¡seguro que te perderás! La clave para implementar el secreto n. ° 1 es aprovechar un marco para ayudarlo a asegurarse de que está abordando las cosas de una manera estructurada, en lugar de simplemente inventarlo sobre la marcha. Especialmente en grandes organizaciones globales, recomiendo realizar una serie de entrevistas o encuestas rápidas para comprender cómo las diferentes divisiones y los líderes divisionales ven la seguridad, las políticas y las mejores prácticas, y lo que realmente consideran importante. También lo ayuda a comprender si sus ejecutivos clave están alineados y si existen obstáculos políticos o logísticos que debe superar cuando elabore su plan.

Con este conocimiento de fondo, puede comenzar a crear sus objetivos para el año. Me gusta el marco de fijación de objetivos MÁS INTELIGENTE propuesto por varios gurús de la productividad. Hay algunas versiones diferentes del marco SMARTER, una que recomiendo es la versión de Michael Hyatt . También se puede encontrar un poco más sobre el tema aquí . (MÁS INTELIGENTE = Específico, Mensurable, Accionable, Arriesgado, Temporizado, Emocionante, Relevante.)

2. Ver la conciencia de seguridad a través de la lente de la cultura organizacional

La cultura organizacional y la cultura de seguridad no son lo mismo. Sin embargo, necesitan estar estrechamente unidos.

La cultura organizacional no es la suma de roles, procesos y mediciones; es la suma de los comportamientos humanos subconscientes que las personas repiten en función de los éxitos anteriores y las creencias colectivas. Del mismo modo, la cultura de la seguridad no está (solo) relacionada con la “conciencia” y la “capacitación”; también es la suma de los comportamientos humanos subconscientes que las personas repiten en base a experiencias previas y creencias colectivas.

La cultura es compartida, aprendida y adaptable, pero puede ser influenciada. Se necesita un grupo que trabaje colectivamente y comienza con los líderes.

Para tener un impacto en el cambio y el comportamiento, debe conocer y trabajar desde dentro de la cultura existente. ¿Su organización tiene una organización de marketing que ayuda con las comunicaciones internas? De ser así, comprenda cómo aprovechan los métodos de comunicación, los formatos y la marca. Es tan importante que * sus * comunicaciones hablen con la voz / tono establecido de la compañía para que no se lo vea como no conectado y (lo peor de todo) irrelevante. También necesita tener una idea de dónde hay matices divisionales, departamentales y regionales. Trabajar dentro de los marcos culturales específicos dentro de cada uno de estos segmentos. Y siempre esté atento a los canales de comunicación existentes que puede conectar (por ejemplo, reuniones existentes, videos ejecutivos, etc.) para que su mensaje esté entrelazado con los otros mensajes centrados en la compañía.

3. Aproveche los principios de gestión del comportamiento para ayudar a formar una buena higiene de seguridad

Comencemos por reconocer que solo porque usted sabe, ¡no significa que le importe!

La conciencia de seguridad y el comportamiento de seguridad no son lo mismo. Su programa de concientización de seguridad no debe enfocarse solo en la entrega de información. Hay muchas cosas de las que las personas son conscientes, pero que pueden no importarles: debemos hacer que las personas se preocupen.

Debido a esto, si la motivación subyacente de su programa es reducir el riesgo general de incidentes de seguridad relacionados con los seres humanos en su organización, debe incorporar prácticas de gestión del comportamiento.

La idea es que necesitamos crear experiencias atractivas para que los usuarios dirijan comportamientos específicos. (Vea el trabajo de BJ Fogg para obtener más información sobre buenos ejemplos de modelos de comportamiento y creación de hábitos ).

Un ejemplo de esto serían las plataformas de phishing simuladas. Estos destilan algunos de los fundamentos de la gestión del comportamiento en una plataforma fácil de implementar que le permite enviar ataques simulados de ingeniería social a sus usuarios e iniciar inmediatamente acciones correctivas y de rehabilitación si el usuario es víctima del ataque simulado. Haga esto con frecuencia, y verá un cambio dramático en el comportamiento.

4. Sea realista sobre lo que se puede lograr a corto plazo y optimista sobre el rendimiento a largo plazo

Sea un optimista realista dentro de su organización. ¿Qué puedes impactar hoy? Conozca su lugar y su alcance de influencia y recuerde que la cultura comienza en la cima.

Comprenda la base de su cultura y luego cree una hoja de ruta personalizada para la gestión de la cultura de seguridad. Para hacerlo, debes evaluar cuatro áreas:

“Cómo tomamos decisiones” describe el estilo general de liderazgo y cómo esto afecta los resultados de la cultura organizacional.
“Cómo participamos” se centra en cómo las personas colaboran internamente y con los interesados ​​externos para cumplir sus objetivos.
“Cómo medimos” describe las métricas de rendimiento de la organización y cómo afectan los logros de la organización.
“Cómo trabajamos” define el estilo de trabajo de los equipos, cómo se crean las soluciones y se resuelven los problemas, lo que afecta los resultados de la organización.
Al comprender estos cuatro atributos de la cultura organizacional, los líderes de seguridad y los líderes corporativos pueden tomar decisiones informadas al tratar de cambiar las culturas y mejorar la defensa general de una organización.

Aquí es donde la goma se encuentra con la carretera. Ya sacó todo el plan, creó objetivos MÁS INTELIGENTES, comprende los matices de su organización y se está centrando en crear un cambio real y sostenible. Ahora es el momento de comenzar y comprometerse con la perseverancia. Muchos aspectos de su programa se espaciarán a lo largo del año, por lo que es importante comprometerse a ser coherente con sus esfuerzos. El comienzo es solo eso: el comienzo. Te estás enfocando en entrenar a toda una organización; y eso a veces significa capacitar a las personas sobre cómo entrenarse.

Sobre el autor: Perry Carpenter es el principal evangelista y oficial de estrategia para KnowBe4, el proveedor del entrenamiento de conciencia de seguridad escolar integrado más popular del mundo y una plataforma de phishing simulada.

Fuente principal: http://infosecisland.com/blogview/25075-Building-a-Strong-Intentional-and-Sustainable-Security-Culture-.html

SEGURIDAD DE LA INFORMACIÓN, NO ES CUESTIÓN DE INGENIEROS.

Constantemente escucho decir de diferentes empresarios que invertir en seguridad de la información es un gasto innecesario, dado que siempre han trabajado de la misma manera y nunca han tenido problemas de seguridad. De hecho muchos otros dicen, sin embargo aun cuando saben de los riesgos prefieren asumirlos ya que tienen otras prioridades de inversión. La verdad es que no es razón de alarmarse, dado que la formación de los directivos esta enfocada a producir dinero y no a gastarlo. El problema radica en la falsa idea de que nunca van a se impactados por un escenario de robo de información, denegación de servicios, sabotaje, defacement, y ahora el tan de moda ransomware o secuestro de información. Lo delicado es dar la espalda a la realidad y pensar que eso le sucede únicamente a otros.

¿Que opciones tienen las pequeñas y medianas empresas?
La otra cara de la moneda la tienen los asesores, consultores, ingenieros, directores de seguridad, oficiales de cumplimiento y demás cargos que las compañías del sector privado tienen para recibir recomendaciones de mitigación de riesgos. Pocas veces los encargados de estas tareas realizan un plan de contingencia que contenga una buena administración de los recursos escasos con los que cuenta la organización, y por el contrario presentan a la gerencia propuestas con altas inversiones en equipos, soluciones de software, administradores de riesgos, etc, muy costosos para una pequeña o mediana empresa que debe tratar de sobrevivir en un escenario de competencia de precios, calidad y servicio al cliente, sin tener en cuenta la carga tributaria que una organización de este nivel debe soportar para subsistir. A esto sumemos la cantidad de certificaciones que una compañía debe poseer para poder participar en procesos de selección como BASC, ISO9001, ISO14000, ISO31000 y demás que terminan por generar una carga económica a la empresa incapaz de sobrellevar.

El equilibrio.

El tan anhelado equilibrio se da cuando los directivos, los ingenieros y los jefes de procesos entienden que la seguridad de la información no es cuestión de ingenieros sino responsabilidad del equipo en conjunto; como dicen por ahí “es responsabilidad de todos”. De igual manera entender que la mitigación de riesgos en la seguridad de la información, de hecho sí requiere cierto grado de inversión, pero en su gran mayoría se puede llegar a un nivel aceptable con unas buenas prácticas, algunos controles y un detallado plan estratégico.

Cuando a un gerente se le presenta un plan donde la inversión económica es mínima, el compromiso de la compañía es total y la mitigación de riesgos se disminuye considerablemente, tendría que se un demente para no aceptarlo y aprobarlo, además debe explicarse cuales son los beneficios de realizar una correcta gestión de riesgos, mejora en la imagen reputacional, creación de un plan de continuidad del negocio, respaldo de la información, cultura organizacional, disminución de pérdidas económicas por fraude, capacitación para los empleados entre otras.

En conclusión el equilibrio debe darse entre lo que se esta dispuesto a invertir, el apetito de la organización para aceptar riesgos, la madurez organizacional y lo que se esta dispuesto a pagar para manejar incidentes si se llegan a presentar por falta de prevención; invito a todos los encargados de estas áreas a generar una cultura de seguridad de la información al interior de sus organizaciones, capacitar a las personas de todos los niveles para lo cual traigo a Kevin Mitnick quien nos dice ““Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores.”

Joany Guerrero Herrera

CEO MSCol