Bienvenido a Prove it, una mesa redonda donde analistas de Acceleration Economy discuten, debaten y definen cuestiones relevantes. En este episodio, presentado por el analista senior Aaron Back , el analista Chris Hughes aborda el tema de la ciberseguridad con los invitados Dave Harris y Matt Hudson, quienes comparten su experiencia y conocimientos.
Conozca a los analistas
01:18 – Dave Harris es arquitecto de ciberseguridad en IT Value Acceleration Inc. Tiene experiencia en cumplimiento, específicamente ciencia de datos, seguridad y arquitectura cibernética. También tiene 20 años de experiencia como contratista de defensa.
01:34 – Matt Hudson es el fundador y director ejecutivo de TC Engine. Describe su carrera como la intersección entre comercio global, regulación comercial y la tecnología de la información. Matt trabaja dentro de la base industrial de defensa, ayudando a las empresas a identificar, controlar y rastrear su información regulada.
01:53 – Chris Hughes es el CISO y cofundador de Aquia. Con casi 20 años de experiencia en ciberseguridad, Chris también es analista de ciberseguridad. Ha estado involucrado como miembro activo del servicio militar, así como civil del gobierno. Tiene una mayor participación de la industria tanto con el lado civil federal como con el Departamento de Defensa.
Asegurar la fuerza de la protección con contraseña
02:19 – SolarWinds culpó a un pasante por una filtración de contraseña. Pero, ¿por qué las empresas y las personas siguen utilizando contraseñas fáciles de adivinar, especialmente para proteger la información y datos confidenciales?
03:30 – El liderazgo y la estructura de gobierno son necesarios cuando se trata de ciberseguridad. ¿Quién es responsable de las contraseñas y la seguridad? Los empleados deben ser conscientes de la importancia del acceso que tienen a determinados recursos.
04:18 – Si bien identificar la fuente de un problema es importante, también es un desafío establecer una cultura de seguridad. El análisis de vulnerabilidades y los controles de seguridad deberían haber detectado la falta de seguridad de la contraseña y exigir un requisito de contraseña más estricto.
05:52 – Esta situación es sintomática de los problemas más amplios que se enfrentan dentro de la base industrial de defensa. Muchos profesionales no valoran la seguridad o el cumplimiento como parte de la cultura. Aunque los requisitos de contraseña son un requisito de higiene cibernética básica, todavía es algo con lo que la industria está luchando.
Resultados potenciales de los ataques de ciberseguridad
06:26 – ¿Qué tipo de infraestructura está protegiendo? Este problema también está afectando a proveedores de servicios y la cadena de suministro.
07:33 – Los resultados potenciales incluyen legislación y políticas. Por ejemplo, está la Orden Ejecutiva de Ciberseguridad, que enfatiza en gran medida la seguridad de la cadena de suministro. Además, hay un gran impulso para una lista de materiales de software.
07:58 – Aunque las organizaciones más pequeñas buscan socios externos para cubrir sus brechas de TI y ciberseguridad, aun todavía están siendo atacadas.
Cumplimiento normativo y cultura
09:00 – El cumplimiento normativo tiene un gran impacto en la ciberseguridad y la defensa. Por ejemplo, un informe reciente mostró que la base industrial de defensa se ha reducido en un 18%.
10:06 – Si bien el cumplimiento puede ayudar a impulsar el cambio, también puede conducir a una cultura que solo cumpla con los requisitos mínimos. Además, existe evidencia de fatiga de cumplimiento dentro de la industria.
12:14 – Según el Foro Económico Mundial, aproximadamente el 65% del PIB para 2024 estará vinculado a plataformas digitales. ¿Cuál será el impacto desde una perspectiva contradictoria?
13:06 – A medida que crece la tecnología, también crece la superficie de ataque.
14:48 – Tenemos múltiples requisitos de cumplimiento, jurisdicciones, dominios, evaluaciones con puntos en común subyacentes, pero diferentes organizaciones en la empresa. La seguridad es tan buena como el eslabón más débil. ¿Cómo sobreviven las organizaciones más pequeñas?
La base ciudadana y la conciencia de la ciberseguridad
17:39 – Analizando las vulnerabilidades de dos formas: vulnerabilidad no intencionada y vulnerabilidad intencionada. Esto conduce a una confianza cero interna y externa.
20:18 – Hay un aumento de las vulnerabilidades cuando las personas no entienden lo que significa ‘sin contraseña’. Podría haber un malentendido en torno a las implicaciones de no configurar algo correctamente o no comprender algo en su totalidad.
21:46 – Dado que la ciberseguridad es una industria compleja, desafía a los fabricantes a cumplir con más requisitos. Todavía estamos muy lejos de que toda la base de ciudadanos se vuelva cibernética.
Ciberseguridad en el perímetro y en la nube
23:44 – Al implementar medidas de seguridad, también se debe considerar la computación en el borde (computer Edge) y la nube. Hay consecuencias por dejar los dispositivos con la configuración predeterminada.
25:03 – La gente se está volviendo más inteligente en torno al modelo de responsabilidad compartida. Sin embargo, todavía existe una percepción errónea de que el proveedor de la nube hace todo. Las personas tienen planes de migración y modernización de la nube, pero no siempre calculan la seguridad en eso.
26:02 – Al pasar a la nube, las personas adoptan rápidamente la tecnología, pero realmente no consideran la seguridad. El desfase entre la innovación técnica y la legislación nunca va a desaparecer.
Atribución adecuada de datos
26:30 – Observando información controlada por exportación y enfocándonos en las capacidades que necesitamos para identificar, controlar y rastrear datos.
28:18 – Muchas de las personas que crean estos datos no son plenamente conscientes de la seguridad y la clasificación de datos. Se vuelve un desafío cuando las personas no lo marcan adecuadamente. ¿Cómo se puede esperar que alguien proteja algo si ni siquiera sabe exactamente lo que necesita proteger?
29:30 – Se trata de los atributos de sus datos. Además, esos atributos deben ser legibles por máquina y procesables. Los usuarios deben poder aprovechar la inteligencia artificial y aplicar esos identificadores.
Desafíos con fusiones y adquisiciones
31:37 – Las fusiones y adquisiciones corporativas pueden ser un gran problema cuando una empresa reúne diferentes modelos de seguridad.
32:29 – Si usted es el adquirente, ¿qué hace cuando la persona que ha adquirido tiene más conocimientos y experiencia que usted en determinadas áreas?
34:04 – Hay dos formas de ver estas oportunidades. Primero, existe la oportunidad interna de hacer las cosas bien. Dependiendo de los cambios que estén afectando su seguridad, una oportunidad interna le brinda la oportunidad de reevaluar lo que está sucediendo. En segundo lugar, existen oportunidades externas. Estos pueden afectar sus oportunidades comerciales porque crea un sentido de confianza con sus clientes .
34:58 – Si tienes una póliza de seguro cibernético y eres adquirido por otra persona, el proceso de evaluación que se hizo cuando eras tu propia entidad es muy diferente al de la nueva. Dave hace referencia a un documento sobre ciberseguro de Object Management Group.
35:49 – Cuando se habla de fusionar marcos y arquitecturas, ¿qué información necesitamos para tomar decisiones precisas, oportunas y compatibles?
