Video: Ciberseguridad para la empresa (1/4) (Noviembre 2024)
El conocido investigador de seguridad Brian Krebs dio una charla fascinante pero aterradora sobre el estado actual del delito cibernético, en una presentación ayer antes de la apertura del Simposio Gartner en Orlando.
Hablando con un grupo de CIO y otros ejecutivos de TI, el autor del sitio web Krebs on Security y el libro Spam Nation dijo que existe una gran "brecha de relaciones públicas" entre la percepción y la realidad del cibercrimen. "La luz al final del túnel no es una salida", dijo. "Es un tren que se aproxima".
En particular, dijo que los malos han hecho un mejor trabajo al compartir información que los CIO; Incluso las versiones anteriores de informes como el Informe de investigaciones de violación de datos de Verizon a menudo hacen un buen trabajo al explicar cómo se violaron los sistemas, con información que sigue siendo relevante. En muchos de los hacks recientes, dijo, una simple lectura de los registros de seguridad habría alertado a las empresas de que tenían un problema.
Krebs pasó la mayor parte de su tiempo hablando de ataques a la información de la tarjeta de crédito, centrándose principalmente en malware dirigido a sistemas de punto de venta (POS). Habló sobre cómo en los últimos dos años, los malos no solo mejoraron sus ataques contra tales sistemas, sino que hicieron que los mercados clandestinos para comprar y vender información de tarjetas de crédito fueran más sofisticados y "amigables para el cliente".
En muchos casos, las pandillas callejeras están recurriendo al fraude con tarjetas de crédito como una forma rápida de convertir una inversión de $ 10 a $ 20 en $ 800 a $ 1, 000. Esto no solo es rentable, dijo, sino que es inherentemente menos peligroso y arriesgado que el tráfico de drogas, y a menudo se lo considera un delito "sin víctimas" porque los titulares de cuentas generalmente no son responsables de los cargos.
Krebs notó problemas como la cantidad de sistemas POS con navegadores web y cómo este es un vector de ataque muy común. Dijo que la transición a las tarjetas de crédito con chip y pin no va a resolver el problema, citando cómo en otros países, esa transición ha llevado a un aumento en el fraude de comercio electrónico, fraude de nuevas cuentas y adquisiciones de cuentas.
Gran parte de esto se reduce a la identidad y la privacidad, y señaló que mucha información personal que no cambia (como direcciones y números de Seguro Social) ahora está disponible. Dijo que cuando se trata de sistemas informáticos, pueden ser seguros, rápidos o fáciles de usar: elija dos. La mayoría de la gente ha optado por no centrarse en la seguridad, dijo. Como resultado, hay muchos lugares en la Web para encontrar información personal sobre las personas, y pidió al gobierno que adopte reglas de privacidad más estrictas, como las que se usan en la mayoría de los otros países.
Al final, Krebs citó cinco áreas en las que pensó que las compañías podrían hacer el mayor progreso en la lucha contra el delito cibernético. Él es un gran creyente en la segmentación de la red, y dice que la seguridad en la mayoría de las empresas es como una barra de chocolate: "duro y crujiente por fuera, suave y pegajoso por dentro".
En cambio, sugirió hacer que las partes más sensibles de su red sean accesibles solo para aquellos dentro de la organización con una necesidad particular. Las empresas deben establecer un equipo dedicado de respuesta a incidentes, revisar las noticias de otras infracciones para ver qué lecciones pueden aprender, realizar simulacros repetidos sobre qué hacer en caso de una infracción e incluir a sus socios en la planificación de la seguridad.
Es un buen consejo, pero las cosas que a menudo se pasan por alto en el esfuerzo diario para hacer nuevos proyectos en TI. Equilibrar estas prioridades es un tema clave para muchos de los ejecutivos de TI con los que hablé en la conferencia.
