Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

Revista de Prensa: Noticias

Viernes, 24 de agosto de 2012

Seis lecciones del FBI para reforzar la seguridad en las empresas

-

 

“¿Cómo puede América curar sus enfermedades de seguridad de la información? Tomemos un ejemplo de la renovación en el combate al terrorismo del FBI.” Ése fue el discurso de Shawn Henry, presidente de CrowdStrike, en su conferencia magistral, con la cual se abrió, a mediados de mes, la Black Hat 2012 Conference, en Las Vegas, Nevada. Hasta marzo pasado, Henry había sido director ejecutivo asistente del FBI, teniendo a su cargo todas las investigaciones criminales de la instancia a nivel mundial, incluyendo investigaciones cibernéticas, el grupo de respuesta en incidentes críticos e investigaciones internacionales.

Después del 11 de septiembre, señaló Henry, el FBI se renovó en recursos para combatir mejor “los ataques terroristas cinéticos (bombas explotando y gente muriendo)”. Hacer esto significó, primero, admitir que los terroristas podrían estar trabajando ya en Estados Unidos, y luego, descubrir la mejor manera de ayudar al buró y a otras agencias de inteligencia a recabar y compartir una mejor inteligencia.

Ahora es el momento de que las empresas admitan que también enfrentan nuevos tipos de riesgos. “Hoy día, con una computadora portátil de $500 dólares y una conexión a Internet, cualquier persona puede atacar a cualquiera, en cualquier lugar”, dijo Henry, dejando ver que, a su juicio, muchos ejecutivos senior parecen haber tardado en percatarse de que existe este nuevo estado de inseguridad: “Aún escucho a algunos CEO decir: ‘¿Por qué sería yo un objetivo de ataque? ¿Por qué vendrían tras de mí?’”.

Con todo, lo cierto es que los ejecutivos senior deben volverse proactivos en el combate de las amenazas a la seguridad. Para lograrlo, Henry recomienda aplicar seis lecciones que el FBI ha aprendido:

1. Asumir que han sido atacados. En años recientes, los directores de Seguridad de la Información (CISO) que piensan en el futuro han ajustado su perspectiva de seguridad de la información. En lugar de intentar mantener su red 100% segura, admiten que es imposible prevenir todos los ataques. Según este pensamiento, necesitan poder detectar intrusiones al instante y luego responder de manera inmediata.

Por desgracia, son pocas las empresas que han adoptado esa forma de pensar más agresiva. “No puedo decirles cuántas veces hay agentes del FBI en un lugar señalando que encontraron datos violados porque hallaron los datos de la compañía fuera de la red –dijo Henry. Nos sentamos con el CISO, y nos dice que eso no pudo haber sucedido.” Pero en general, después de un poco de análisis, descubren que sus defensas perimetrales de seguridad han sido atacadas por meses, o a veces años. Desde luego, como no pudieron detectar la intrusión, la información confidencial de la compañía puede haber estado expuesta por mucho tiempo.

2. Tener cuidado con los servicios de inteligencia extranjeros. ¿Quién es el mejor para robar datos corporativos? “Los servicios de inteligencia extranjeros… son la amenaza más importante en la actualidad”, señaló Henry, quien añadió que existen decenas de servicios de inteligencia con capacidad para iniciar operaciones de recopilación de reconocimiento muy avanzadas. Cuando estas operaciones logran su objetivo, comentó, ponen en desventaja a las empresas en el extremo opuesto durante negociaciones. “Es cómo jugar al póker con barajas marcadas.”

3. Ser proactivo. “Si está de acuerdo con la premisa  de que alguien ha irrumpido en su red, que ya están ahí, ¿entonces por qué no los busca?”, cuestionó Henry. Pero dejó muy en claro que no está sugiriendo realizar ataques de venganza, los cuales constituirían una infracción de la ley. El caso es usar la contra inteligencia, que es como dejar “documentos de señuelo” (inteligencia falsa) para engañar a los atacantes.

4. Mantener información importante fuera de la red. “Una de las cosas que aprendí en el FBI es que existen ciertos tipos de cosas que no podemos en la red”, comentó el experto, como información acerca de técnicas de investigación o transcripciones confidenciales de intercepciones ordenadas por los tribunales. Dado que mantener información confidencial fuera de la red hace mucho más difícil que alguien la robe, Henry comentó que no entiende por qué algunas compañías no separan sus datos en compartimientos.

5. Cambiar las métricas para determinar la velocidad de respuesta en caso de infracción. Los programas de seguridad de información actuales deben ser medidos en parte por la velocidad de su respuesta. “¿Cuánto tiempo después de que el adversario accesa a mi red podré identificar y mitigar la amenaza?”, se preguntó Henry. “La antigua métrica de seguridad de la información habría sido, ‘¿Podemos impedir que el adversario incursione en la red?’. Y yo diría que si su bono está vinculado a esa métrica, no habrá muchos regalos para Navidad bajo el árbol este año.”

Henry relató la forma en que el FBI hizo un cambio conceptual similar cuando comenzó a medir qué tan rápido podía responder una vez que se identificara una amenaza, en vez de simplemente analizar el número de arrestos, acusaciones y condenas que obtuvo.

6. Compartir más la inteligencia. ¿Qué amenazas a la seguridad de la información tienen el potencial de causar mayor daño? Las empresas necesitan dar respuesta a esa pregunta, sentenció Henry, para poder dar el mejor uso a sus recursos limitados. Para lograrlo necesitan una mejor inteligencia de amenazas: “Debemos poder priorizar las amenazas, y una inteligencia más granular le permite hacerlo”, explicó. En el caso de amenazas reales, esta posibilidad de compartir inteligencia se logró en parte gracias al Equipo Especial Conjunto Nacional de Investigación Cibernética (NCIJTF, por sus siglas en inglés), coordinado por el FBI, que facilitó la posibilidad de compartir inteligencia entre 18 agencias de inteligencia y procuración de la ley.

Ahora el sector privado necesita formas similares de compartir información de alta calidad acerca de ataques a la seguridad. Para lograrlo, Henry apuntó a esfuerzos nacientes dirigidos a compartir la inteligencia de amenazas del gobierno con las empresas. En uno u otro escenario (real u online), la meta es la misma. “Necesitamos entender quién es el adversario, porque si entendemos esto, entonces podemos tomar medidas proactivas”, concluyó Henry.

 

 

Fuente: www.informationweek.com.mx
31/07/12

Suplemento Temático: Los nuevos retos del Director de Seguridad

Esta noticia ha sido vista por 820 personas.