Las leyes inmutables de seguridad

Las leyes inmutables originales de la seguridad identificaban las principales verdades técnicas que rompían los mitos de seguridad frecuentes de aquellos tiempos. En ese espíritu, estamos publicando un nuevo conjunto complementario de leyes centradas en desmitificar mitos frecuentes en el mundo actual del riesgo de ciberseguridad omnipresente.

Desde las leyes inmutables originales, la seguridad de la información ha crecido de una materia técnica en una materia de administración de riesgos de ciberseguridad que incluye dispositivos en la nube, IoT y OT. Ahora, la seguridad forma parte del tejido de nuestras vidas diarias, discusiones de riesgos empresariales y elecciones.

Como muchos de nosotros en la industria siguieron este recorrido a un mayor nivel de abstracción, vimos patrones de mitos comunes, sesgos e incertidumbre emergen en el nivel de administración de riesgos. Decidimos crear una nueva lista de leyes para el riesgo de ciberseguridad mientras conservamos las leyes originales (v2) tal cual (con un ligero cambio de "tipo malo" a "actor malo" para ser totalmente correcto e inclusivo).

Cada conjunto de leyes se ocupa de diferentes aspectos de la ciberseguridad, diseñando soluciones técnicas sólidas frente a la administración de un perfil de riesgo de organizaciones complejas en un entorno de amenazas cambiante. La diferencia en la naturaleza de estas leyes también ilustra la difícil naturaleza de navegar por la ciberseguridad en general. Los elementos técnicos tienden hacia el absoluto, mientras que el riesgo se mide en probabilidad y certeza.

Dado que es difícil realizar predicciones, especialmente sobre el futuro, sospechamos que estas leyes podrían evolucionar con nuestra comprensión del riesgo de ciberseguridad.

Diez leyes de riesgo de ciberseguridad

1. El objetivo de la seguridad es minimizar el ROI del atacante: un sistema de seguridad no puede alcanzar nunca un estado de seguridad total, por lo que debe intentar disuadirles impactando y minimizando la rentabilidad de su inversión (ROI). Aumente el costo del atacante y disminuya el rendimiento de sus activos más importantes.
2. No mantenerse al día es quedarse atrás – la seguridad es un recorrido continuo. Debe seguir avanzando porque para los atacantes será cada vez más barato tomar el control de sus activos. Debe actualizar continuamente las revisiones de seguridad, las estrategias, el reconocimiento de amenazas, el inventario, las herramientas, la supervisión, los modelos de permisos, la cobertura de plataforma y cualquier otra cosa que cambie con el tiempo.
3. La productividad siempre gana: si la seguridad no es fácil para los usuarios, buscan alternativas para hacer su trabajo. Asegúrese siempre de que las soluciones sean seguras y utilizables.
4. A los atacantes no les importa – Los atacantes usan cualquier método disponible para entrar en su entorno y acceder a sus recursos, incluidas las impresoras en red, los termómetros de tanque de pescado, los servicios en la nube, los PCs, los servidores, los Macs o los dispositivos móviles. Influyen o engañan a los usuarios, aprovechan los errores de configuración o los procesos operativos no seguros, o simplemente solicitan contraseñas en un correo electrónico de suplantación de identidad ( phishing). Su trabajo es comprender y quitar las opciones más fáciles, más baratas y útiles, como cualquier cosa que conduce a privilegios administrativos en todos los sistemas.
5. Priorización despiadada es una habilidad de supervivencia: nadie tiene suficiente tiempo y recursos para eliminar todos los riesgos para todos los recursos. Comience siempre con lo que es más importante para su organización o más interesante para los atacantes y actualice continuamente esta priorización.
6. Ciberseguridad es un deporte de equipo: nadie puede hacerlo todo, por lo que siempre se centra en las cosas que solo usted (o su organización) puede hacer para proteger la misión de su organización. Si los proveedores de seguridad, los proveedores de nube o la comunidad pueden hacerlo mejor o más barato, hágalo.
7. La red no es tan confiable como cree que es: una estrategia de seguridad que se basa en contraseñas y confiar en cualquier dispositivo de intranet solo es marginalmente mejor que la falta de estrategia de seguridad. Los atacantes evitan fácilmente estas defensas, por lo que el nivel de confianza de cada dispositivo, usuario y aplicación debe demostrarse y validarse continuamente, empezando por un nivel de confianza cero.
8. Las redes aisladas no son seguras automáticamente: Aunque las redes desconectadas pueden ofrecer una seguridad sólida cuando se mantienen correctamente, los casos exitosos son extremadamente raros porque cada nodo debe estar aislado del riesgo externo. Si la seguridad es lo suficientemente crítica como para colocar recursos en una red aislada, debe invertir en mitigaciones para abordar la posible conectividad a través de métodos como medios USB (por ejemplo, necesarios para revisiones), puentes entre la red de intranet y los dispositivos externos (por ejemplo, portátiles de proveedor en una línea de producción) y amenazas internas que podrían eludir todos los controles técnicos.
9. Cifrado solo no es una solución de protección de datos: el cifrado protege frente a ataques fuera de banda (por ejemplo, paquetes de red, archivos y almacenamiento), pero los datos solo son tan seguros como la clave de descifrado (fuerza de clave + protecciones contra robos y copia) y otros medios de acceso autorizados.
10. Tecnología no resuelve problemas de personas y procesos: mientras que el aprendizaje automático, la inteligencia artificial y otras tecnologías ofrecen saltos sorprendentes en la seguridad (cuando se aplican correctamente), la ciberseguridad es un desafío humano y nunca se resolverá solo por la tecnología.

Referencia

Leyes inmutables de seguridad v2

• Ley nº1: si un atacante malintencionado puede convencerle de ejecutar su programa en el equipo de usted, su equipo ya no será solamente suyo nunca más.
• Ley n.º 2: Si un actor malintencionado puede modificar el sistema operativo en tu ordenador, ya no es tu ordenador.
• Ley 3: Si un actor malicioso tiene acceso físico sin restricciones a su ordenador, ya no es tu ordenador.
• Ley 4: Si permite que un agente malintencionado ejecute contenido activo en su sitio web, deja de ser su sitio web.
• Ley número cinco: Las contraseñas no seguras debilitan un sistema de seguridad sólido y fiable.
• Ley n.º 6: un equipo solo es tan seguro como el administrador es de confianza.
• Ley 7: Los datos cifrados son tan seguros como su clave de descifrado.
• Ley n.º 8: Un escáner antimalware obsoleto es solo marginalmente mejor que ningún escáner.
• Ley n.º 9: El anonimato absoluto no es prácticamente factible, ya sea en línea o sin conexión.
• Ley #10: La tecnología no es una panacea.