Caso 5: Bret Hartman – Former CISO en RSA

Observa los patrones

Los Aprendizajes

Tener una verdadera comprensión del riesgo

«Armar un sistema de seguridad y controles se basa en el riesgo percibido», dice Hartman. «Hay que medir el riesgo y equilibrar las contramedidas contra ese riesgo. En el caso de RSA, estábamos preocupados principalmente por el riesgo de que nuestra propiedad intelectual fuera robada».

Lo que RSA no dimensionada completamente en ese momento era el riesgo para sus clientes. En conjunto, ese fue el mayor riesgo. «Es extremadamente difícil determinar cuál es el riesgo de perder los planos de un avión de combate F16», dice Hartman. «RSA no sabe nada sobre aviones de combate». Sin embargo, el atacante entendió que la mejor manera de llegar a los dibujos de diseño podría ser subvirtiendo el proceso de autenticación.

Hoy, el mundo está mucho más interconectado de lo que estaba en 2011. Ya no es posible considerar solo el propio riesgo interno. Es fundamental considerar el riesgo al que se está expuesto a través de los proveedores que están por encima de ti, así como el riesgo al que está expuestos tus clientes. Comprender su verdadero riesgo, no solo el riesgo percibido, es mucho más difícil.

No tener plena confianza

El hecho de que los proveedores de software de mayor reputación como RSA y SolarWinds puedan ser la fuente de un ataque a la cadena de suministro debería alertar a los consumidores sobre el peligro de la confianza implícita. Hoy en día, tenemos confianza implícita en innumerables terceros: Zoom, Google, AWS y muchos otros. «El atacante podría potencialmente subvertir esa confianza de maneras que ni siquiera podemos predecir», dice Hartman.

Una de las implicaciones aterradoras de la brecha de datos de RSA radica en su descaro. Si los atacantes pudieron atacar con éxito RSA, ¿cómo negar que los proveedores menos protegidos se hayan visto comprometidos? Las organizaciones deben entrevistar a sus proveedores críticos para asegurarse de que también tienen las capacidades de visibilidad necesarias, así como la capacidad de monitorear y adelantarse a una brecha de datos.

Actuar sobre los patrones

«Nunca he sido director de seguridad de la información (CISO)», dice Hartman. «Mi trabajo siempre ha estado en el lado tecnológico del desarrollo de productos para detener este tipo de infracciones. Mi trabajo como tecnólogo es ver los patrones y actuar para desarrollar soluciones».

«La brecha de datos de RSA de 2011 fue el canario en la mina de carbón, un canario bastante grande», dice Hartman. «Ahora, es cien veces peor. Piensa en las integraciones y dependencias que tenemos ahora». Y, sin embargo, no estamos mucho mejor de lo que estábamos entonces.

No hay una respuesta fácil a la pregunta de mitigar el riesgo de la cadena de suministro. Puedes minimizar el número de proveedores que tienes. No tengas confianza implícita en tus proveedores o defensas. «Sé paranoico», aconseja Hartman. «Ten el monitoreo y la visibilidad en su lugar para que puedas medir correctamente tu propio riesgo. Ten un plan para recuperarte cuando algo salga mal». Por ahora, parece que el riesgo de la cadena de suministro es algo con lo que todos tenemos que vivir.

Al final, Hartman concluye que debemos centrarnos en el aprendizaje y la mejora continua e incremental. «¿Qué podemos aprender de estas infracciones para que podamos detenerlas o mitigarlas para muchas organizaciones?»

Llegamos al fin de nuestra serie sobre brechas de datos y aprendizajes sobre líderes de seguridad internacionales junto con nuestros amigos de Lumu Technologies. ¡No dejes a un lado toda la información tan valiosa que hemos compartido!

El mundo está cada vez más interconectado y eso hace a las empresas mucho más vulnerables de lo que eran antes… ¿estás buscando las mejores soluciones de la industria para poder proteger los activos más importantes de tu organización? ¡BG2 Services tiene la respuesta! Contáctanos para que uno de nuestros profesionales te asesore.

📩 mktadmin@bg2.com.mx

📞 (81) 8123 3730

Fuente:

Brown, J. (2022). CISOs´ LESSONS from Security Breaches. Lumu Technologies. https://lumu.io/resources/cisos-lessons-from-security-breaches/

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.