La ciberseguridad es como un iceberg: lo que parece simple en la superficie oculta complejidades profundas.
En el mundo de la tecnología, a menudo asumimos que los fundamentos son fáciles. Sin embargo, en el campo de la ciberseguridad, esta suposición no podría estar más lejos de la realidad. Las defensas fundamentales, como la gestión de identidad y acceso, la autenticación multifactor (MFA), los lenguajes de programación seguros, la actualización de sistemas y la gestión de vulnerabilidades, están insuficientemente implementadas o directamente ausentes en muchos sectores, según expertos en ciberseguridad.
Adam Marrè, CISO de Arctic Wolf, lo expresó claramente en una entrevista en Black Hat: los informes de violación de datos se repiten año tras año porque las organizaciones no parchean sus sistemas y descuidan la gestión de credenciales. Esta situación se complica aún más con la sobresaturación de aplicaciones y servicios, dificultando la implementación efectiva de MFA resistente al phishing y la protección de la identidad. Un estudio de Forrester en 2022 reveló que una empresa grande promedio utiliza 367 aplicaciones y sistemas de software.
Rick Holland, VP y CISO en Reliaquest, comparó la tarea de identificar aplicaciones clave y asignar acceso adecuado a los servicios en una organización con la de un mecánico de aviones que debe reparar un motor en pleno vuelo. Además, las compromisiones de credenciales válidas fueron responsables de más de la mitad de todos los ataques estudiados en la evaluación anual de riesgo y vulnerabilidad de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) para el año fiscal 2022.
El imperativo de incrementar la protección de la identidad es ampliamente reconocido, pero muchos CISOs afirman que podría tomar 18 meses o más implementar correctamente MFA. Además, la adopción de MFA sigue siendo aislada. A fines de 2022, solo el 28% de los usuarios de Microsoft tenían MFA habilitado, y más del 99.9% de las cuentas comprometidas no lo tenían activado, según Alex Weinert, VP de seguridad de identidad en Microsoft.
Los daños causados por controles de seguridad laxos son significativos y se repiten en múltiples incidentes. «Dos tercios de las vulnerabilidades en lenguajes de programación no seguros son causadas por problemas de seguridad de la memoria», indicó Jack Cable, asesor técnico senior en CISA.
La prevalencia de ataques atribuidos a fallos básicos subraya la necesidad de un cambio colectivo de mentalidad, especialmente en lo que respecta a la protección insuficiente de la identidad. La cultura de la ciberseguridad debe evolucionar para considerarla tan fundamental como los candados en las puertas o los cinturones de seguridad en los coches.
Para concluir, aunque el progreso en ciberseguridad puede ser incremental, es esencial. No debemos permitir que lo perfecto sea enemigo de lo bueno. Un enfoque constante en los fundamentos puede proteger contra criminales, hackers de bajo nivel y amenazas estatales.
Articulo original en Security basics aren’t so basic — they’re hard | CIO Dive
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.