La amenaza de las infracciones a la ciberseguridad es una preocupacin importante
entre los CIO y profesionales de la tecnologa en las diferentes industrias. Conforme los hackers se vuelven ms avanzados, los ejecutivos de IT batallan para identificar los mejores mtodos para monitorear, identificar y defenderse de los ataques a sistemas informticos. La seguridad de la informacin y el manejo del riesgo fueron un punto focal en Interop Las Vegas, donde expertos de la industria compartieron sus experiencias, retos y las mejores prcticas para el desarrollo de una slida estrategia de ciberseguridad. Durante una sesin de seguridad de informacin Michele Chubirka, arquitecto de seguridad snior en Postmodern Security, llam la atencin sobre la nocin de que las carreras de seguridad de informacin parecen estar ms centradas, en el manejo de herramientas, que en frustrar hackers. Las modernas herramientas de seguridad comerciales son buenas, observ ella, pero nadie tiene el presupuesto para adquirirlas, y muchos ejecutivos de seguridad tienen que luchar con otros segmentos de IT para obtener todos los fondos que necesitan. Lo que muchos ejecutivos no advierten, dijo Chubirka, es que los sistemas de monitoreo y dispositivos de red existentes tambin tienen capacidades de seguridad. Quiz ya tenga ms de lo que necesita en trminos de tecnologa adecuada, sugiri Chubirka. No se trata de tener las mejores herramientas, sino de tener las que hagan el trabajo. Las herramientas costosas no son, necesariamente, una solucin rpida. El buen personal de seguridad busca anomalas y es ah donde las herramientas de monitoreo son efectivas, puntualiz la experta. Las herramientas correctas podrn identificar anormalidades y detectar actividad maliciosa; algunas ya tienen reportes de cumplimiento y seguridad enlatados. Chubirka cit ejemplos de sistemas, incluidos MRTG, Solarwinds Orion, Nagios, Netdisco y Wireless Management Systems (WMS, sistemas de manejo inalmbricos). stas no son herramientas de seguridad dedicadas. Slo las utilizamos de esa manera, coment. Tambin dijo que un navegador Web puede ser una herramienta de seguridad. Firefox y Chrome tienen complementos gratuitos para aplicaciones que ayudan con inspecciones y pruebas de seguridad. Los encabezados HttpFox y HTTP en directo,
por ejemplo, actan como analizadores; Groundspeed ayuda con aplicaciones de
penetracin. Tambin se pueden encontrar riesgos en proveedores terceros, explic el presidente de IP Architects, John Pironti, en otra conferencia. Trabajar con proveedores terceros, proveedores de servicios y socios es algo normal y creciente en las empresas por lo que son una preocupacin, cada vez mayor, entre los profesionales de riesgo y seguridad de la informacin. La seguridad trata principalmente de personas, procesos y procedimientos, dijo Pironti. Cerca de una cuarta parte de la ecuacin de seguridad trata de tecnologa. Sin embargo, los ejecutivos dedican mucho tiempo a proteger la tecnologa, mientras ignoran procesos y datos de negocios. Como resultado, los obstculos para ingresar se han derribado para los adversarios que tienen dinero y capacidades a su disposicin. Pironti aconsej a los profesionales de la seguridad prestar atencin al rea, a menudo ignorada, de la seguridad de la cadena de suministro, ya que los riesgos menos percibidos pueden ser los vnculos ms dbiles. No creo que Target pensara que su proveedor HVAC era su red con el mayor riesgo, dijo l, haciendo nfasis en este punto. Los hackers son mucho ms complejos de lo que solan ser, y es importante que los profesionales adopten mtodos confiables para rastrear y evaluar el progreso para contrarrestarlos. En otra sesin de seguridad de la informacin, Mike Zachman, CISO suplente de Caterpillar, dijo que hace esto en su organizacin con un modelo de madurez de capacidades. El modelo de Caterpillar compara los diversos componentes de la seguridad de la informacin de la compaa con los de competidores de la industria. Los ejecutivos pueden evaluar la madurez del programa y las capacidades de Caterpillar para determinar una crisis futura e identificar dnde se pueden hacer mejoras. Los resultados se ven reflejados en una grfica, eliminando pginas de datos y mejorando la legibilidad para profesionales de toda la organizacin.