En mi primera semana del curso básico en el ejército israelí me enseñaron que en términos de seguridad de la información no hay ningún elemento de información que sea demasiado insignificante o demasiado pequeño para tratarlo.
La ubicación de la base, el nombre de la unidad, el tamaño de mi equipo, no se dirán.
No hay necesidad de presumir de los increíbles proyectos que hacemos
y
no hay razón para conectar medios externos a las computadoras.
TODO lo relacionado con la seguridad de la información es importante y debe ser considerado en el último momento.
Ese enfoque se basa en la suposición de que una persona que fue educada desde el primer momento para no revelar el nombre de la unidad (apenas la ciudad en la que está ubicada) será muy consciente y consciente de la información sobre el daño potencial real.
Esta es una actitud excelente y bien comprobada con respecto a la seguridad, y esperaría que fuera una piedra angular en organizaciones e industrias de seguridad cibernética de misión crítica, tales como: médica, energética, aviónica y automotriz.
Puedes imaginar lo sorprendido que me sentí cuando escuché demasiadas veces a ejecutivos demasiado altos en empresas que dictan el tono:
“La distancia entre la debilidad de hackear y apoderarse de un vehículo y poner a las personas en peligro es muy grande . No nos entusiasmará cada vulnerabilidad ”.
Técnicamente, hasta cierto punto, tienen razón. La transición de la debilidad a la explotación es significativa y a veces imposible. No todas las debilidades terminarán en un masaje de ransomware en la pantalla de información y entretenimiento de su avión.
Pero éste es exactamente el intrincado enfoque de los acontecimientos de seguridad ante el que no debemos permanecer indiferentes.
Después de todo, tomar el control de un Jeep Cherokee fue una combinación de debilidades, métodos de explotación, comunicaciones mal protegidas, etc.
Al final del día, cada incidente cibernético comienza con una debilidad que no fue bien cubierta, publicada o abordada; si a eso le sumamos una gran motivación, altas habilidades técnicas y tenacidad, conducirá a un ataque que te hará querer llorar. .
Como dijo Lau Tzu ‘ Un viaje de mil millas comienza con un solo paso ‘
En el ámbito de la ciberseguridad, un pequeño desbordamiento del búfer puede ser a veces un único paso necesario.
Con la ciberseguridad debemos ir ‘ todo incluido ‘ y no dejar nada a la suerte . Debemos identificar todas las amenazas y evaluar el grado de exposición que produce cada una.
Este conocimiento nos brinda opciones para abordar y resolver: algunas tan simples como usar un método de compilación diferente, otras tan complejas como aplicarlas a la cadena de suministro y a los equipos de desarrollo, y algunas pueden resolverse a través de un mecanismo y procesos operativos.
Sé que este momento de ‘epifanía’ sobre el estado de seguridad de tu producto suele provocar más dolores de cabeza que alivios, ya que suele traer un aluvión de nuevos problemas y lagunas y su tratamiento no facilita cumplir el cronograma ni aumentar los márgenes.
Mucho más fácil y divertido es cubrirse con la cálida manta de la bendita ignorancia y practicar gestos de sorpresa.
En mi opinión, este no es un privilegio que tengamos en las infraestructuras críticas y específicamente en la actual era de revolución. Luchamos por un mundo compartido, electrónico y autónomo: el ciberataque impedirá la revolución y supondrá un duro golpe al espíritu de progreso que todos disfrutamos anticipando.
Sé que la industria de la seguridad cibernética es consciente de estas necesidades y existen soluciones (estoy seguro de que pueden mejorar) para hacer precisamente eso: Evaluación de riesgos cibernéticos: mapear vulnerabilidades, encontrar violaciones de las políticas de seguridad, competencia con la ISO 21434 emergente, endurecimiento. problemas, mal rendimiento del cifrado e incluso identificación de toda la pila de software. La evaluación de riesgos se lleva a cabo para evitar incidentes y se deben dedicar las medidas adecuadas para lograr precisamente eso: evitar incidentes, no responder, evitar.
Para resumir, como me dijo el sargento primero mientras patrullaba por la base, y como descubrió ‘Ivar el Deshuesado’ en la última temporada de los Vikings: una sola grieta descubierta y puedes perder la fortaleza, perder la confianza de los gente y te encontrarás cenando con los dioses en Valhalla.
Por lo tanto, no supervises tus defectos y vulnerabilidades; el progreso comienza ahí; debes aceptarte a ti mismo (y a tu código no perfecto) tal como eres y esforzarte por mejorar.
Blog invitado Escrito por Eddie Lazebnik: aporta 15 años de experiencia cibernética, tanto en el sector público como en el privado y recientemente en una startup innovadora. Sirvió durante aproximadamente una década en el gobierno israelí y en organizaciones militares de seguridad cibernética. Poseer educación en administración de empresas, tener comprobada trayectoria de ejecución técnica y gran pasión por la tecnología y la innovación. Muy ilusionado con la revolución del IoT y concretamente en la industria de la Automoción: los vehículos conectados y autónomos. Actualmente lidera la actividad de estrategia y asociaciones estratégicas en Cybellum .