La mayoría de las empresas con pequeños equipos de seguridad se enfrentan a los mismos problemas. Tienen presupuestos inadecuados, personal inadecuado y habilidades inadecuadas para enfrentar la avalancha actual de amenazas cibernéticas sofisticadas.
Muchas de estas empresas recurren a los CISO virtuales (vCISO) para brindar experiencia y orientación en seguridad. Los vCISO suelen ser antiguos CISO con años de experiencia en la creación y gestión de programas de seguridad de la información en organizaciones grandes y pequeñas.
La empresa autónoma XDR Cynet, un proveedor de una plataforma automatizada de protección contra infracciones y un servicio MDR incluso para los equipos de seguridad más pequeños, está realizando un seminario web con el conocido vCISO Brian Haugli para comprender los desafíos comunes que enfrentan los CISO con equipos de seguridad pequeños. [register here].
En la primera parte del seminario web, Haugli compartirá los cuatro riesgos fundamentales que son comunes en la mayoría de las empresas a las que ayuda. Luego discutirá los consejos más comunes que brinda en las empresas a las que sirve. Haugli también compartirá una situación en la que una empresa no reconoció los riesgos básicos de seguridad y las fallas resultantes.
Resumen
Los cuatro riesgos fundamentales más frecuentes
La mayoría de las pequeñas empresas creen que sus situaciones son únicas. Brain considera que esto también es cierto cuando se trata de ciberseguridad. Sin embargo, cuando conoce por primera vez a nuevos clientes CISO, descubre que la mayoría no ha abordado adecuadamente los mismos riesgos fundamentales.
Falta de control de acceso.
Muchas empresas no han abordado adecuadamente los privilegios de acceso administrativo ni han implementado los controles adecuados, como la autenticación multifactor. El uso inadecuado de los privilegios administrativos es la causa principal de los incidentes de seguridad.
Falta de visibilidad en todo el entorno.
Las empresas carecen de visibilidad en su entorno para poder detectar y responder a las actividades maliciosas que están ocurriendo, ya sea un empleado haciendo algo tonto o un actor malicioso haciendo algo con intención. No pueden decir que saben lo que está pasando, por lo que realmente no pueden prevenir nada malicioso.
Falta de seguridad del correo electrónico.
El correo electrónico sigue siendo una gran puerta de entrada para los atacantes. Sin embargo, muchas empresas no han abordado el riesgo del correo electrónico con los controles adecuados, junto con la conciencia y la educación continuas de los empleados.
Falta de formación en ciberseguridad para los empleados.
Relacionado con la seguridad del correo electrónico está que las empresas no dedican tiempo a la capacitación para ayudar a los usuarios a comprender el poder que tienen en sus computadoras portátiles y las responsabilidades que, por lo tanto, deben asumir. No se trata solo de capacitación basada en el cumplimiento, sino de educación y concientización continua real.
Consejos pragmáticos para los CISO
vCISO Haugli adopta un enfoque muy pragmático para comprender y abordar el riesgo. Encuentra que muchos CISO parecen congelados, creyendo que no pueden abordar los controles necesarios porque no tienen suficiente presupuesto para la tecnología requerida.
Haugli, sin embargo, muestra cómo las empresas pueden evaluar y abordar los riesgos sin necesidad de sistemas multimillonarios. A un alto nivel, la mayoría de los CISO podrían beneficiarse de un enfoque muy simple que no requiera «mucho impulso».
- No puedes defender lo que no sabes que existe. Comience poco a poco construyendo estructuras de gobierno básicas y catalogando el inventario, tal vez solo usando una hoja de cálculo de Excel.
- Una vez que tenga una disposición del terreno, defina los activos más críticos en toda la empresa. Si este sistema soporta una línea de ingresos de un millón de dólares, tal vez quiera poner controles diferentes a los de otros sistemas menos críticos.
- Luego determine cómo proteger cada sistema adecuadamente.
Regístrese en el seminario web aquí
