Bienvenido a CISO Corner, el resumen semanal de artículos de Dark Reading diseñados específicamente para lectores de operaciones de seguridad y líderes de seguridad. Cada semana, ofrecemos artículos recopilados de toda nuestra operación de noticias, The Edge, DR Technology, DR Global y nuestra sección de comentarios. Nos comprometemos a brindarle un conjunto diverso de perspectivas para respaldar el trabajo de poner en práctica estrategias de ciberseguridad para líderes de organizaciones de todas las formas y tamaños.

En esta edición de CISO Corner:

Las corporaciones con cibergobernanza crean casi 4 veces más valor

Por David Strom, escritor colaborador de Dark Reading

Aquellos con comités especiales que incluyen a un experto cibernético en lugar de depender de la junta directiva en pleno tienen más probabilidades de mejorar la seguridad y el desempeño financiero.

Las empresas que han hecho el esfuerzo de seguir directrices para una mejor gobernanza de la ciberseguridad crearon casi cuatro veces su valor para los accionistas en comparación con aquellas que no lo han hecho.

Esa es la conclusión de una nueva encuesta realizada conjuntamente por Bitsight y el Diligent Institute, que midió la experiencia en ciberseguridad en 23 factores de riesgo diferentes, como el presencia de infecciones de botnets, servidores que alojan malware, certificados de cifrado obsoletos para comunicaciones web y de correo electrónico y puertos de red abiertos en servidores públicos.

El informe también encontró que tener comités de la junta separados centrados en riesgos especializados y cumplimiento de auditoría produce los mejores resultados. "Las juntas directivas que ejercen la supervisión cibernética a través de comités especializados con un miembro experto en ciberseguridad, en lugar de depender de la junta completa, tienen más probabilidades de mejorar sus posturas generales de seguridad y su desempeño financiero", coincide Ladi Adefala, consultor de ciberseguridad y director ejecutivo de Omega315.

Más información: Las corporaciones con cibergobernanza crean casi 4 veces más valor

Relacionado: Con las prohibiciones de TikTok, ahora es el momento de la gobernanza operativa

Incluso los ciberprofesionales son estafados: dentro de un ataque de vishing en la vida real

Por Elizabeth Montalbano, escritora colaboradora de Dark Reading

Los atacantes exitosos se centran en la manipulación psicológica de las emociones humanas, razón por la cual cualquiera, incluso un ciberprofesional o un experto en tecnología, puede convertirse en víctima.

Todo comenzó con una llamada telefónica alrededor de las 10:30 a. m. de un martes desde un número de teléfono móvil desconocido. Estaba trabajando en mi computadora en casa y normalmente no respondo llamadas telefónicas de personas que no conozco. Por alguna razón, decidí dejar lo que estaba haciendo y atender esa llamada.

Ese fue mi primer error en una serie de varios que cometería durante las siguientes cuatro horas, durante las cuales fui el víctima de una campaña de vishing o phishing de voz. Al final de la terrible experiencia, había transferido casi 5,000 € en fondos de mi cuenta bancaria y en Bitcoin a los estafadores. Mi banco pudo cancelar la mayoría de las transferencias; sin embargo, perdí 1,000 € que había enviado a la billetera Bitcoin de los atacantes.

Los expertos dicen que no importa cuánta experiencia tenga en conocer las tácticas que usan los atacantes o experiencia para detectar estafas. La clave del éxito de los atacantes es algo más antiguo que la tecnología, ya que radica en manipular aquello que nos hace humanos: nuestras emociones.

Más información: No contestes el teléfono: dentro de un ataque de vishing en la vida real

Relacionado: Los piratas informáticos norcoreanos atacan a los investigadores de seguridad, otra vez

Mitigar el riesgo de terceros requiere un enfoque colaborativo y exhaustivo

Comentario de Matt Mettenheimer, director asociado de asesoramiento cibernético, práctica de ciberseguridad, S-RM

La cuestión puede parecer desalentadora, pero la mayoría de las organizaciones tienen más capacidad de acción y flexibilidad para hacer frente al riesgo de terceros de lo que creen.

El riesgo de terceros presenta un desafío único para las organizaciones. A primera vista, un tercero puede parecer digno de confianza. Pero sin una transparencia total sobre el funcionamiento interno de ese proveedor externo, ¿cómo puede una organización garantizar que los datos que se le confían estén seguros?

A menudo, las organizaciones restan importancia a esta pregunta apremiante, debido a las relaciones duraderas que tienen con sus proveedores externos. Pero la aparición de proveedores de cuarta e incluso quinta parte debería incentivar a las organizaciones a proteger sus datos externos. Haciendo debida diligencia de seguridad adecuada sobre un proveedor externo Ahora debe incluir averiguar si el tercero subcontrata datos privados de clientes a más partes posteriores, lo que probablemente hagan, gracias a la omnipresencia de los servicios SaaS.

Afortunadamente, existen cinco pasos sencillos y listos para usar que brindan una hoja de ruta inicial para que las organizaciones mitiguen con éxito el riesgo de terceros.

Más información: Mitigar el riesgo de terceros requiere un enfoque colaborativo y exhaustivo

Relacionado: Cl0p reclama el ataque MOVEit; Así es como lo hizo la pandilla

El gobierno australiano duplica su apuesta por la ciberseguridad tras importantes ataques

Por John Leyden, escritor colaborador de Dark Reading Global

El gobierno propone regulaciones de ciberseguridad más modernas y completas para las empresas, el gobierno y los proveedores de infraestructuras críticas en Australia.

Las debilidades en las capacidades de respuesta a incidentes cibernéticos de Australia quedaron al descubierto en septiembre de 2022. Ciberataque al proveedor de telecomunicaciones Optus, seguido en octubre de un ataque basado en ransomware al proveedor de seguros médicos Medibank.

Como resultado, el gobierno australiano está elaborando planes para renovar las leyes y regulaciones de ciberseguridad, con una estrategia proclamada para posicionar a la nación como líder mundial en ciberseguridad para 2030.

Además de abordar las lagunas en las leyes de delitos cibernéticos existentes, los legisladores australianos esperan enmendar la Ley de Seguridad de Infraestructuras Críticas (SOCI) de 2018 para poner un mayor énfasis en la prevención de amenazas, el intercambio de información y la respuesta a incidentes cibernéticos.

Más información: El gobierno australiano redobla sus esfuerzos en materia de ciberseguridad tras importantes ataques

Relacionado: Los puertos australianos reanudan sus operaciones después de una perturbación cibernética paralizante

Una guía del CISO sobre materialidad y determinación de riesgos

Comentario de Peter Dyson, director de análisis de datos, Kovrr

Para muchos CISO, “materialidad” sigue siendo un término ambiguo. Aun así, deben poder discutir la materialidad y el riesgo con sus directorios.

La SEC ahora exige que las empresas públicas evaluar si los incidentes cibernéticos son “materiales” como umbral para denunciarlos. Pero para muchos CISO, la materialidad sigue siendo un término ambiguo, abierto a interpretaciones basadas en el entorno de ciberseguridad único de una organización.

El núcleo de la confusión en torno a la materialidad es determinar qué constituye una “pérdida material”. Algunos consideran que la materialidad impacta el 0.01% de los ingresos del año anterior, lo que equivale aproximadamente a un punto básico de ingresos (lo que equivale a una hora de ingresos para las corporaciones Fortune 1000).

Al probar diferentes umbrales con respecto a los puntos de referencia de la industria, las organizaciones pueden obtener una comprensión más clara de su vulnerabilidad a los ciberataques materiales.

Más información: Una guía del CISO sobre materialidad y determinación de riesgos

Relacionado: Prudential presenta un aviso de incumplimiento voluntario ante la SEC

La bonanza del día cero genera más ataques contra las empresas

Por Becky Bracken, editora senior de Dark Reading

Según Google, los adversarios avanzados se centran cada vez más en las tecnologías empresariales y sus proveedores, mientras que las plataformas de usuario final están teniendo éxito en sofocar los exploits de día cero con inversiones en ciberseguridad.

En 50 se explotaron un 2023% más de vulnerabilidades de día cero que en 2022. Las empresas se están viendo especialmente afectadas.

Según una investigación de Mandiant y Google Threat Analysis Group (TAG), adversarios sofisticados respaldados por estados-nación están aprovechando una superficie de ataque empresarial en expansión. Las huellas que consisten en software de múltiples proveedores, componentes de terceros y bibliotecas en expansión brindan un rico coto de caza para aquellos con la capacidad de desarrollar exploits de día cero.

Los grupos de delitos cibernéticos se han centrado especialmente en el software de seguridad, incluido Puerta de enlace de seguridad de correo electrónico de Barracuda; Dispositivo de seguridad adaptable de Cisco; Ivanti Endpoint Manager, Mobile y Sentry; y Trend Micro Apex One, añadió la investigación.

Más información: La bonanza del día cero genera más ataques contra las empresas

Relacionado: Los atacantes aprovechan los errores de seguridad de Microsoft para evitar el día cero

Poner la solución de seguridad en la agenda de la sala de juntas

Comentario de Matt Middleton-Leal, Director General para EMEA Norte, Qualys

Los equipos de TI pueden resistir mejor el escrutinio ayudando a su junta directiva a comprender los riesgos y cómo se solucionan, además de explicarles su visión a largo plazo para la gestión de riesgos.

Es posible que los directores ejecutivos del pasado no hayan perdido el sueño acerca de cómo su equipo de seguridad aborda CVE específicos, pero con CVE para errores peligrosos como Apache Log4j Al no estar parcheados en muchas organizaciones, la remediación de la seguridad ahora está en la agenda de manera más amplia. Eso significa que a más líderes de seguridad se les pide que proporcionen información sobre qué tan bien están gestionando el riesgo desde una perspectiva empresarial.

Esto lleva a preguntas difíciles, particularmente en torno a los presupuestos y cómo se utilizan.

La mayoría de los CISO se sienten tentados a utilizar información sobre los principios básicos de seguridad de TI (la cantidad de problemas detenidos, actualizaciones implementadas, problemas críticos solucionados), pero sin compararlos con otros riesgos y problemas comerciales, puede ser difícil mantener la atención y demostrar que un CISO está cumpliendo. .

Para superar estos problemas, tenemos que utilizar comparaciones y datos de contexto para contar una historia sobre el riesgo. Proporcionar cifras base sobre la cantidad de parches implementados no describe la enorme cantidad de esfuerzo que se dedicó a solucionar un problema crítico que ponía en peligro una aplicación generadora de ingresos. Tampoco muestra cómo se desempeña su equipo frente a otros. Básicamente, desea demostrarle a la junta directiva cómo se ve bien y cómo continúa cumpliendo con el tiempo.

Más información: Poner la solución de seguridad en la agenda de la sala de juntas

Relacionado: Lo que le falta a la sala de juntas: los CISO

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation