¡Cuida tu paso!

Evitar las peligrosas trampas del cumplimiento

No es ningún secreto que los Fortune 1000 CISO luchan con el cumplimiento, pero las trampas que alimentan la mayor furia no suelen ser las que tienen los reguladores (aunque los argumentos de los reguladores vienen en un segundo lugar). No, la batalla es a menudo interna, como pelear por la jurisdicción, con la Ley de Privacidad del Consumidor de California (CCPA), un conjunto de reglas de privacidad que no tiene requisitos de seguridad directos, y esa es la batalla.

O la angustia del CISO podría provenir del marketing, que amenaza una amplia gama de protecciones de privacidad y seguridad con software de seguimiento de actividades y anuncios que puede capturar involuntariamente todo tipo de PII y datos confidenciales. A veces se trata de batallas con proveedores externos, que no brindan las protecciones de seguridad y privacidad que dijeron que harían.

Y periódicamente los CISO luchan contra otros departamentos que contratan a terceros, confiando en ellos con datos críticos y sin molestarse en pedirle a la seguridad que realice la debida diligencia.

Las reglas de privacidad en estos días están recibiendo la mayor atención, ya sea CCPA, el RGPD de la Unión Europea o uno de los muchos nuevos proyectos de ley de privacidad propuestos, incluido un puñado activamente en el Congreso de los Estados Unidos. ¿Debería la privacidad ser parte del mandato del CISO?

Aunque algunas reglas de privacidad tienen pocos requisitos de seguridad específicos, existe el argumento de que impactan absolutamente la seguridad, ya que obligan a la compañía a brindar protección adicional a un subconjunto de datos corporativos. Eso, a su vez, obliga a diferentes decisiones de los analistas de seguridad.

Si una empresa cobra una prima por acceder a ciertas recetas de dulce de azúcar y un ataque libera todas esas recetas en la naturaleza, no hay exposición al cumplimiento. Puede generar un impacto en los ingresos, entregando una serie de desagradables programas del CFO y algunos ejecutivos de LOB, pero es probable que a los reguladores no les importe.

¿O lo harán? Si la infracción destacó los agujeros de seguridad, que podrían haber expuesto fácilmente datos confidenciales de PII o información de la tarjeta de pago, pero no lo hicieron, los encargados del cumplimiento aún pueden hacer muchas preguntas.

La mayor preocupación para el cumplimiento son las secciones de las nuevas reglas que reciben menos atención, como el hecho de que GDPR define las direcciones IP, que las compañías estadounidenses rara vez han tratado como especialmente sensibles, como PII, lo que obliga a que sean tratadas de la misma manera que un número de seguro social del cliente, historial de compras o número de tarjeta de pago.

Aanand Krishnan, director ejecutivo y fundador de Tala Security, señala una parte diferente de la CCPA poco discutida: un requisito para permitir que los consumidores autoricen agentes en su nombre.

De la CCPA: “Establecer reglas y procedimientos para promover los propósitos de las Secciones 1798.110 y 1798.115 y para facilitar la capacidad del consumidor o del agente autorizado del consumidor para obtener información de conformidad con la Sección 1798.130, con el objetivo de minimizar la carga administrativa sobre los consumidores, teniendo en cuenta tener en cuenta la tecnología disponible, las preocupaciones de seguridad y la carga sobre el negocio, para gobernar la determinación de un negocio de que una solicitud de información recibida por un consumidor es una solicitud verificable del consumidor, incluido el tratamiento de una solicitud presentada a través de una cuenta protegida por contraseña mantenida por el consumidor con la empresa mientras el consumidor inicia sesión en la cuenta como una solicitud de consumidor verificable y proporciona un mecanismo para que un consumidor que no mantiene una cuenta con la empresa solicite información a través de la autenticación de la identidad del consumidor, dentro del año posterior a la aprobación de esta título y según sea necesario a partir de entonces ".

Krishnan argumenta que la intención de esta disposición podría ser quizás permitir que un abogado represente a un gran grupo de consumidores que desean optar por no participar en alguna disposición. El problema es que la disposición no solo permite dicha representación, sino que requiere un mecanismo de autenticación específico para verificar tanto la solicitud del consumidor como para tener además un medio de autenticar a ese abogado como representante de una lista específica de clientes.

Y, sin embargo, pocas empresas han creado dicho mecanismo. Y si lo han hecho, ¿han facilitado la búsqueda, tanto para sus clientes como para un agente autorizado? ¿Hay alguna referencia destacada en la página de inicio para que ambos grupos la encuentren? ¿Aparece en un menú desplegable fácil de encontrar en cada página y está redactado de tal manera que quede claro lo que ofrece?

En cuanto a la autenticación, muchos de los métodos de autenticación más sofisticados, como la autenticación continua, utilizando múltiples medios biométricos (velocidad de escritura, errores por minuto, presión aplicada a las teclas, ángulo de sujeción del teléfono, etc.), están diseñados para autenticar una persona y luego otorgarles acceso a lo que sea accesible a través de su nivel de privilegio. La autenticación del agente es bastante sencilla, pero ¿cómo aplicar ese enfoque para otorgar acceso a potencialmente cientos de cuentas de clientes? Estas son preguntas que es probable que hagan los reguladores de California. No se trata simplemente de cumplimiento, sino de la creación de mecanismos para permitir el cumplimiento futuro.

Otra preocupación de Krishnan tiene que ver con los sistemas de seguimiento de sitios provenientes de Marketing, sin la aprobación ni del CISO ni del CIO. Dijo que le preocupa que los CISO "no estén prestando [suficiente] atención a los sitios web". A veces, Marketing utilizará programas de análisis de tráfico y actividad, como el software gratuito Google Analytics, para rastrear la información. Esto a menudo expone información de PII de los usuarios que completan formularios en línea. “La gente de marketing pone lo que quiere en el sitio web”, dijo Krishnan, y agregó que estaba investigando el sitio de un cliente y encontró “80 terceros en su sitio web. Habla con tu equipo de marketing y mira lo que están haciendo en el sitio web y te asustarás ".

Algunas sugerencias de Krishnan para minimizar el riesgo de estos invasores del sitio web: intente usar etiquetas de iframe HTML para proteger el contenido confidencial y ofrezca alojar su propia versión de Google Analytics (dígale a Google "Déme una copia y la serviré directamente" Krishnan sugiere) para que los datos aún se recopilen, pero no salgan de su sitio, lo que podría aplacar a los reguladores.

Esta exfiltración de datos no solo puede ser un problema para varios requisitos de privacidad, sino que también puede ser un excelente punto de partida para un ataque. PCI emitió recientemente un aviso sobre servicios de terceros, advirtiendo que este movimiento de marketing también podría poner en peligro el cumplimiento de PCI.

Decía: “Los servicios y productos de terceros deben revisarse para identificar el impacto en el alcance de PCI DSS de la organización. Se recomienda que las organizaciones prohíban los activos externos en las páginas que aceptan datos de titulares de tarjetas, ya que amplía el alcance del entorno de datos de titulares de tarjetas a cualquier entorno que aloje esos activos. Los proveedores del portal de contacto con el cliente son un
n ejemplo de proveedores de servicios externos que deben revisarse como parte del alcance de la organización. También se recomienda eliminar o deshabilitar complementos y servicios innecesarios. Es importante asegurarse de que los scripts de terceros que estén presentes en otras áreas del sitio web no puedan acceder a las páginas de pago u otras áreas sensibles”.

Nick Baskett, un consultor de cumplimiento con sede en el Reino Unido que sirve a varias empresas como oficial de privacidad de datos (DPO), dice que ve más problemas de cumplimiento de CISO derivados de problemas de comunicaciones de CISO.

“Los CISO aún no son buenos en comunicación. Es difícil para sus jefes o compañeros seguir sus consejos cuando no hablan el mismo idioma ”, dice Baskett. Como ejemplo, habló sobre un CISO con el que estaba trabajando que se negó a firmar una DPIA (evaluación de impacto de protección de datos) y se metió en una discusión interminable con cinco gerentes de proyecto que solo querían resolver el problema.

Lo que comenzó esta batalla fue que RR.HH. había retenido a un proveedor de nómina y RR.HH. nunca se molestó en lograr que Seguridad aprobara o ejecutara la debida diligencia para asegurarse de que la empresa de nómina tuviera mecanismos de seguridad adecuados. Resultó que el proveedor de la nómina no tenía mecanismos de seguridad apropiados, por lo que el rechazo de CISO a la solicitud de DPIA fue bastante legítimo.

Los vendedores de seguridad habían argumentado ante RR. HH. Que "tenemos grandes clientes, por lo que debe confiar en nosotros", un argumento que conquistó a RR. HH., Dijo Baskett. “¿Qué procesos tenían implementados? ¿Quién tuvo acceso? ¿Cómo lo controlaron? [Una vez que Security comenzó a probar] todo comenzó a desmoronarse ".

También hubo una dinámica política para el vendedor de la nómina, en el sentido de que el empleado que los contrató era un funcionario interno de la junta directiva.

En resumen, cuando el miembro de la junta aprobó, nadie más que el CISO se opuso.

Hasta aquí todo bien. El problema de comunicación era que los tres gerentes de proyecto no pedían que el CISO cediera y firmara el DPIA. Simplemente preguntaban qué necesitaba cambiar el proveedor de la nómina para cumplir con los requisitos de seguridad. Y, sin embargo, el CISO seguía repitiendo que no iba a firmar. Los gerentes dijeron: “No nos estás escuchando. No estas escuchando. ¿Por qué no nos escuchas? Esperamos salir en vivo en tres semanas. ¿Que necesitamos hacer? ¿En qué circunstancias podría cerrar la sesión? ”, Según Baskett.

Finalmente, alguien rompió el punto muerto de comunicación y el CISO propuso "una serie de hitos que deben hacer, incluido el envío de datos en vivo bajo ciertas circunstancias", dice Baskett.

La compañía le dio a la empresa de nómina algunos datos de prueba y se les dio un entorno seguro separado para ejecutar las pruebas. A la empresa de nómina también se le dijo que agregue una lista blanca a su firewall. Finalmente, el CISO aprobó el DPIA cuando se cumplieron sus condiciones, dice Baskett.

Otra preocupación de cumplimiento que mencionó Baskett, que es especialmente relevante para las empresas estadounidenses que se ocupan de las nuevas reglas de privacidad, es que algunos CISO se centran demasiado en el riesgo comercial, en comparación con el riesgo para los interesados, es decir, los riesgos de los clientes. Señaló cómo los CISO usan registros de riesgos.

“Veo estos registros de riesgo, con 30, 40 páginas de hoja de cálculo de Excel con rojo, rojo, rojo. La junta no sabe lo que eso significa. No puede evaluar el daño a la empresa sin evaluar también el daño a las personas. (Los riesgos individuales) deben tratarse en el registro de riesgos de una manera que la junta pueda comprender. Ejemplo: Nuestros servidores web tienen una vulnerabilidad que tiene este impacto y esta probabilidad. En lugar de enumerar muchos riesgos, simplemente enumere algunos riesgos y proporcióneles el contexto ”, dice Baskett.

Explica que algunos CISO tienden a tratar de decidir qué vale la pena arriesgar, pero llega un punto en que ese no es el llamado del CISO. En cambio, sugiere, los CISO deberían ir al consejo, presentar las opciones y las implicaciones asociadas, y dejar que el consejo descubra el apetito y la tolerancia al riesgo del consejo. Entonces el CISO puede tomar esas órdenes de marcha y tomar las decisiones apropiadas, dice Baskett.

Algunos argumentan que las reglas de cumplimiento tienden a ser demasiado prescriptivas o demasiado vagas. “Una de las cosas que me vuelve loco es la redacción generalmente muy ambigua que ponen en esto, como 'en un tiempo razonable'”, dice Anthony Meholic, ex gerente de seguridad de la información de JPMorgan Chase, ex CISO de Republic Bank y el actual director de seguridad (CSO) de The Bancorp Bank con sede en Delaware. Meholic dice que Bancorp Bank es el segundo mayor emisor de tarjetas de regalo de Estados Unidos, incluida la tarjeta de regalo Visa.

"La legislación está siendo redactada por personas que no están involucradas en esa área", dice Meholic. “CCPA inicialmente fue atroz. No fue escrito por nadie que estuviera en la industria. El contenido era un desastre ".

Es difícil para las reglas de cumplimiento ganar en las batallas específicas versus genéricas. Dado el gran número de empresas de diferentes tamaños y diferentes verticales que están sujetas a cumplimiento en tantos países, es casi imposible elaborar reglas específicas que sean apropiadas y justas para todos ellos.

La intención detrás de la vaguedad (sí, escritores de reglas, es una característica no un error) es dar a los reguladores en el campo flexibilidad para ver lo que ha hecho una empresa y por qué dicen que lo hicieron, y para tratar de tomar decisiones apropiadas como a si la empresa cumplió con la intención de la regla.

Dicho esto, es difícil para los CISO saber qué se supone que deben hacer cuando las reglas son tan vagas. Considere la regla de notificación de violación de datos del GDPR: "En el caso de una violación de datos personales, el controlador deberá, sin demoras indebidas y cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ello, notificar la violación de datos personales al supervisor autoridad competente de conformidad con el artículo 55, a menos que sea poco probable que la violación de datos personales suponga un riesgo para los derechos y libertades de las personas físicas ".

Suena como si estuviera configurando un horario específico (72 horas) para la notificación, pero quiere que el reloj comience a funcionar cuando el controlador (que es la empresa) se dé cuenta. ¿Cuándo se enteran Boeing o Walmart de algo? ¿Es cuando un analista de seguridad nota por primera vez una anomalía en el registro? ¿Cuándo se informa al CISO por primera vez de una posible infracción? ¿Cuando el CISO se convence de que se trata de una verdadera brecha? ¿Cuándo se le dice al CEO? ¿Cuando el CEO está convencido? ¿Quizás es cuando se le dice a la junta o la mayoría de los miembros de la junta se convence? La regla no ofrece sugerencias prácticas.

Aparte de la redacción, dice Meholic, su equipo trabaja con problemas de cumplimiento sin mucho dolor. En sus entornos de nube (AWS de Amazon y Microsoft Azure), por ejemplo, Meholic dice que la nube les emite su propia clave de cifrado, una de las cuales es diferente de cualquier otro inquilino de la nube. Y con AWS, Meholic negoció el derecho de Amazon a realizar pruebas periódicas de lápiz, que le informan a Amazon justo antes de comenzar. No se anuncia sin previo aviso, pero se anuncia casi sin previo aviso.

Pero Meholic dice que le preocupa en qué parte de la empresa se encuentra la responsabilidad principal de lidiar con las diferentes reglas de cumplimiento. Dice que preferiría que la CCPA formara parte de Cumplimiento. “Existe este tira y afloja dentro de la jerarquía corporativa de dónde debería sentarse. En un mundo perfecto, todo el cumplimiento debería estar en el grupo de cumplimiento ".

Otra preocupación es que la aplicación de la privacidad requiere una perspectiva muy diferente a la aplicación de la seguridad. Brian Rizman, socio de Edgile, una firma de consultoría de seguridad y cumplimiento. Rizman argumenta que los dos equipos deberían liberar a un especialista en un grupo para que trabaje en el otro grupo, una especie de versión privada de De
vSecOps (donde un especialista en seguridad está integrado en las unidades LOB). “Un oficial de privacidad debería formar equipo con seguridad”, dice Rizman.

Otros expertos señalan cuestiones de procedimiento más fundamentales. Shawn Fohs, director gerente de EY (anteriormente Ernst & Young) que lidera la práctica de respuesta cibernética y de privacidad de la firma consultora, dijo que su lista de deseos de cumplimiento para sus clientes es redoblar los esfuerzos para investigar a los terceros con los que trabajan. Además, Fohs dijo que todavía necesita que las empresas se concentren en obtener mapas de datos globales precisos, lo que significa tener un mejor manejo de la TI en la sombra.

En cuanto al desafío del mapa de datos, Fohs dice: “Sin duda, es uno de los aspectos más complejos. Todavía no saben lo que tienen y dónde lo tienen ".

Otra preocupación son los aspectos razonables de la aplicación del cumplimiento. Si una regla requiere algo que es imposible para la empresa cumplir, dijo Fohs, el CISO debe devolver la responsabilidad al regulador de cumplimiento para proponer algo viable, tanto desde una perspectiva de costos como operativa.

"Para que un regulador lo haga cumplir, [los reguladores] deben poder decir cómo esperan que se haga".

Richard Bird, el director de información al cliente de Ping Identity, dice que una de sus mayores preocupaciones sobre el cumplimiento de la seguridad es que los CISO, por diversas razones, están probando la seguridad mientras se limitan a sí mismos de manera tal que ningún cyberthief esté limitado.

Por lo tanto, se pregunta si tales pruebas ofrecen resultados realistas.

'' Los tecnólogos, con la mejor de las intenciones, pasan datos a las organizaciones de auditoría que han sido 'masajeados' o 'limpiados'. Los probadores de pluma se limitan solo a aquellas acciones que han sido predeterminadas, como terminar la prueba de pluma de inmediato si se acercan a un entorno de producción ”, dice Bird. “Los atacantes no reconocen ni respetan este tipo de comportamientos basados en el cumplimiento. Ningún cyberthief se ejecuta en la lista de cuentas y usuarios en un conjunto de muestra para encontrar una vía explotable. Desgarran cada parte de la pila de tecnología para encontrar con precisión lo que no se incluyó en la muestra ".

Bird sugiere usar un entorno de ensayo, pero que sea mucho más completo y realista de lo habitual.

"Cree un entorno de producción completamente realizado y luego déle una paliza", dice, sugiriendo un enfoque que es similar a un entorno de pruebas destructivas de ingeniería, así como a la escena de la ciudad fronteriza occidental falsa de Blazing Saddles.

Cuando se ejecuta la seguridad empresarial en 2020, un CISO debe inspirarse en cualquier lugar donde pueda hacerlo.

De la edición de febrero de 2020 de SC Media

Fuente: https://www.scmagazine.com/home/security-news/features/watch-your-step/

Inteligencia de datos generativa

Boletín informativo Fintech Nexus (2 de mayo de 2024): Bloqueo objetivo de fiscales federales por incumplimiento de sanciones y AML

Tesla, Saturno y el enigma del culto – CleanTechnica

Información más reciente

Revisión de Ride1Up Prodigy v2 – Probado por CleanTechnica – CleanTechnica

La demanda de energía de los centros de datos impulsa las discusiones sobre las ganancias del primer trimestre de las empresas de servicios públicos de EE. UU.

Ferrari confirma que el sucesor del 812 Superfast mantendrá vivo el V12 – Autoblog

Cómo las fintech pueden tener éxito en el campus y crecer con la Generación Z

Eventos de mayo de Pokémon GO

Nuevo director de operaciones para experto en eliminación de PFAS | Envirotec