Lo que los CISO deben decirle a la junta sobre Log4j

Los ataques cibernéticos a las corporaciones ahora son un hecho común y cada vez más frecuente, lo que debería llevar a sus juntas directivas a tomar nota y reconocer la necesidad de aumentar la financiación y habilitar otras medidas de seguridad. Pero un reciente Informe de Gartner encuentra que el 88% de las juntas directivas ven la seguridad cibernética como un riesgo comercial, no un riesgo tecnológico, sin embargo, solo una fracción tiene un comité de seguridad cibernética dedicado a nivel de junta, lo que significa que la seguridad cibernética no se considera una función ejecutiva crítica.

Dado que Log4j atrajo mucha atención de seguridad en el último mes, es imperativo revisar no solo la conversación sobre el financiamiento de la ciberseguridad, sino también cómo hacer que la junta preste una atención más matizada a la ciberseguridad.

Log4j es una biblioteca de código fuente abierto que permite a los piratas informáticos ejecutar cualquier código en sistemas vulnerables o piratear aplicaciones que utilizan el marco Apache Log4j. La vulnerabilidad, también llamada Log4Shell, es de hecho un problema grave, tan grave que la Agencia Federal de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido orientación sobre cómo remediar Log4j. La Comisión Federal de Comercio (FTC) también dijo que emprender acciones contra las empresas que no toman medidas para proteger los datos de los consumidores de la exposición debido a esta vulnerabilidad.

El anuncio de la FTC parece enviar una advertencia a las juntas más que a los profesionales de la seguridad sobre la necesidad de que hagan su debida diligencia y se apropien corporativamente del impacto del riesgo. “Cuando se descubren y explotan vulnerabilidades, se corre el riesgo de pérdida o violación de información personal, pérdidas financieras y otros daños irreversibles. El deber de tomar medidas razonables para mitigar las vulnerabilidades de software conocidas implica leyes que incluyen, entre otras”, afirmó la FTC.

por lo que corresponde Los CISO para ponerse al frente de sus juntas directivas y explicar las implicaciones potenciales de la complacencia y la inacción. Es probable que la mayoría de las personas (incluidos los profesionales de la seguridad) experimenten fatiga por las brechas cibernéticas y se sientan inclinadas a restar importancia a Log4j como la falla del mes. Hacerlo sería peligroso e irresponsable.

Las juntas nunca quieren escuchar "No sé" o "No es mi responsabilidad" de su CISO. Y los CISO ciertamente no quieren presentarse ante la junta y dar la impresión de que un problema no está bajo control. Pero el Vulnerabilidad log4j requiere un nuevo enfoque que se base en un análisis integral del tiempo de ejecución para detectar, priorizar y remediar todas las instancias de las instancias de Log4Shell. Los CISO deben replantear esto como una oportunidad para elevar la postura de seguridad en su conjunto.

Cómo conseguir la participación de la junta en la importancia de Log4j
Un número creciente de CISO ahora presentar a sus juntas en una variedad de temas estratégicos porque la seguridad ya no se ve solo como una función tecnológica. La clave es hablar en términos sencillos y transmitir algunos puntos destacados. La primera es enfatizar que Log4j anida de manera lenta pero segura en las redes corporativas y es una de las vulnerabilidades de día cero más críticas en la historia reciente.

Los miembros de la junta no están interesados en los aspectos operativos o tácticos de la ciberseguridad; más bien, se centran en el impacto holístico del riesgo que plantea la vulnerabilidad.

Lo que también llamará la atención de la junta es que esta vulnerabilidad afecta a algunos de los las empresas de TI y los proveedores de tecnología más grandes del mundo, incluidos Amazon Web Services, Oracle, Cisco, IBM, Fortinet, VMware y otros.

Hay un despliegue generalizado de Log4j, desde dispositivos simples y cotidianos hasta vehículos espaciales de alta gama. La proliferación de Log4j es similar a la de las muñecas rusas; Las juntas deben ser conscientes de que las instancias de la vulnerabilidad pueden ocultarse con múltiples dependencias transitivas, lo que hace que la remediación sea igualmente compleja. Y lo que no saben les puede hacer daño.

Las juntas también deben entender que Log4j es un problema de seguridad complejo y creciente que promete estar presente en los próximos años. Los CISO deben explicar que no tomar en serio esta falla podría resultar en una violación de datos, pérdida de datos, pérdida de productividad y, en última instancia, pérdida de reputación.

Algunas preguntas clave que el CISO debe asegurarse de que se puedan abordar con la junta incluyen:

¿Quién es la(s) persona(s)/organización(es) responsable(s)?
¿Entendemos el verdadero impacto de esta vulnerabilidad en nuestra organización?
¿Tenemos visibilidad de todas las aplicaciones basadas en Java para poder medir el riesgo real y el impacto financiero?
¿Tenemos suficientes recursos desde la perspectiva de las herramientas y el talento para detectar, abordar y remediar las vulnerabilidades?
¿Se ve afectada la cadena de suministro y existen planes de contingencia?
¿Existe un plan de remediación? ¿Existe un plan de continuidad del negocio en caso de una interrupción?

En última instancia, la junta querrá saber cuál es el plan a corto plazo para abordar el problema inmediato. amenaza de Log4j, así como lo que se está haciendo a largo plazo para prevenir futuros ataques.

Además, asegúrese de que la junta entienda el panorama general. A medida que Log4jshell evoluciona como una vulnerabilidad y las organizaciones implementan contramedidas y mitigaciones para prevenir ataques, los actores de amenazas también están trabajando para encontrar soluciones alternativas y nuevos vectores de amenazas. El impacto de los actores de amenazas que obtienen acceso a su red no se puede definir claramente en este momento.

Log4j no es una simple vulnerabilidad. Está demostrando ser mutacional y las organizaciones deben estar preparadas para abordar esto si quieren mantenerse a la vanguardia y estar seguras. Dependiendo de la industria, el impacto puede variar desde la pérdida de datos hasta el ransomware, la pérdida de ganancias y los problemas de producción, por lo que los líderes de seguridad deben tener la financiación y los recursos que necesitan para hacer frente a esta vulnerabilidad.

Inteligencia de datos generativa

Lo que los CISO deben decirle a la junta sobre Log4j

Archivos informáticos - Singularity Hub

Es hora de reequilibrar la financiación hacia la Fuerza Aérea y la Fuerza Espacial

Información más reciente

Las baterías fabricadas en Europa podrían consumir un 60% menos de carbono que las chinas – Análisis – CleanTechnica

Xpeng anuncia expansión a Australia; Nombra a TrueEV como socio exclusivo – CleanTechnica

El aumento de la concienciación sobre las devoluciones de cargos y su impacto en los bancos

El casino Memecoin: invertir versus apostar

Immersed For Vision Pro le ofrece monitores virtuales adicionales

Jack Dorsey predice que Bitcoin superará el millón de dólares en 1