Warren Buffet dijo una vez: "Solo cuando baja la marea descubres quién ha estado nadando desnudo". Puede cubrir una gran cantidad de pecados cuando los tiempos son buenos, pero las prácticas malas o inseguras quedarán expuestas cuando los tiempos sean difíciles.
El tiempo y la experiencia han demostrado cuán preciso ha sido este ingenio en el ámbito financiero, y ahora estamos viendo cómo puede ser cierto cuando se trata de la intersección de la seguridad de la información y COVID-19.
Desde el punto de vista de la seguridad de la información, los eventos actuales han provocado una "nueva normalidad" en lo que hacemos y cómo lo hacemos. La pandemia ha afectado a casi todos los aspectos de la seguridad de alguna manera, desde las operaciones de seguridad hasta la gestión de la seguridad, la planificación de la seguridad y más.
Algunas organizaciones, particularmente aquellas que han adoptado la agilidad operativa y los modos flexibles de prestación de servicios, han encontrado la transición relativamente fácil. Algunos incluso han derivado ventajas competitivas inesperadas. Otros, como los que tienen procesos operativos rígidos o dependen de estrategias menos resistentes, lo han encontrado menos.
Finalmente, cuando finalmente lleguemos a un estado "post-COVID", habrá tiempo suficiente para analizar lo que seguramente serán muchas lecciones aprendidas de las decisiones que tomamos hoy (y el legado de las decisiones que tomamos en los meses). y años previos a la actualidad).
Sin embargo, es probable que pasen muchas semanas o meses antes de que podamos llegar a esa retrospectiva sistemática y analítica. Sin embargo, aunque los datos tardarán en llegar, podemos extraer algunas tendencias, aunque todavía anecdóticas, basadas en lo que vemos en el mundo que nos rodea.
Hay lecciones que podemos aprender para informar cómo planeamos para el resto de esta crisis, y pueden informar las preguntas que hacemos cuando llegue el momento del análisis retrospectivo.
El paisaje de amenazas
La primera área para la exploración productiva implica cambios en el panorama de amenazas. Ahora, vale la pena decir que es temprano en el ciclo, y hay datos limitados sobre los impactos directos asociados con los cambios operativos que hemos realizado para acomodar las órdenes de "trabajo desde casa" y una mayor "externalización" de los servicios tecnológicos.
Debido a esto, es importante que estemos listos para adaptar o decir lo que observamos anecdóticamente a la luz de los datos que seguramente vendrán. Dejando de lado la advertencia, hemos visto surgir algunas tendencias preocupantes que son observables (aunque tal vez aún no directamente cuantificables) en lo que respecta al panorama de amenazas.
Hemos visto un
aumento de los ataques contra el sector sanitario. Estos van desde ransomware y phishing hasta ataques más sofisticados.
Si bien esto es obviamente horrible, dado que estas son las mismas instituciones que son responsables del tratamiento de la embestida de pacientes con COVID, es informativo porque nos da una idea de cómo operan los atacantes.
También hemos visto la aparición de ataques contra aplicaciones de videoconferencia: por ejemplo, participantes externos no invitados en conferencias (es decir, "bloqueo de zoom") junto con un flujo constante de vulnerabilidades de seguridad en plataformas de videoconferencia populares.
Estos hechos nos dicen dos cosas sobre la actividad de los atacantes que podrían ser más difíciles de ver en tiempos normales, proporcionando un marco de referencia diferente para observar cómo los atacantes han girado en respuesta a las nuevas condiciones comerciales.
Primero, los atacantes continúan usando eventos contextuales como forraje para campañas de ataque. Quizás esto no sea tan sorprendente en sí mismo, pero es valioso cuando se combina con la observación de que tienden a concentrar los ataques contra aquellas industrias que ya tienen sus manos ocupadas en medio de la crisis. Los atacantes persiguen a los vulnerables, y aprovechan el contexto para hacerlo.
En segundo lugar, muchos sostienen que el tamaño del objetivo aumenta la prevalencia de los ataques. Por ejemplo, cuando una gran población de usuarios emplea una herramienta determinada, el tamaño del objetivo aumenta. Una vez más, esto puede ser algo que parece obvio a primera vista, pero es notable observar que sucede, por ejemplo, ver ataques contra aplicaciones de videoconferencia que van de "casi inaudito" a "lugar común" en proporción a un mayor uso.
Darse cuenta de estos patrones no es exactamente ciencia de cohetes porque se esperaban desde hace mucho tiempo, pero ver el pivote frente a nuestros ojos lo deja mucho más claro.
BYOD y Cloud
Es interesante observar cómo las organizaciones se han adaptado a BYOD y a la externalización (por ejemplo, la nube). Incluso las organizaciones que históricamente han sido reacias a adoptar los servicios en la nube y permitir el uso de dispositivos propiedad de los empleados para fines comerciales en muchos casos han tenido que permitir una disminución de las restricciones para mantener la productividad de los trabajadores. Algunos han dicho que los cambios se traducen en la sentencia de muerte final para el perímetro de la red tradicional.
Es poco probable que veamos una eliminación completa del perímetro como resultado de las adaptaciones que hemos realizado en respuesta a las condiciones actuales. Sin embargo, la pandemia podría conducir a una erosión más rápida de la misma. Algunas organizaciones en el otro lado de COVID (lo que sea que parezca) podrían tener dificultades para volver a introducir restricciones en BYOD después de que los usuarios hayan adquirido el hábito y hayan desarrollado un gusto por usar sus propios teléfonos, computadoras portátiles y acceso a Internet para admitir sus trabajo.
Del mismo modo, las organizaciones que históricamente han sido reacias a migrar servicios o aplicaciones críticas a la nube, y ahora lo hacen por necesidad, pueden encontrar que la inercia funciona a favor de dejar esos servicios externos en lugar de devolverlos al perímetro tradicional. .
La razón por la que vale la pena pensar en estas cosas es que ahora puede ser un buen momento para recopilar información. Si ha estado preocupado por los impactos económicos o sobre los clientes de la nube y ha realizado una transición de emergencia a corto plazo ahora, recopile la información que pueda sobre el desempeño económico.
En situaciones donde los trabajadores anteriormente no podían usar sus propios dispositivos, pero ahora pueden hacerlo, a corto plazo, recopilen toda la información que puedan sobre su uso. Aproveche la oportunidad de aprender algo que potencialmente puede ayudarlo a decidir qué tipo de organización desea ser al otro lado de esta terrible situación.
Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente los puntos de vista de ECT News Network.
Ed Moyle, socio en
SecurityCurve, ha sido columnista de ECT News Network desde 2007. Su amplia experiencia en seguridad informática incluye experiencia en análisis forense, pruebas de penetración de aplicaciones, auditoría de seguridad de la información y desarrollo de soluciones seguras. Ed es coautor de Bibliotecas criptográficas para desarrolladores y colaborador frecuente en la industria de seguridad de la información como autor, orador público y analista.