Para los ansiosos, que hay mucho por hacer en materia de higiene de ciberseguridad 🙌
Como compartimos en algún momento, a través de nuestro artículo sobre Seguridad por transparencia, el 2023 no fue la excepción sino que vimos aumentado el pedido de visibilidad entre clientes y proveedores. A todo nivel y tamaño, pero aún más desafiantes para aquellas empresas pequeñas, startups o medianas no acostumbradas a rendir cuentas.
<aside> ✅ Este año hemos realizado numerosos assessments de ciberseguridad, en donde sin importar la industria o el tamaño de la empresa, hemos identificado puntos en común que entendemos vale la pena mencionar:
<aside> 1️⃣ la gestión de activos sigue siendo muy desafiante. El “saber qué tenemos” no se logra controlar y eso impacta directamente en el riesgo de ciberseguridad, entre otros. Quizás tiene su correlación con el crecimiento de plataformas que buscan ayudar a gestionar la “superficie de ataque”. Un elemento interesante de higiene es el DNS, en muchos casos se lo deja abandonado 🗑️.
</aside>
<aside> 2️⃣ la cadena de suministro sigue siendo un elemento inmaduro en donde resulta difícil conocer cuántos proveedores se tiene, cómo gestionan la ciberseguridad, cuántos incidentes tuvieron y cómo notificarían los próximos. A su vez, en general no se encuentran cláusulas de ciberseguridad que permitan tener algo de transparencia entre cliente y proveedor ⛓️.
</aside>
<aside> 3️⃣ la seguridad del software es un aspecto que tuvo mucha relevancia para nuestros servicios, ya que hemos trabajado con muchas software factory e incluso colaboramos en la certificación de la primera empresa Argentina 🇦🇷 en tener el SSF certificado del PCI council. Sin embargo, tener control del software requiere un orden y documentación muy elevado, en este sentido, creemos que hay mucho camino por recorrer para identificar, gestionar y monitorear la lista de ingredientes del software (SBOM) 🥘.
</aside>
<aside> 4️⃣ ransomware everywhere 🔥 el 2023 no fue la excepción y el ransomware se ha industrializado y generó que muchas bandas nuevas consuman servicios y potencien el impacto en la industria. Todo tipo de empresa e individuo es un target para estas bandas, no importa si es un hospital, una base nuclear o una represa, todo es atractivo y está expuesto. Hay mucho por hacer para minimizar la amenaza en los programas de ciberseguridad, ya que el backup offline es indispensable, pero no se debe considerar la única medida, esa es la última opción.
</aside>
<aside> 5️⃣ there is not risk everywhere 🚦 un gran desafío es que los equipos de ciberseguridad entiendan los riesgos y sobre todo el negocio, ya que es indispensable priorizar los recursos y el esfuerzo en aquello que es realmente crítico y relevante. Iniciativas como el catálogo CISA son herramientas muy valiosas, pero nada reemplaza el involucramiento de un equipo de ciberseguridad en el negocio, en la silla del board. Si no hay board ni hay silla, al menos en tomar un café con quiénes lideran la empresa 1 vez al mes.
</aside>
</aside>
Dedicarse a la ciberseguridad es algo que requiere pasión y resiliencia, ya que es muy frustrante hacerlo sin que eso sea algo que disfrutes. Tienes que saber desde el primer minuto, que nunca vas a terminar tu trabajo, porque todos los días necesitas aprender algo nuevo, revisar lo que acabas de construir, monitorear todo y siempre estar alerta 🚨. Pero podemos decir que es una profesión maravillosa y que también te puede llenar de satisfacciones.
Se necesitan más personas que tengan ganas de enfrentar el desafío, si aún lo estás pensando, pasa a la acción 🚀 porque se necesitan más personas para #HacerLasCosasBien ⚡
<aside> 🤝 Si lo que compartimos en el blog te sirve, aceptamos un cafecito ☕. 👇
SECURETECH ⚡️ #HacerLasCosasBien | Cafecito
</aside>
Conoce más sobre SECURETECH⚡#HacerLasCosasBien www.linktr.ee/securetech_arg