No cree una línea de seguridad de datos maginot porque sin la seguridad cibernética usted sigue siendo vulnerable



Scott Nicholson

La seguridad de los datos y la seguridad cibernética se superponen, pero son diferentes, y existe el riesgo de que si se enfoca demasiado en la seguridad de los datos, podría quedar expuesto.

Protección de datos y ciberseguridad: la línea maginot.

Durante la década de 1930, los franceses construyeron un muro de defensa casi indestructible a lo largo de su frontera con Alemania. Estaba destinado a ser impermeable a casi cualquier forma de ataque, incluidos los bombardeos aéreos y los disparos de tanques. Teniendo en cuenta que este muro protegía a Francia de una posible invasión de Alemania, la nación se dejó vulnerable. El ejército alemán superó esta barrera invadiendo los países bajos: Holanda y Bélgica y atacando a Francia al pasar por alto la línea. Tal vez haya una analogía aquí con la protección de datos y la seguridad cibernética.

Recientemente, Information Age habló con Scott Nicholson, de Bridewell Consulting , y advirtió que “no importa qué tan fuerte sea la protección de la protección de datos, si las organizaciones no emplean también los controles de seguridad cibernética apropiados, entonces los controles de seguridad de datos pueden circunnavegarse fácilmente. … en determinadas situaciones.”

Parafraseando a él, el riesgo radica en que se deje llevar por una falsa sensación de seguridad.

Scott se ocupa de los servicios de entrega en Bridewell, y es un gurú en seguridad cibernética, pruebas de penetración, seguridad en la nube y privacidad de datos. “Están intrínsecamente vinculados, pero también se extienden en direcciones opuestas, mundos separados unos de otros”, dice. Él compara la relación entre la seguridad cibernética y la seguridad de datos con un círculo, se reúnen, se separan, se vuelven a encontrar.

“Necesitas los dos” dice Scott. El riesgo reside en un enfoque demasiado estrecho en la seguridad de los datos. Los atacantes pueden usar la seguridad cibernética deficiente para omitir cualquier control de seguridad de datos, sin importar lo bueno que sea ”.

La diferencia

“Seguridad de datos”, dice Scott, “se trata de tener medidas de seguridad adecuadas para los datos que está procesando”. Pero para lograrlo, existen varios requisitos previos, que son:

  • gestión de la información,
  • entender la importancia de los datos para usar un esquema de clasificación,
  • y cómo manejar esos datos en consecuencia.

Por el contrario, la seguridad cibernética es en parte sobre la protección de datos, pero “también se trata de proteger sus sistemas de varias amenazas cibernéticas. Hay un gran enfoque y un movimiento hacia la resistencia del negocio cibernético, y aceptar que ya no se trata de si te atacan, sino cuando te atacan “.

Luego se refiere al marco de seguridad cibernética del NIST , que describe cinco áreas en las que la seguridad cibernética debe centrarse en:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar

Lo sutilmente

La historia de la línea francesa de maginot no es tan simple como suele representarse. Los franceses y los británicos eran conscientes del riesgo de un ataque más allá de los límites de la línea y, hasta cierto punto, habían dispuesto sus fuerzas para cubrir este riesgo. Dejaron un punto débil en el bosque de las Ardenas, supuestamente difícil de atravesar para las tropas alemanas. Pero lo hicieron atravesar y Francia fue derrotada.

También hay una sutil interacción entre la seguridad de datos y la seguridad cibernética. Tome encriptación “una organización podría haber encriptado sus datos en una base de datos, pero si no están empleando controles de seguridad cibernética más amplios, como la autenticación de múltiples factores, o la capacidad de identificar enlaces de phishing, aplicando análisis antimalware, por ejemplo, de tal manera que la identificación del usuario y las contraseñas podrían verse comprometidas, luego los atacantes pueden pasar por alto todos los controles de seguridad de datos “.

Publicidad

GDPR

El Reglamento general de protección de datos ha marcado una gran diferencia, sugiere Scott. En virtud del artículo 30 de las organizaciones GDPR que requieren el procesamiento de datos personales, deben llevar un registro de sus actividades de procesamiento. “Creo que los profesionales de la seguridad han podido aprovechar GDPR para obtener presupuestos”, dice.

La realidad

¿Pero qué tan importante es este problema? La seguridad de los datos y la seguridad cibernética están claramente relacionadas, pero en el mundo real, ¿las organizaciones realmente ponen demasiado énfasis en una a expensas de la otra?

“Depende del tamaño de la organización”, dice Scott, “pero o son tratados como dos disciplinas diferentes o tiende a centrarse más en una a expensas de la otra”.

Tal vez el problema radique en las diferencias inherentes entre las dos, tal vez diferencias que requieren una mentalidad diferente.

Como explicó Scott: “La seguridad cibernética a menudo es más técnica y está enfocada en la resiliencia, mientras que la seguridad de los datos se refiere a cuestiones como el manejo de la información, el transporte y el cifrado.

Por lo tanto, la seguridad cibernética, por ejemplo, se centra en tener mitigación de DDOS en el sitio web de una organización. La seguridad de los datos se aplica, entre otras cosas, a los datos almacenados en papel.

“He trabajado en organizaciones del sector público que han sufrido una violación y he tenido que mejorar esas prácticas manuales, pero creo que hay un caso para la capacitación de concienciación, asegurándome de que hagan lo correcto con la información y cosas como no irse”. En su coche durante la noche. Si observa el registro de incumplimiento de ICO, la mayoría de los incumplimientos de las organizaciones del sector público a menudo se deben a la pérdida de papeleo o medios de comunicación “.

Así que eso es, por un lado, las pruebas de penetración y las medidas de mitigación de DDoS, el entrenamiento del personal para no dejar su maletín en el automóvil por otro lado: una mentalidad bastante diferente, una psicología bastante diferente, habilidades muy diferentes. Pero luego, la línea maginot con sus búnkeres de hormigón y los ferrocarriles subterráneos que unen la comunicación, fue bastante diferente del despliegue de tropas en la frontera de la Bélgica francesa. En el caso de la línea maginot, la lección de la historia es clara. En el caso de la seguridad de los datos y la seguridad cibernética, la lección se vuelve más clara, se necesitan ambas.

Bridewell Consulting proporciona consultoría de seguridad cibernética, una función de privacidad de datos, pruebas de penetración y servicios de seguridad administrados.

Fuente: www.information-age.com

Publicidad

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.