Seguridad cibernética: Cuidado con el factor humano – Análisis


Las recientes brechas importantes de seguridad de datos informadas en el sector público de Singapur durante el período de abril de 2018 a marzo de 2019 pueden haber expuesto el “punto débil” de la seguridad nacional de Singapur. Si bien es un multiplicador de fuerza, la tecnología no debería eclipsar el factor humano en la seguridad cibernética.

Por Edwin Hooi *

El 31 de marzo de 2019, el Primer Ministro Lee Hsien Loong convocó al Comité de Revisión de Seguridad de Datos del Sector Público. 

Posteriormente, el 15 de julio de 2019, esto fue seguido por la Nación Inteligente y la Oficina del Gobierno Digital (SNDGO) anunciando el lanzamiento de 13 nuevas medidas de ciberseguridad como parte de un marco común de ciberseguridad que adoptarán todas las agencias gubernamentales.

Si bien estos son los primeros pasos importantes en la carrera armamentista de seguridad cibernética, un desafío significativo que continuamente enfrentará el SNDGO y posiblemente todos los defensores de la seguridad cibernética en general, sería la tentación de ver el problema de la seguridad cibernética a través de una lente sesgada por la tecnología. También existe la noción de que la seguridad cibernética es en gran medida una cuestión técnica que puede abordarse con la mejor tecnología. El informe del Comité de Investigación (“COI”) sobre la violación de datos de Singhealth destacó que “las vulnerabilidades en los activos humanos pueden ser tan peligrosas como las de los sistemas de información”.

El error humano como factor clave

El 29 de enero de 2019, seis meses después de la violación de datos de Singhealth, los registros confidenciales de 14.200 personas que habían sido diagnosticadas con VIH fueron robados del Ministerio de Salud de Singapur (‘MOH’) y se filtraron en línea. En lo que puede considerarse un ataque interno “clásico”, el autor supuestamente había obtenido acceso a los registros confidenciales al explotar una relación personal con un médico de Singapur que había autorizado el acceso al registro de VIH del Ministerio de Salud.

En marzo de 2019, se informó que las credenciales de inicio de sesión comprometidas del personal de la agencia gubernamental de Singapur se filtraron y se pusieron a la venta en la web oscura.

Incluso en la violación de datos de Singhealth por la cual la Amenaza persistente avanzada (“APT”) estaba utilizando herramientas avanzadas de piratería, el COI concluyó que era muy probable que un correo electrónico de phishing, considerado por expertos para constituir una forma no maliciosa o inadvertida de ataque interno , condujo a la violación inicial de la seguridad de la red Singhealth.

Prima facie, el error humano o la negligencia fue un factor clave en todas las violaciones de datos mencionadas. El factor humano desempeñó un papel dominante por el cual la tecnología por sí sola no habría podido detener a los perpetradores.

La amenaza interna

Para ser cautelosos, algunas de las violaciones de seguridad de datos más graves hasta la fecha se han producido fuera de Singapur. Según el sitio web del Departamento de Salud y Servicios Humanos de los EE. UU., Ha habido 2,667 violaciones importantes de datos de salud que afectaron a más de 193 millones de personas en los EE. UU. Desde marzo de 2019 desde 2009. El 30 de julio de 2019, un importante banco de EE. UU., Capital One, sufrió una. Una de las mayores violaciones de datos hasta la fecha que resultó en la información personal de aproximadamente 100 millones de personas robadas por un ex empleado de uno de sus contratistas de computación en la nube.

Podría decirse que las violaciones de datos más perjudiciales serían la exfiltración de información de inteligencia estadounidense altamente clasificada por parte de Chelsea Manning en 2010 y por separado por Edward Snowden en 2011. Conocidos como “amenazas internas”, estos incidentes provocaron que el gobierno de los Estados Unidos luchara por contramedidas y precipitó el establecimiento. del Grupo de trabajo nacional sobre amenazas internas (NITTF).

Una amenaza interna se define como la posibilidad de que una persona interna dañe a una organización al aprovechar su nivel privilegiado de conocimiento y / o acceso. Las violaciones de datos por parte de Snowden y Manning son ejemplos claros de lo que se conoce como el ataque interno malicioso. La violación de datos del VIH en el Ministerio de Salud podría calificarse fácilmente como otro ejemplo de un ataque interno malicioso.

Una “amenaza interna” también no necesariamente puede ser impulsada por una intención maliciosa; Puede constituir una persona complaciente o ignorante sobre las políticas y procedimientos de seguridad. La falta de capacitación, por ejemplo, puede generar ignorancia o complacencia, lo que a su vez puede hacer que una organización sea vulnerable a las amenazas de seguridad. Estos se conocen como amenazas internas no maliciosas o inadvertidas.

Por lo tanto, en el caso de la violación de datos de Singhealth, los empleados que abrieron los correos electrónicos de phishing y sin darse cuenta allanaron el camino para la violación inicial en el sistema Integrated Health Information Systems Private Limited (“IHiS”), podrían considerarse no maliciosos o inadvertidos amenazas internas.

Importancia de la cultura organizacional

La cultura organizacional, en la que el factor humano también juega un papel dominante, fue una consideración clave en el informe de COI sobre la violación de datos de Singhealth. El informe destacó que el tratamiento retrasado de los problemas e incidentes de seguridad cibernética por parte del personal y la gerencia media de IHiS en su respuesta a incidentes a la violación de datos se atribuyó en gran medida a la cultura organizacional.

En el estudio de Amy Zegart sobre el tiroteo masivo en Fort Hood, Texas, en 2008, realizado por una fuente que mató a 13 e hirió a 43, concluyó que las debilidades organizativas dentro del Pentágono desempeñaron un papel importante que condujo a una serie de fallas en la prevención del tiroteo.

Zegart afirmó que la cultura y los procesos organizacionales inapropiados resultaron en una falla en el intercambio de información y una mala asignación de recursos que desperdiciaron múltiples oportunidades para detectar y frustrar el ataque. Llamó a estas debilidades organizativas “materia oscura que acechaba invisiblemente en el fondo”, que a menudo se pasaban por alto como factores contribuyentes en desastres pasados.

Otra debilidad organizativa era el “peligro oculto de las rutinas” que podría llevar a las personas en las organizaciones a seguir haciendo las cosas de la misma manera, aunque ya no fuera efectivo o apropiado frente a las nuevas amenazas y la evolución.

Caso para un enfoque holístico

Mientras se necesite la participación humana en aspectos clave de organizaciones o sistemas, el factor humano seguirá siendo el eslabón más débil de la seguridad cibernética. Con los usuarios humanos, invariablemente como expertos del sistema u organización, debido a su acceso privilegiado a sus organizaciones o sistemas, presumiblemente tendrán un conocimiento íntimo de las características de seguridad de su organización / sistema y, en consecuencia, sus vulnerabilidades.

En el contexto de la transformación de la cultura organizacional para combatir la debilidad organizacional y mitigar la amenaza interna, el sector público y el sector privado deben continuar sus esfuerzos para mantener a los empleados motivados y leales, para construir culturas inclinadas por la seguridad.

Dichas culturas son para promover la aceptación generalizada de los empleados ante la necesidad de la higiene de la seguridad cibernética e incentivar a los empleados a identificar y abordar posibles vulnerabilidades. Igualmente importante sería encontrar un equilibrio apropiado entre confiar en los empleados y estar al tanto de la posibilidad de amenazas de seguridad por parte de personas de adentro y de afuera.

Si bien las capacidades del software de ciberseguridad mejorarán continuamente con el avance de la tecnología, salvo el advenimiento de la inteligencia artificial totalmente autónoma (“AI”) como “Skynet” de la serie de películas “Terminator”, el factor humano sigue siendo crítico factor.

La efectividad del software solo será tan buena como la entrada de datos en ellos. La tecnología es indudablemente un multiplicador de fuerza crítico en cualquier sistema de seguridad, pero al final del día, es solo eso: un multiplicador de fuerza.

La vigilancia sostenida debe adoptar un enfoque holístico que incorpore medios técnicos y factores no técnicos. Entre estos factores se encuentran la mitigación de amenazas internas y el fomento de una cultura organizacional fuerte y saludable que se inclina por la seguridad. Todo esto seguirá siendo necesario para abordar las debilidades perennes atribuidas al factor humano en la seguridad cibernética.

Edwin Hooi es consultor certificado en Control de Sistemas de Información y Riesgos (CRISC). Ha prestado servicios a clientes en los sectores público y privado en gobernanza, gestión de riesgos y cumplimiento. Ex alumno de RSIS, es miembro fundador del comité ejecutivo de la Asociación de Antiguos Alumnos de RSIS.

Fuente: eurasiareview.com

Informes mario@c2csmartcompliance.com movil 77871152

Mario Meneses

mario@c2csmartcompliance.com

Saludos

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .