Preguntas y respuestas con el jefe de tecnología de Dashlane: cómo pueden los líderes de seguridad abordar las principales causas de las violaciones
Los errores humanos causan el 55 % de las violaciones de datos y el aprovechamiento de las vulnerabilidades causa otro 21 %. Mientras los equipos de seguridad trabajan diligentemente para mitigar estos riesgos y proteger los datos de su organización, una nueva ola de riesgos puede complicar sus esfuerzos a medida que los ciberdelincuentes se adaptan, aparecen nuevas tecnologías y el prespuesto de seguridad no crece en consonancia.
Frédéric Rivain, jefe de tecnología de Dashlane durante casi una década, dice que con el tiempo aparecerán nuevas vulnerabilidades y desafíos para los equipos de TI.
«Hemos progresado mucho en la protección de los sistemas y de las personas en línea en los últimos años, pero al mismo tiempo nuestro uso y dependencia de los sistemas informáticos ha aumentado, por lo que los riesgos y las necesidades han aumentado en paralelo», dice Rivain.
Siga leyendo para saber cómo cree que los líderes de seguridad deben abordar sus mayores retos de seguridad de forma más proactiva y qué es lo que le da esperanza para el futuro.
P: Ser reactivo en lugar de proactivo en lo referente a la seguridad ha contribuido a crear muchas violaciones. ¿Qué es lo que puede ayudar a los líderes de seguridad a cambiar a una postura más proactiva?
FR: En primer lugar, se trata de asegurarse de tener en cuenta lo básico. La mayoría de las veces, la seguridad tiene que ver con el sentido común y con seguir las prácticas recomendadas, en lugar de obtener la tecnología más reciente. Algunos ejemplos:
- ¿Se han aplicado el SSO y la MFA en todos sus sistemas críticos? ¿Están emparejados con un administrador de credenciales implementado en toda la organización para complementar y cubrir todos los demás servicios que usa su organización?
- ¿Forma a sus empleados regularmente sobre seguridad y riesgos, asegurándose de aumentar su consciencia sobre temas como el phishing, la privacidad de datos, la fuga de datos, la ingeniería social y otros?
- ¿Ha definido un modelo de amenaza que identifique riesgos para su empresa? ¿Los revisa, les da prioridad y los aborda de forma consistente con sus partes interesadas?
Una vez que haya tenido en cuenta dichos fundamentos, está ya en una buena posición para empezar a ser proactivo y elevar el listón en sus prácticas de seguridad. Por ejemplo, si ha estado usando la 2FA push, piense en cambiar a WebAuthn y a la biometría en el dispositivo o incluso a claves de seguridad de hardware para su población privilegiada, como los administradores de TI y los ingenieros.
P: La falta de visibilidad de los riesgos basados en credenciales es un reto importantísimo. ¿Qué pueden hacer los líderes de seguridad para abordarlo?
FR: Solo se puede mejorar lo que se mide. Dicho de otra forma, como líder de seguridad hace falta monitorizar y comprender el comportamiento de los empleados. Esta conducta no solo está relacionada con el trabajo, porque los empleados también usan sus dispositivos de trabajo para uso personal. Su salud de credenciales es la suma de estas conductas.
Dashlane le ofrece las herramientas para identificar de forma proactiva dichas conductas con la Detección de riesgos de credenciales, que forma parte de nuestra extensión web. Ofrece a los administradores de TI monitorización en tiempo real de las credenciales de los empleados, además de informes y registros de actividad completos. Esto es importante porque incluso si un empleado usa activamente el administrador de credenciales de su lugar de trabajo, puede que tenga malos hábitos de los que no se es consciente. La función es válida incluso para empleados que no usan Dashlane.
¿Quiere adelantarse a las amenazas de credenciales con herramientas de seguridad de credenciales proactivas que se puedan configurar, olvidar y en las que se pueda confiar? Más información sobre cómo comenzar.
P: Se habla mucho de cómo la IA está aumentando los riesgos de ciberseguridad. ¿Qué sugiere que hagan las organizaciones para defenderse?
FR: A corto plazo, veo dos riesgos principales relacionados con el uso malicioso de la IA:
- Ataques de phishing más sofisticados y personalizados, impulsados por la IA. El contraataque es pasar a credenciales que no sean susceptibles de phishing, como las claves de acceso. Dashlane es compatible con claves de acceso en todas las plataformas e incluso ofrece una solución sin contraseña maestra para que los consumidores sean más resistentes al phishing.
- Fuga de propiedad intelectual o de datos a través de herramientas de IA. Este riesgo es difícil de mitigar porque hoy en día es muy fácil crear una cuenta personal en una plataforma como ChatGPT y comenzar a alimentarla con datos laborales privados. Adelántese: elija la plataforma de IA que examinará su organización. Forme a sus empleados en ella y anímelos a usarla. Esto hace que sea cómodo para los empleados usar herramientas de IA aprobadas en lugar de plataformas de IA de TI en la sombra.
P: ¿Cómo pueden las organizaciones crear una cultura de seguridad en la que los empleados sientan que desempeñan un papel clave en la seguridad?
FR: Todo el mundo es responsable de la seguridad de la compañía. Cualquier empleado puede convertirse en el eslabón más débil y en el origen de un incidente de seguridad. Esto debe ser un recordatorio constante, desde el director general hasta toda la organización, y reforzarse con formación y ejercicios regulares, como simulaciones de phishing. También se puede ilustrar el impacto de los incidentes de seguridad compartiendo lecciones de violaciones que le hayan pasado a la competencia.
Como líder de seguridad, su papel es configurar las salvaguardas de seguridad y las protecciones estructurales que minimicen el riesgo de que los empleados cometan errores. Por ejemplo, si un empleado no necesita acceder a datos confidenciales específicos sobre clientes para trabajar, no le dé acceso a ellos. Este principio de «privilegio de acceso mínimo» le garantiza limitar el riesgo y la exposición, en caso de que el empleado sufra un pirateo.
P: Siempre aparece algún nuevo titular amenazante sobre riesgos de seguridad o violaciones. ¿Qué le da esperanza sobre el estado de la ciberseguridad hoy y mañana?
FR: Si me permite la comparación, la ciberseguridad es como la salud. Se trata de la salud digital, en lugar de la salud física. Con el tiempo, hemos podido descubrir vacunas y curas, y hacer que la humanidad tenga mejor salud en general. Es un viaje largo, por desgracia con retrocesos y nuevas enfermedades, pero en general hemos progresado.
La ciberseguridad es igual. Los sistemas y los humanos suelen estar más protegidos en línea hoy en día que antes, pero los riesgos y las necesidades también han aumentado. Así que nos queda mucho trabajo por delante para que nuestra vida digital goce de un estado más saludable.
De cara al futuro, el viaje hacia un futuro digital más seguro requerirá resiliencia, adaptabilidad y colaboración. Al invertir en medidas proactivas hoy mismo, ya sea a través de prácticas de seguridad básicas, administración de credenciales o educación sobre seguridad, todos haremos del lugar de trabajo y de la industria un lugar más seguro.
A medida que los equipos de seguridad, los empleados y los líderes se centran en la vigilancia y la responsabilidad, podemos elevar constantemente el listón y construir un mundo digital donde la seguridad y la confianza sean la norma y los riesgos se vean minimizados. El camino hacia un ecosistema digital más saludable y seguro puede ser largo, pero cada paso que damos adelante nos acerca más a él.
Proteja el presente y el futuro digital de su organización con seguridad de credenciales proactiva. Más información sobre cómo comenzar hoy mismo.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane
