Prevención de ataques a la cadena de suministro: mejores prácticas

Solarwinds y Kaseya le mostraron al mundo cuán peligrosos pueden ser los ataques a la cadena de suministro: cuando un actor en la cadena de suministro se ve comprometido, los efectos pueden ser devastadores para cientos de organizaciones en sentido descendente.

PrivSec Third-Party Risk explorará la amenaza continua de los ataques a la cadena de suministro y brindará consejos prácticos para reducir su exposición al riesgo.

Transcripción

Robert Bateman:

(cantando)

Hola, bienvenido de nuevo a PrivSec Focus Third-Party Risk. Hemos tenido un gran día hasta ahora al analizar la diligencia debida, la gestión de riesgos de los proveedores y ahora estamos en algunos temas de la cadena de suministro. Nuestra próxima sesión trata sobre las mejores prácticas para prevenir los ataques a la cadena de suministro. Me gustaría dar las gracias rápidamente a nuestros patrocinadores antes de pasar a nuestro moderador para esa sesión. Eso es ProcessUnity y Servicenow, y nuestro moderador para esta sesión es Cat Coode, quien es consultora de privacidad de datos y oficial de privacidad de datos fraccionados en Binary Tattoo. Le pasaré el turno a Cat ahora para esta sesión.

Cat Coode:

Muchas gracias, Roberto. Hola a todos. Buenos Dias. Buenas tardes, estés donde estés. Hoy, estamos hablando de lo que más estamos tratando de mitigar, que son los ataques. Por lo tanto, buscamos las mejores prácticas sobre lo que podemos hacer para prepararnos para los ataques, qué hacer cuando estamos en un ataque y, por supuesto, qué hacer si realmente sucede. Hoy tenemos un panel increíble. Así que voy a dejar que cada uno de ellos se presente. Comencemos con Vincent D’Angelo. ¿Por qué no nos hablas de ti?

Vincent D’Angelo:

Gracias, Gato. Buenos días, buenas tardes, buenas noches a todos. Así que soy Vincent D’Angelo como dijo Cat con CSC Digital Brand Services. Lidero alianzas sociedades y estrategia corporativa. He estado en la industria de gestión de dominios y protección de marcas durante 22 años. Estoy ubicado en el área metropolitana de Nueva York también. Entonces, cuando me pidieron que me uniera a este panel, mi enfoque se centrará más en cómo la seguridad del dominio, que es la seguridad en relación con cómo podemos mantener nuestros propios activos digitales centrales seguros y protegidos para que no se usen en ataques de phishing, así como como cómo sus marcas podrían verse comprometidas y atacadas a través de la suplantación de dominio. Así que gracias por la oportunidad y gracias a la audiencia por unirse también.

Cat Coode:

Muchas gracias. Nuestro próximo panelista es Marco Tulio.

Marco Túllo Moraes:

Hola a todos. Así que es un placer estar aquí. Entonces mi nombre es Marco Tulio. Soy de Brasil, soy el CSO de una empresa, una empresa justa en Brasil llamada OITI. Somos tecnología de identificación que trabaja con clientes a bordo para B2B para ver el tipo de negocio. Y soy responsable del programa de seguridad de la información y de cómo proteger a la organización, los diferentes negocios que tenemos y también a nuestros clientes.

Cat Coode:

Fantástico. Nuestra próxima, nuestra próxima catalizadora es Patricia Punder.

Patricia Punder:

Hola, mi nombre es Patricia Punder. Soy el propietario del bufete de abogados Punder. He estado trabajando en el campo de cumplimiento durante más de 14 años y en la privacidad ESG y otros pasos relacionados con DOJ, CGU y BI intrapol, etcétera. Y es un placer estar aquí con mis colegas e intentar dar algunas actualizaciones o consejos sobre las mejores prácticas con respecto a la cadena de suministro y los ataques cibernéticos. Muchísimas gracias.

Cat Coode:

Muchas gracias. Y por último, pero no menos importante, tenemos a Anu Kukar.

Anu Kukar:

Hola a todos. Gracias por tenernos aquí hoy. Vengo a vivir desde Australia, Sydney, Australia, y me apasiona llevar la diversidad a la tecnología y la cibernética. Soy yo mismo, un contador público que cambió de carrera y se unió a la seguridad cibernética. Y lo que voy a sacar a relucir en este panel de discusión de hoy es realmente evitar que las cadenas de suministro, lo he visto desde una perspectiva de consultoría y también lo he visto desde la industria. Así que mi experiencia es de 20 años, 10 de los cuales fueron en consultoría y 10 en la industria. Y quiero compartir las mejores prácticas que cubren varios dominios en torno a la gobernanza, el cumplimiento de riesgos, la seguridad cibernética y los datos.

Cat Coode:

Fantástico. Y creo que sabía que realmente lo tocaste allí. El ataque a la cadena de suministro puede significar muchas cosas en muchos lugares, y hay mucho que considerar. Así que tenemos una asombrosa amplitud de experiencia, como puede ver en este panel. Entonces, para comenzar, realmente quiero que cada uno de ustedes explique en su mundo desde su lente, lo que significa tener un ataque a la cadena de suministro. Así que volveremos a Vincent. ¿Qué significa eso para usted?

Vincent D’Angelo:

Entonces, desde mi punto de vista, supongo que la receta siempre incluye la confianza en una marca o plataforma y un grupo objetivo de empresas que están conectadas de alguna manera. Entonces, desde mi perspectiva, uno de los mayores riesgos sistémicos globales, por lo que aquellos que están asociados con el dominio y el ecosistema DNS, a menudo no se discuten. Sin embargo, cuando piensa en algunos de los puntos únicos de fallas con los proveedores de la nube y los registradores de dominios, los nombres de dominio esencialmente legítimos podrían convertirse en armas cuando esos proveedores son violados y ha sucedido donde la tecnología como blockchain y las billeteras criptográficas han dependido de estos registradores. infracciones y tienen efectos a lo largo y ancho.

La otra perspectiva desde mi punto de vista es sobre los nombres de dominio o la suplantación de dominio que se utilizan para apuntar no solo a la empresa en sí, sino también a sus socios, sus cadenas de suministro y, obviamente, como también hemos visto con los consumidores de COVID. Así que esa es mi lente. Cuando hablamos de ataques a la cadena de suministro.

Anu Kukar:

Gato, estás en silencio.

Cat Coode:

Por supuesto, porque una persona en algún momento. Sí, eso es maravilloso porque mucha gente no considera los ataques de dominio, ¿verdad? Mucha gente está buscando otros métodos de ataque. Así que es un muy buen vector para mirar. Marco, ¿y tú? ¿En qué piensas cuando dices ataque a la cadena de suministro? ¿En qué estás pensando?

Marco Túllo Moraes:

Sí, es interesante entender qué es el dominio, piénsalo. Es que tienes todas las empresas, todas las ideas del ecosistema que se está creando. Y al final del día, está poniendo otras compañías en su negocio. Entonces, estamos hablando de empresas que respaldan algún proceso, alguna tecnología que está dentro de su empresa y tal vez directamente a la línea de negocios principal o no, o alguna actividad de apoyo, pero están dentro de su entorno o conectados a su entorno, o accediendo a su datos y estas empresas, se pueden utilizar como un vector para cruzar la línea a su entorno. Esa es una de las principales cosas que pienso.

El otro es, por supuesto, el caso de SolarWinds, en el que tenemos algún producto, producto externo o solución externa que se utiliza en su entorno. Y esa es una de las cosas principales que quizás la energía, la industria de servicios públicos, la industria de infraestructura crítica se ha considerado por más tiempo [inaudible 00:08:21] las nuevas empresas y las aplicaciones de escala y las empresas G.

Entonces tenemos esta preocupación sobre la protección de su medio ambiente, porque está poniendo algo dentro de su subestación o plantas de energía y eso sería una gran preocupación. En este momento, la bandera de SolarWinds está encendida, en el caso que sucedió, ¿qué debería preocuparnos sobre cómo proteger estos entornos de esta cadena de suministro que está dentro de su empresa, que usted confió en ellos y no cree que de alguna manera fueron atacados? y luego [inaudible 00:09:00] algo en su entorno. Esas son las dos ideas principales que tengo sobre la cadena de suministro, los ataques de ciberseguridad.

Anu Kukar:

Estás en silencio otra vez.

Cat Coode:

Voy a dejarlo fuera ahora. Anu, ¿y tú? ¿Cuál es tu perspectiva? ¿Qué significa para usted un ataque a la cadena de suministro?

Anu Kukar:

Sí. Estupendo. Gracias. Creo que voy a tomar una perspectiva un poco diferente si nosotros… Creo que hay dos aspectos, pero lo que haré es tomar un ejemplo real. Con suerte, todos nosotros, ya que estamos saliendo de COVID, los viajes se reanudan. Y si pensamos en viajar, si tuviéramos que viajar, viajaríamos desde nuestra casa, llegaríamos al aeropuerto, paso uno. Tanto si vinimos en tren, autobús, Uber, Metro, etcétera, llegamos al aeropuerto. Realizamos control de maletas. Haríamos la autorización de seguridad. Probablemente iríamos a tomar un trago o comer algo, o tal vez ir de compras al aeropuerto. Entonces estaría abordando nuestro vuelo específico en las puertas correspondientes. Volaríamos a donde sea que necesitemos ir. Autorización de seguridad al bajar, control de pasaporte, etcétera, recoger nuestra maleta y viajar de nuevo. Vuelo estándar.

Y si miro ese tipo de pasos múltiples, si hubo un ataque cibernético, digamos en la organización que hace todo el control de equipaje, como todos esos diferentes, los minoristas en el aeropuerto son una organización, múltiples organizaciones. La autorización de seguridad generalmente es de una compañía diferente. El catering de la comida en el avión es de otra empresa. Donde recogemos nuestras maletas y facturamos nuestras maletas es una empresa diferente. Luego miras incluso el mantenimiento y la limpieza, empresa diferente. Entonces, en todo nuestro proceso de viaje, hay muchas organizaciones que se unen para hacer una gran experiencia de vuelo para nosotros.

Entonces, para mí, la forma en que pienso en los ataques a la cadena de suministro, me imagino ese tipo de proceso completo de tomar un vuelo, ¿y si hubiera alguien que atacara a la empresa que revisa nuestro equipaje? Bueno, no solo afectará su vuelo. Tendrá un impacto, no solo la aerolínea con la que vuela. Lo más probable es que afecte a todas las aerolíneas del aeropuerto. Entonces, para mí, ahí es donde entran los dos aspectos del ataque a la cadena de suministro. Un ataque cibernético es cuando estás impactando a todo el ecosistema. Y la mayor diferencia es, y vuelvo a los días de la tecnología, no es uno a uno, es uno a muchos. Entonces, al atacar a esa organización de control de equipaje, ha realizado un ataque, pero ha impactado a muchas organizaciones y ha afectado a muchas. Ese es mi ejemplo de la vida real de ataques a la cadena de suministro.

Cat Coode:

Excelente. Genial. Y Patricia, genial tenerte de vuelta. Entonces, ¿qué significa para usted un ataque a la cadena de suministro? Cuando alguien dice que hay un ataque a la cadena de suministro en su mundo debido a su experiencia, ¿qué significa eso?

Patricia Punder:

Bueno, lo que puedo decirte sobre esto es que el crimen está evolucionando. En el pasado, tienes estas películas occidentales, las nuevas en las que tienes dos tipos y se disparan entre sí. Ahora, si esta evolución del crimen, muchos piratas informáticos deciden, está bien, tienes una nueva forma de obtener dinero. Busquemos las vulnerabilidades de las empresas por dinero. Y son muy buenos para hacer eso. Los jóvenes están haciendo esto y usan el dinero criptográfico o empresas que no invierten mucho dinero en programas privados de datos. No invierta dinero en pruebas sobre las vulnerabilidades de los sistemas.

Entonces es una nueva forma de delincuencia, muy sofisticada, pero puedes hacerlo en tu casa, en tu casa, en tu habitación, tú que puedes tener 70 años o 21 años, y tienes un grupo de niños y ellos deciden, bien, hagámoslo. Y pueden hacerlo porque tienen el conocimiento y saben cómo evitar la aplicación porque saben cómo usar la tecnología y comprender la tecnología de una manera que nosotros no sabemos. Para ellos, es muy fácil buscar el iPad y decir: Oye, no hay instrucciones. Para mí, tuve mucho miedo con mi primer iPad. Estaba buscando destrucción, la guía. No hay guía. Para ellos es lo mismo con la tecnología.

Así es una nueva forma de obtener dinero, es un delito suave. Y creo que van a ver más y más en el futuro porque es muy fácil para este experto. Digamos así que no necesitan la universidad. Solo necesitan saber de tecnología y saben mucho para entrar en una empresa y parar todo y decir: “Está bien, quieres recuperar tus datos, dame dinero”. Y lo están haciendo en todo el mundo.

Entonces, es un asunto que los agentes de la ley necesitaban tal vez contratar a estos jóvenes, para enseñarles cómo prevenir estos delitos, para aprender con ellos. Porque sin eso, solo será cuestión de pagar, quiero que me devuelvan mis datos, denme el dinero y yo doy el dinero, creo dinero. Así puedo rastrear. Así que seguir el dinero no se aplica aquí. Así que necesitábamos usar a estos muchachos. Yo digo, tengan el lado derecho de la fuerza, los buenos hackers, que nos enseñen a saber prevenir esto.

Cat Coode:

Estoy totalmente de acuerdo. Y creo que tocamos muchos puntos realmente buenos aquí. Marco, dijiste infraestructura crítica. Y sabemos, sabemos que ahí es donde está el ransomware… El ransomware es extremadamente lucrativo como había dicho Patricia. No necesitas un título universitario para venir a esto. Solo necesitas un poco de conocimiento y algo de tiempo para entender esto. Puede descargar programas que hacen ransomware en línea.

Así que creo que, para mí, la verdadera lección aquí es que las empresas entiendan qué tan frecuente y fácil es para los atacantes entender el ransomware y, como destacó un nuevo jefe, todos los sistemas están interconectados ahora. Usted trae su cadena de suministro, trae a su tercero y dejan la puerta abierta en la parte trasera de su edificio seguro. Todos están adentro, y todos están haciendo daño. Entonces, realmente debemos ser muy conscientes de esto, especialmente de nuevo, la infraestructura crítica. Estamos viendo hospitales, estamos viendo servicios públicos, son los principales objetivos de estos ataques. Así que tenemos que ser muy, muy cuidadosos con eso. Entonces, nuevamente, hemos hablado sobre SolarWinds que surgió, por supuesto, porque es un gran ejemplo de un gran ataque a la cadena de suministro a gran escala. ¿Por qué creemos que esto está sucediendo más? ¿Y cuál creemos que es la raíz entre el ataque a la cadena de suministro? Anu, ¿qué te parece?

Anu Kukar:

Sí, creo que volviendo a mi aeropuerto de ejemplo de vuelo, creo que la razón por la que estamos viendo más ataques a la cadena de suministro es que ese esfuerzo y esa energía o que pueden irrumpir en uno en lugar de solo impactar en una organización de órganos y obligando a una organización al ransomware o pudiendo extraer datos o dinero a través de las cadenas de suministro, los delincuentes pueden maximizar y amplificar el efecto. En realidad, pueden apuntar a una empresa y tener un impacto múltiple y realmente, supongo, paralizar a varias organizaciones.

Así que creo que número uno, el máximo impacto amplificado. También creo que la forma en que el mundo ahora está interconectado y la forma en que la distribución de software, el desarrollo de productos, la forma en que hemos cambiado nuestra forma de hacer negocios supongo que realmente nos expone a este tipo de amenaza. Entonces, a medida que adoptamos nuevas tecnologías, intentamos algo diferente, surgen nuevos riesgos. Hemos cambiado nuestro modelo de negocio a nivel mundial. Entonces, estamos viendo un nuevo tipo de riesgo y ahora debemos gestionarlo. Esos serían mis dos, pero tengo muchas ganas de escuchar lo que el resto de mis panelistas piensan sobre esto.

Vincent D’Angelo:

Me complace comentar también sobre su tipo de analogía de estar en el aeropuerto y viajar. Una tecnología que no ha evolucionado mucho es el correo electrónico y el phishing, como todos sabemos, es el método de ataque preferido, aunque suene antiguo, es efectivo. Y creo que cuando se combina la confianza de una marca, especialmente con nombres de dominio que se consideran legítimos o un nombre de dominio que contiene una marca, es cuando se habla de la cadena de suministro y de tener una amplia gama de ataques y el impacto puede ser realmente fascinante. . Y creo que también se debe a la falta de conciencia.

Creo que cuando habla incluso para algunos de los CISO en la audiencia o los directores de cumplimiento, cuando hace una pregunta, ¿quién es su registrador de nombres de dominio? Esencialmente, ¿quién administra las llaves del reino? Eso es realmente lo que es porque creo que a menudo si alguien puede tomar su nombre de dominio legítimo, digamos streamyard.com y luego crear subdominios fraudulentos a la izquierda de stream yard. Así que login.streamyard.com., imagina el impacto que tiene. Entonces, todos los dispositivos de seguridad piensan que streamyard.com es un nombre de dominio legítimo. Sin embargo, a través de las tácticas de ingeniería social, pueden engañar a la empresa para que piense que es un dominio legítimo. Y ahí es donde comienzan los ataques en cascada.

También sabemos con la suplantación de identidad que hemos realizado una investigación en CSC, que analizó la cantidad de dominios falsos que están asociados con las marcas confiables y todos nuestros estudios apuntan a la conclusión de que siete de cada 10 nombres de dominio en Internet hoy son falsos Obviamente, tiene promedios en los que las marcas conocidas que son muy agresivas en la protección de sus marcas pueden tener una cobertura del 50%. Sin embargo, las marcas menos desarrolladas, especialmente en los mercados EPAC, por ejemplo, que recién están emergiendo, más del 95% son propiedad de terceros falsos. Básicamente, eso permite a estos terceros aprovechar esta tecnología de registro de dominios de correo electrónico de muy bajo costo para tener un amplio rango de ataques e impactos en la organización. Así que esa es mi perspectiva. ¿Y por qué está pasando? Las personas realmente no tienen la seguridad del dominio como un área importante que deberían cuidar.

Patricia Punder:

Y si me permite [idioma extranjero 00:20:51] lo siento, estaba hablando en italiano ahora. El núcleo de una empresa ahora es un departamento de cadena de suministro porque pueden subir o aumentar el precio del producto. Hay inflación en casi todos los países del mundo. Entonces, la cadena de suministro es un área muy sensible ahora. Necesitan comprar las piezas de repuesto, los productos para fabricar algo para vender a los consumidores. Esa es la razón por la que a los piratas informáticos les gusta atacar este departamento porque saben que este departamento será el departamento responsable de ahorrar dinero para la empresa. Tratan de negociar con los proveedores para disminuir el precio porque al final de la venta de fabricación, el precio sería igual o menor. Y los ingresos, sería genial para la empresa.

Por lo tanto, la cadena de suministro ha estado bajo mucho estrés con respecto a la necesidad de negociar con su proveedor. Si detiene el departamento de cadena de suministro, detenemos la empresa, detenemos la fabricación, detenemos las ventas. Así que los piratas informáticos son muy inteligentes al respecto. No quieren detener a su departamento de finanzas o su departamento de cumplimiento o el departamento de recursos humanos. Quieren parar tu empresa y como paras tu empresa? ¿Detener su producción y cómo detiene su producción? Detener el departamento responsable de adquirir cosas para fabricar algo. Esa es la razón por la que los piratas informáticos están aumentando y buscando este departamento.

Y estoy de acuerdo, son muy inteligentes. Y no se trata solo del dominio. Se trata del servicio de TI. Normalmente, las grandes empresas tienen un departamento de TI, pero algunas empresas dicen, no, no quiero tener uno internamente. Entonces piden un externo y quieren pagar un buen precio por el servicio. Entonces, el nivel de seguridad no es tan bueno y no tienen un buen programa de privacidad de datos. No tienen las políticas adecuadas con respecto a cómo continuar el negocio si hay una crisis, no tienen un comité de crisis que proteja una invasión, por ejemplo, qué hacer. Paren todo, paren todas las computadoras. ¿Cómo contactas con tus clientes, tus proveedores, etcétera?

Por lo tanto, es más una cuestión de invertir en un programa de privacidad de datos y también invertir en el servicio con respecto a las vulnerabilidades. tu contratas Tengo un amigo, tiene una empresa y ha sido contratado por la banca privada más importante [Brasil 00:24:02] para invadir sus sitios, para descubrir puertas traseras, para descubrir las vulnerabilidades. Y es un acuerdo. Y todos los meses lo ha estado haciendo en varios bancos y cada vez que puede descubre algo.

Cat Coode:

Creo que ese es un gran punto, Patricia. Sí. Gracias. Creo que todos tenemos este problema desde la perspectiva de la ciberseguridad es que somos un centro de costos. Nadie quiere poner dinero en seguridad y privacidad, todos quieren poner dinero en ganancias. Marco, como OSC, usted es responsable de las salvaguardas tanto técnicas como organizativas. Ahora sabemos que el trabajo remoto llegó para quedarse. Así que tenemos todo tipo de nuevos puntos finales para administrar. Entonces, parte de nuestra pregunta del millón de dólares de cómo prevenimos estos ataques, pero ¿dónde está una OSC? ¿Empieza a considerar agregar algunas de estas salvaguardas técnicas organizacionales para prevenir los ataques?

Marco Túllo Moraes:

Sí. Sí. Gran punto. Supongo que lo primero es entender el riesgo de apetito. Hemos visto mucha innovación en nuevas empresas, nuevas empresas y empresas que necesitan prevenirse, principalmente las grandes organizaciones, las corporaciones y están buscando soluciones. Y al poner eso dentro de su empresa, eso es lo principal. Entonces, ¿cuál es la tolerancia al riesgo y el apetito por el riesgo sobre ese entendimiento? Así que antes que nada, tenemos que buscar eso. Después de entender ese punto de vista, ¿qué debe hacer? Esa es tu pregunta. Así que tenemos muchas soluciones y herramientas diferentes, segmentación de red, microsegmentación. Podemos observar todos los controles tecnológicos implementados para entender como una mentalidad que poner alguna empresa o algunos productos dentro de su entorno, y si tiene acceso a operaciones críticas o datos críticos, debe comprender que podría ser un vector de problema potencial y debería manejar los controles, debe prevenir y ocuparse de eso.

Supongo que el único punto en el que estamos fallando es no solo en [inaudible 00:26:16] y en la evaluación de riesgos o la gestión de riesgos de terceros, sino en llamarlos a su paraguas. Tal vez pones una empresa más pequeña que la tuya y no tienen la misma capacidad que tiene tu empresa. Entonces, ¿cómo puede aprovechar su recurso para ayudarlos a proteger sus datos? Entonces, tal vez alguna tecnología, alguna consultoría de su equipo esté poniendo y realizando algunas evaluaciones de riesgo en [inaudible 00:26:54] tareas y poniéndose en sus manos para ayudarlos a estar más protegidos, no solo para presionarlos y decir, usted No están cumpliendo con esta divulgación de este lenguaje en el contrato, pero necesitan estar más protegidos porque queremos que quieran trabajar juntos. Así que golpeas la barra. Por lo tanto, elevamos el nivel de protección de nuestra organización.

Entonces creo que buscando estos puntos de vista, no solo de nuestro lado, sino que estamos hablando de todos. Así que es nuestro ecosistema. El ecosistema para su empresa, cómo podemos estar realmente preocupados por él y ponerlos a proteger y, en consecuencia, su empresa estará protegida.

Cat Coode:

Esos son grandes puntos. Anu, ¿y tú? ¿Qué opinas, qué hacemos para mitigar estos ataques?

Anu Kukar:

Mire, creo que haber estado en la industria y haber estado en organizaciones cuando esto sucedió en nuestro ecosistema, creo que uno de los aprendizajes que aprendí de eso. Y luego, a medida que pasé a la consultoría, el asesoramiento y la ayuda a las empresas a hacer esto, creo que todo se reduce realmente a la mentalidad que existe en torno a la industria de los viajes y los aeropuertos. Habiendo trabajado mucho con los viajes y el transporte, la mentalidad que tienen es que solo estamos tan seguros como nuestro eslabón más débil. Así que creo que hay algo fundamental que he visto en las organizaciones que realmente lo hacen bien. Hay una mentalidad en toda la organización.

Y luego, al mismo tiempo, realmente han analizado cómo la seguridad es parte del ciclo de vida de una cadena de suministro. Por lo tanto, incorpora un nuevo tercero, una cadena de suministro, los administra y los supervisa a medida que avanzan, y se asegura de tener los procesos y las reglas adecuados cuando sale de un tercero. Entonces, ese ciclo de vida para una cadena de suministro, un proveedor externo, ¿cómo se evalúa la seguridad antes de contratar a alguien? ¿Cómo estás las 24 horas del día, los 7 días de la semana, manejándolos y monitoreándolos? Y lo que es más importante, si decide salir o si los contratos llegan a su fin, ¿cómo protege sus datos? ¿Cuál es la seguridad? ¿Cómo asegurarse de que la puerta todavía no esté abierta? No le das las llaves de tu apartamento a Airbnb para cada persona y se mantiene igual y solo pueden tener duplicados. Lo retiras y te aseguras de que no tengan una copia y cambias tu candado con frecuencia.

Entonces, pensando en eso, creo que lo que realmente le diría a cualquiera que sea parte de este seminario web es pensar en cuál es la mentalidad de arriba hacia abajo. Y en segundo lugar, ¿cómo se asegura de que la seguridad se evalúe en cada etapa del ciclo de vida?

Cat Coode:

Es un consejo fantástico. Y Patricia, sé que te has referido a las políticas, así que tenemos un problema fundamental y no voy a llamar a nadie, pero conozco muchos clientes que descargarán un conjunto de políticas y luego las pegarán en una carpeta y buscarán, tenemos todas las políticas relevantes, pero en realidad nadie las personaliza, las socializa en su empresa. Entonces, en términos de prevención de ataques a la cadena de suministro, ciertamente necesitamos una política de respuesta a incidentes. Necesitamos un plan de respuesta a incidentes. ¿Qué podrían no estar considerando las empresas como parte de ese plan de respuesta a incidentes cuando se trata de la cadena de suministro?

Patricia Punder:

Bueno, mi primer consejo para todas las empresas con respecto a este tipo de ataques cibernéticos, limpiarán la casa. Mira tu casa primero. Luego, busca el [inaudible 00:30:36], porque a veces tienes muchas pólizas. Tiene un programa de privacidad de datos, tiene un DPO y tiene mucha capacitación, pero la forma en que se comunica es muy técnica y las personas dependen de su posición. Ellos no entienden. El gerente superior, el nivel C, necesitaban comprender que ahora los datos son oro. Necesitaban entender eso. Necesitaban poner esto en su ADN. De lo contrario, no son compatibles con el programa privado de datos y la política puede escribir todo lo que quieran. Pero si no comunicas, si no estableces campañas sobre privacidad de datos, sobre por favor no hagas clic en un enlace que no conoces… Ya sabes, guías muy breves. No haga clic en un correo electrónico que no conoce como Sra. Que tal vez provenga de Apple, pero no es de Apple, proviene de una marca hermosa o es una promoción sobre resorts. Lo necesita. No solo para desarrollar políticas y generar conciencia al respecto, necesitaba dar ejemplos reales sobre la vida.

Un día estaba dando una conferencia para el nivel C. Y les pregunto a todos: “¿Tienen niños en la escuela? Sí tengo. ¿Puedes acceder a ellos a través de tu teléfono móvil y sentarte a verlos vivos? Sí, podemos ver. Puedo ver a mi hijo ahora. Está en el jardín de infantes. Él está feliz.” Entonces les pregunto: “¿Saben dónde están?”. Están recopilando esta imagen y dónde están protegiendo esta imagen. Si no se ponen en esta imagen o venden esta imagen, o alguien está pirateando, ingresando la web oscura para el archivo de pedal, al final del directorio, el cumplimiento me contacta directamente y dice que fue una pesadilla, todos se comunican con las escuelas y preguntan sobre el programa de privacidad de datos.

Necesitas dar ejemplos reales sobre lo que pasó en la vida para que la gente entienda que es un problema. De lo contrario, tuvimos mucho bla, bla, bla sobre el cumplimiento y la gente no hará nada. Y al final, inversiones. Donde invertir en tecnología y protección, estás invirtiendo en la continuidad de tu empresa. Tienes que pensar en eso. No más sobre costos. Son solo datos.

Cat Coode:

Sí, y de nuevo, es un costo, pero vale la pena ese costo. Vicente, ¿y tú? ¿Qué deberíamos poner en ese plan? ¿En qué deberíamos estar pensando en el momento en que tenemos un ataque, tenemos una lista de cosas que se supone que debemos hacer? Ciertamente sé desde una perspectiva de dominio, ¿qué deberíamos estar mirando?

Vincent D’Angelo:

Sí. Primero que nada, Patricia y Anu, me encantan las analogías de que están hablando de poner la casa en orden y mantener la puerta principal cerrada. La analogía que a menudo me gusta usar es que los dominios y DNS son como la electricidad que alimenta nuestros hogares. A nadie le importa realmente hasta que es la final de la Liga de Campeones y tu conexión a Internet se corta porque no hay electricidad. Entonces, con los nombres de dominio, el acto de administrar el dominio es un centro de costos. Sin embargo, los nombres de dominio en DNS son el sustento de una empresa. Sitios web, correo electrónico, aplicaciones, VPN, su nombre, funciona con sus nombres de dominio y su DNS. Así que podría seguir hablando de este tema durante días, sin embargo, siempre me gusta mantenerlo simple. Investigue quién es su registrador de dominio. La empresa, tu empresa de gestión de dominios y seguridad DNS.

¿Tiene un enfoque de defensa en profundidad para proteger esos activos críticos, sus nombres de dominio, sus certificados, su DNS? El rumor del día, especialmente con el mundo de los seguros cibernéticos es MFA hoy. Usemos MFA. Todos sabemos que obviamente es una herramienta muy necesaria. Sin embargo, cuando se trata de proteger su nombre de dominio, cartera de DNS, comienza con MFA, pero se deben implementar absolutamente múltiples capas de seguridad. Así que los capturo como, los capturamos como la higiene y los controles asociados con su cartera de dominio principal. Entonces, cosas como dnsec demark, SPF, Dchem, bloqueos de registro de dominio.

Entonces, una vez que hayamos puesto la casa en orden, busquemos externamente, ¿cómo se abusa de su marca o nombre de la empresa en Internet mediante la creación de nombres de dominio fraudulentos, dominios falsos, subdominios falsos, etc.? Esos son algunos de los factores de amenaza en los que hoy confiamos en las primeras etapas de la mitigación de los ataques de ransomware que comienzan obviamente con el phishing y el compromiso del correo electrónico comercial, confiamos en las aplicaciones necesarias, el monitoreo avanzado de amenazas y la capacitación de concientización sobre el phishing, absolutamente críticos. Sin embargo, hay algunas cosas relacionadas con la seguridad del dominio que se podrían hacer para mitigar esencialmente algunos de esos riesgos iniciales asociados con esos ataques en cascada en la empresa. Así que espero no haberlo complicado demasiado, pero me concentraría en esas dos áreas.

Cat Coode:

Genial. Marco, ¿cómo preparas a tu equipo internamente con capacitación o tus planes y políticas de respuesta a incidentes? ¿Cómo preparas a tu empresa para un ataque?

Marco Túllo Moraes:

Sí, con respecto a estos temas del panel, debemos incluir a todos, no solo a nuestro equipo interno, los recursos internos que tenemos y, por supuesto, debemos considerar no solo a los equipos técnicos, sino a toda la empresa, están hablando del equipo legal. . Y están hablando del equipo de comunicaciones, el equipo de relaciones públicas y, por supuesto, la alta gerencia, pero debe practicar algunos escenarios que consideren situaciones externas, como estamos hablando de ataques a la cadena de suministro e incluir a esta gente en su planificación de escenarios o quizás algunos ejercicios de mesa o lo que sea que uses para probarlo. Entonces, es importante porque esta alineación, cuando algo sucede, ya tiene el camino a seguir y está probado y alineado para terceros, considere que está buscando el tercero de mayor relevancia para su ecosistema. Creo que ese es el punto principal de mi lado.

Cat Coode:

Genial. Así que he tratado de integrar algunas de las preguntas que están llegando. Preguntas asombrosas. Si los tiene, publíquelos. Tomando otra pregunta de la audiencia. Desde una perspectiva de costos en la mitigación de riesgos, ¿cómo está reevaluando la industria de seguros el panorama con respecto a los requisitos para la cobertura y, en última instancia, el costo de dicha cobertura? Anu, tienes experiencia en la industria de seguros, ¿qué piensas aquí?

Anu Kukar:

Sí, creo que este es realmente oportuno. La industria está pasando por una serie de cambios. Así que ciertamente ha habido [inaudible 00:38:36] lo que he visto en particular, siento que ha habido una especie de impulso real para ello y ahora ha habido una reevaluación de cuánto puede cubrir el seguro y dado el hecho de que ahora estemos en este entorno de, no es si ocurrirá un ataque cibernético, es cuándo ocurrirá. Entonces, ¿cuánto cubre esa póliza y cubre si ha decidido pagar y luego entra en las leyes de terrorismo contra el lavado de dinero? Entonces, desde mi experiencia, después de haber visto el tipo de cambio de regulación y las evaluaciones de seguros en torno a esto, siento que estamos en un punto de inflexión en el que todo se está reevaluando. Hubo un gran empujón, y ahora siento que es como, vamos a… Y puedo ver a Marco asintiendo mientras un evaluador dice, realmente ha cambiado. Entonces, eso es lo que diría allí de una mitigación de riesgos, creo que hubo un impulso inicial y ahora es algo así como, volvamos a evaluar. Y creo que son igualmente las organizaciones, pero igualmente la compañía de seguros va, volvamos a evaluar lo que ofrecemos y el valor que proporciona. ¿Y es sostenible para ellos?

Cat Coode:

Eso es fantástico. Sí. Patricia, esta pregunta está dirigida directamente a ti. ¿Cuáles ha encontrado que son las mejores prácticas con respecto a la capacitación? [inaudible 00:39:56] use la frecuencia usada anteriormente. ¿Qué opinas sobre capacitar a las personas en las mejores prácticas de privacidad y ciberseguridad?

Patricia Punder:

Bueno, cuando hablamos de privacidad de datos y cumplimiento y gobierno, CSG, normalmente somos representantes profesionales donde usamos muchos términos estadounidenses, términos muy técnicos que normalmente la gente no entiende. Entonces necesitábamos humanizar esto, tratar de explicarlos de una manera diferente. Entonces me encanta, y uso mucho esa metodología. Cuando explico sobre cumplimiento y explico sobre privacidad de datos, me gusta usar ejemplos reales. Por ejemplo, les hablé de, por favor busquen a sus hijos ahora y pregunten por la escuela, cómo están protegiendo la imagen de sus hijos. Si usas esa metodología, puedes hablar de ti o de alguien o de un caso que viste, o lo escuchas. Y luego construyes la historia sobre el tema y las personas, entiendes. Ese es el punto.

Y la forma en que te comunicas, es muy fácil para los técnicos hablar. La privacidad de los datos es una ley. No puede hacer clic en phishing. No puedes hacer esto. Jóvenes, ¿entienden? Pero la gente de más de 40, dices, “¿Qué diablos? ¿Que es esto?” Bueno. Por lo tanto, debe usar el idioma de acuerdo con la forma en que la gente lo entiende, como historias, etcétera. Hay un libro, un libro muy antiguo, pero es del fundador de Ted, es cómo brindó capacitaciones usando esa metodología. Y uso este libro hasta hoy y con respecto a cuántos aprendices, todo el tiempo, la gente ya no mira el mensaje. Entonces, por favor, departamentos de cumplimiento, no envíen mensajes sobre un cumplimiento. Ellos borran. Hice una prueba en una empresa en la que trabajo. Ellos borran. El 80% borra sin mirar.

Así que intente pensar fuera de la caja, coloque ventanas emergentes cuando las personas inicien sesión en la computadora con su hermosa frase, tome en cuenta sus datos. Es un mal ejemplo, pero puedes ser gracioso. Si haces clic en que te retienen, por ejemplo, pones en peligro a tu empresa, algo así. Trate de ser más… Preguntar a la gente sobre el ejemplo, poner a la gente durante el entrenamiento y decir algo que te pasó? Un día pregunté durante un entrenamiento y un tipo muy sencillo me dijo: “Tengo un equipo de fútbol que ayuda a la gente pobre. Y mi blog fue hackeado”. soy una persona sencilla No sé cómo hacer eso, pero mi hijo está controlando el bloqueo y nos explicó, y uso este ejemplo en varios entrenamientos sobre ¿por qué? Porque todo el mundo está conectado ahora. Gente que entiende de tecnología y gente que no la entiende. Así que necesitábamos encontrar un término medio sobre cómo comunicarlo. No uses palabras técnicas. No les gusta… [diafonía 00:43:39] Sí.

Cat Coode:

Sí. Así es.

Patricia Punder:

Sí. Tener más empatía con las personas acerca de la tecnología.

Cat Coode:

Y encuéntralos en su nivel. Conozca a las personas en el nivel en el que quieren que las conozcan para hablar con ellas.

Patricia Punder:

Y sé divertido.

Cat Coode:

Y sé divertido. Sé siempre gracioso. Solo nos quedan un par de minutos y quiero obtener uno más para llevar de todos. Sin embargo, una cosa que no escuché mencionar fue una gran cantidad de recuperación ante desastres y continuidad comercial. Así que asegúrese de copias de seguridad, copias de seguridad, copias de seguridad. Tiene un ataque de ransomware y tiene una copia de seguridad. Puede deslizarse allí, no más ataques de ransomware, pero asegúrese de tener planes de continuidad comercial y recuperación ante desastres que, nuevamente, no son solo una hoja de papel en algún lugar de un archivador. Es algo que has probado. Es algo que sabes que funciona. Tienes esa voltereta. Así que captura las increíbles ideas de todos. Una lección que alguien podría tomar hoy y poner en acción que los ayudaría a mitigar y lidiar con los ataques a la cadena de suministro. Vicente, ¿qué te parece?

Vincent D’Angelo:

Sí, así que no pude resistirme. Así que Patricia mencionó la analogía del fútbol, pero diremos la analogía del fútbol mundial, ¿no? Así es, los juegos se ganan en los juegos de fútbol de medio campo, en mi opinión, así como en el fútbol americano, es la línea ofensiva y defensiva. Ahí es donde se gana el juego. Mi único consejo es que no confíes exclusivamente en el ser humano para resolver el problema del phishing. Somos el eslabón más débil. Hay medidas proactivas que la empresa podría tomar hoy que podrían convertirse en parte de la caja de herramientas de mitigación de phishing. Asegure sus nombres de dominio y manténgase al tanto de qué tan malos están hablando de usted y registrándose sobre usted en el dominio, en el ecosistema DNS. Así que eso es todo lo que tengo de mi parte.

Cat Coode:

Genial.

Vincent D’Angelo:

Gato, gracias.

Cat Coode:

Gracias. Marco, ¿y tú? ¿Cuál es tu comida para llevar de hoy?

Marco Túllo Moraes:

Sí, planteamos el punto, Cat. Así que creo que lo principal de los riesgos como, es cómo pensar estratégicamente en el trabajo previo de cómo estar preparado. Entonces, BCM es muy importante, pero debe considerar BCM como una perspectiva del punto de vista estratégico. Entonces, ¿qué debemos hacer si solo confía en uno en un proveedor de nube, y si eso falla, qué debemos hacer? O si solo tiene un software grande e importante dentro de la empresa, eso es lo principal que sostiene nuestra organización. ¿Qué debemos hacer si tienen una falla en eso? Y lo mismo para un incumplimiento o lo que suceda en el evento de la cadena de suministro. Entonces, ¿cómo debemos reaccionar?

A veces tenemos un plan, pero es solo esperar y una manera de ver el impacto y establecer el servicio, o pensar en cómo se va a hacer en caso de una brecha y cómo podemos reaccionar para poner otro en su lugar y poder seguir operando y seguir trabajando y brindando el servicio y los productos a sus clientes. Así que piense estratégicamente sobre todos esos riesgos en los ataques a la cadena de suministro.

Cat Coode:

Genial. ¿Anu?

Anu Kukar:

Así que diré que la comida para llevar será una ventaja. Es uno enlazado con otro. Así que ya he dicho el uno, que es mirar inmediatamente a su organización e ir como parte de seguridad de la incorporación, gestión y salida de cualquier cadena de suministro, tercero. Así que creo que es una verificación realmente fácil que cualquiera puede hacer. Al hacer eso, una de las cosas comunes que encuentro que la gente dice es: “No tenemos suficientes personas. No tenemos suficiente personal de seguridad cibernética. Hay una escasez de habilidades a nivel mundial”. Y mi conclusión clave será que probablemente no le guste lo que encuentre cuando vaya y haga esas comprobaciones a lo largo del ciclo de vida y parte del desafío será: “Tenemos escasez de habilidades. Necesito más gente”. Entonces, mi punto clave es por qué no tratar de ofrecer una oportunidad, ir y hablar con alguien en gobernanza, riesgo de cumplimiento [inaudible 00:48:09] preguntarles si están interesados en unirse a la cibernética o desarrollar su carrera, no lo hacen. tienen que darse por vencidos y cambiar de carrera por completo, pero en realidad pueden aportar mucho conocimiento de la cadena de suministro, y usted puede mejorar sus habilidades en seguridad. Y ahí tienes Tienes una situación en la que todos ganan.

Cat Coode:

Fantástico. Esa es una gran sugerencia. Y Patricia, ¿cuál es tu camino hoy para la gente?

Patricia Punder:

Todos olvidaron que el comité de crisis es obligatorio en todos los programas de cumplimiento, y este comité de crisis ahora puede incluir el programa de privacidad de datos y la cadena de suministro de cumplimiento, recursos humanos, TI, son miembros y necesitaban tener reuniones todos los meses. Necesitaban hablar sobre jugar BAC. Necesitaban comprender el nivel de riesgo que implica su negocio en todos los aspectos, incluida la privacidad de los datos y saber qué hacer cuando sucede algo malo. ¿A quién llamas? Necesitamos un experto externo. No solo tenemos los datos en los servidores, los tenemos en las nubes, necesitábamos mejorar el comité de crisis porque el comité de crisis ahora es alguien que, está bien, sucedió una crisis, ¿qué hacer? Oh, ten un papel aquí. Así que no necesitas crear cosas nuevas. Tienes que tener las respuestas. Es solo una cuestión de implementar un hacer por el libro. Como nos dijo Vincent, sí, los seres humanos, ustedes son el eslabón débil en lo que respecta a la privacidad de los datos.

Vincent D’Angelo:

Patricia, solo un pensamiento. Pusimos en marcha las ruedas en términos de los planes de gestión de crisis que tenemos implementados, así como eso, asesoramos a nuestros clientes. Tenga un método de respaldo para el correo electrónico, porque todos piensan que el correo electrónico estará en funcionamiento constantemente. Si hay un ataque a su dominio en DNS, su correo electrónico dejará de resolverse. Y muchas personas en sus planes de gestión de crisis no piensan en eso. Es algo así como la electricidad que alimenta tu hogar. Siempre va a estar ahí. Tenga métodos de comunicación de respaldo y múltiples capas, porque a menudo, durante la gestión de crisis, desea tener acceso para poder comunicarse con sus pares y seguridad y legal, etcétera. Muy bien, gran punto, Patricia-

Patricia Punder:

Y Vincent, una cosa a veces es genial, creas una crisis, una crisis falsa para ver si tu comité de crisis está funcionando bien.

Vincent D’Angelo:

Derecha.

Cat Coode:

Absolutamente.

Patricia Punder:

Sí, como seguridad-

Cat Coode:

Todo el mundo debería ser… [interferencia 00:51:04]

Patricia Punder:

… así que creas tu crisis para entender si tu política, tus procedimientos, toda la tecnología involucrada está funcionando bien.

Cat Coode:

Sí. Y cualquier persona que ejecute IOT o edificios inteligentes, también tenga copias de seguridad para su acceso y sus puertas y todo lo demás que funciona también eléctricamente y en la cadena de suministro.

Quiero agradecer mucho a todos los de este panel por su conocimiento y su tiempo. La gran conclusión, ciertamente que estoy viendo, es que vale la pena el tiempo y el dinero o la inversión de tiempo y dinero en su empresa para prevenir estos ataques. La forma en que se asegura de no tener un ataque en la cadena de suministro es tomarse el tiempo, Marco usó la palabra estrategia, proponga las estrategias, cree su comité de crisis, cree sus planes de manera adecuada, implemente la tecnología adecuada y asegúrese de que realmente ha mitigado los ataques para que no tenga que lidiar con eso cuando suceda.

Gracias de nuevo a todos. Espero que disfrutes el día con PrivSec hoy y nos vemos la próxima vez.

Vincent D’Angelo:

Bueno.

Patricia Punder:

Salud.

Robert Bateman:

Muchas gracias a Cat y al panel. Esa fue una gran sesión. Algunos consejos realmente prácticos y prácticos para prevenir ataques a la cadena de suministro. Un tema que lamentablemente no está perdiendo relevancia en el campo de la seguridad con los ataques recientes, siempre de muy alto perfil, siempre llenos de ejemplos de cosas que van mal en la cadena de suministro. Así que ahora tenemos un descanso de siete minutos. Cuando regresemos, tendremos una presentación de nuestro amigo en Servicenow, rápido, inteligente y conectado. Un enfoque renovado para la gestión del riesgo de terceros. Te veré de vuelta aquí a las dos y media, hora del Reino Unido para eso.