Cómo proteger a las organizaciones de los riesgos de la computación cuántica

La complejidad y los cambios experimentados por las organizaciones a medida que crecen son una de las razones por las que seguimos viendo riesgos de ciberseguridad similares a los de hace una década, según Jaya Baloo, CISO de Rapid7. Sin embargo, la computación cuántica es un riesgo emergente en el que podríamos mantenernos un paso adelante.

Hablando sobre ética en la seguridad de la información en la Conferencia de Ciberseguridad de Australia 2023, Baloo afirmó que el mercado australiano se ha despertado realmente ante los riesgos cibernéticos en el último año debido a una serie de violaciones de datos de alto perfil que han afectado a millones de australianos.

Baloo le dijo a TechRepublic que el mapeo proactivo de activos y vulnerabilidades, la consistencia en momentos de crecimiento organizacional y la planificación anticipada de riesgos como la computación cuántica podrían ayudar a los profesionales de la seguridad en Australia a salir de lo que puede parecer una "rueda de hámster".

Índice de Contenido
  1. Falta de comprensión total de los activos y vulnerabilidades de las organizaciones
    1. El crecimiento empresarial dificulta el control del riesgo cibernético
  2. La expansión multicloud está exacerbando los riesgos de seguridad de datos
    1. Armonizar las nubes para reducir la complejidad
  3. Los riesgos de la computación cuántica como una prueba de la proactividad de la industria
    1. Adelantarse al juego cuántico

Falta de comprensión total de los activos y vulnerabilidades de las organizaciones

Cómo proteger a las organizaciones de los riesgos de la computación cuántica - Seguridad | Imagen 1 Newsmatic

A pesar de hablar con las organizaciones sobre riesgos similares durante una década, Baloo afirmó que muchos aún se sorprendían cuando la falta de comprensión de los activos que poseían y las vulnerabilidades que había en esos activos los convertían en víctimas de un incidente de ciberseguridad.

"Todavía no tenemos una comprensión completa de nuestra huella, algo crítico para una empresa, y nos sorprendemos si tenemos una API expuesta, problemas con las credenciales que se vuelven abiertas o un conjunto de datos agregados para un modelo de aprendizaje de IA que estaba abierto para todos", dijo Baloo. "No es suficiente tener una remediación efectiva.

"Deberíamos conocernos a nosotros mismos, pero todavía no lo hacemos. Por ejemplo, no entendemos nuestras redes y sistemas, y no aplicamos los mismos estándares para los productos internos como lo hacemos para los entornos de prueba, lo cual deberíamos hacer, pero no lo hacemos".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Baloo también dijo que las antiguas vulnerabilidades estaban apareciendo en nuevos productos y nuevas pilas tecnológicas porque, como industria, "no hemos hecho muy bien eso de la seguridad por diseño".

El crecimiento empresarial dificulta el control del riesgo cibernético

Parte del problema es la falta de disciplina en la forma en que las empresas han crecido. Baloo dijo que esto lleva a que las empresas o los departamentos agreguen nuevos servicios, por ejemplo, o los eliminen, sin necesariamente documentar estos cambios o seguir un proceso exhaustivo.

Esto suele ocurrir cuando las empresas crecen mediante adquisiciones o se convierten en parte de una entidad más grande, lo que crea una falta de documentación sobre los activos externos e internos totales.

"No lo hacemos bien, no ejecutamos estos cambios de manera consistente", dijo Baloo.

Baloo dijo que las automatizaciones de gestión de superficie de ataque en forma de puntuaciones de riesgo de terceros tampoco siempre eran correctas al estimar lo que pertenecía a una empresa.

"Tenemos una visión externa de terceros imperfecta y una visión interna, que es la más importante", dijo Baloo.

Cómo proteger tu computadora de los virus: métodos y consejos

La expansión multicloud está exacerbando los riesgos de seguridad de datos

El crecimiento de la computación en la nube ha exacerbado el riesgo de que las organizaciones pierdan el control de sus activos y vulnerabilidades. Baloo dijo que la facilidad de crear activos en la nube, que a menudo no se eliminan, y los servicios ligeramente diferentes para el registro, la identidad y la supervisión, contribuyen a la complejidad general.

"La identidad, por ejemplo, se configura de manera diferente (en diferentes entornos de la nube), y eso es lo que se requiere para todo lo demás que hacemos", dijo Baloo. "Si no haces eso bien desde el principio y lo armonizas en diferentes pilas de la nube, puedes arruinarlo todo fácilmente".

Armonizar las nubes para reducir la complejidad

Las organizaciones deberían preguntarse qué están poniendo en la nube y por qué, dijo Baloo. Las operaciones de "levantar y mover" sin más, lo que implicaría simplemente "dejar caer viejas aplicaciones en otro lugar", incluso cuando se utilizan algunas características nativas de la nube, deben evitarse.

"En un entorno multicloud, debes preguntarte cómo armonizas los diferentes entornos de la nube que estás utilizando", dijo Baloo. "Deberías tener una línea de base para lo que deseas en diferentes plataformas, cómo se configuran, luego traer eso de vuelta a una supervisión centralizada o nativa. Necesitamos encontrar una forma de hacer esto sin que sea increíblemente complejo".

Si los datos se comparten entre nubes, Baloo dijo que TI necesita saber cómo se ve ese flujo.

"Incluso eso puede generar puntos de falla", dijo Baloo. "¿Cuáles son esos puntos desde un punto de vista topológico?"

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Los riesgos de la computación cuántica como una prueba de la proactividad de la industria

La computación cuántica es un área donde la proactividad podría poner a la TI por delante del juego. Con la primera computadora cuántica potencialmente a cinco o diez años de distancia, hay tiempo para invertir en la sustitución de los algoritmos de cifrado existentes antes de que sean obsoletos para la defensa frente a las computadoras cuánticas.

Baloo dijo que la pregunta que debería impulsar la acción es qué datos queremos proteger y por cuánto tiempo. Si las organizaciones australianas quieren poder proteger los datos de atención médica durante toda la vida de un paciente, o incluso intergeneracionalmente, Baloo dijo que la computación cuántica ahora significa "que no sabemos cómo hacer eso".

"La computación cuántica es un área que me preocupa que sea igual que la IA", dijo Baloo. "No se le dará prioridad como algo súper importante hasta que nos afecte. Está llegando, así que me gustaría ver que planeamos con anticipación. No seamos pollos sin cabeza cuando nos golpee".

Adelantarse al juego cuántico

La solución probablemente sea una combinación tanto de redes de comunicación cuántica, como las que se están desarrollando en China, como de algoritmos post-cuánticos, sugirió Baloo. Sin embargo, lo importante es tener suficiente tiempo para llevar a cabo la transición antes de que sea demasiado tarde.

"Somos malos con el cambio; somos terribles en eso", dijo Baloo. "Llevar a todos al mismo lugar y al mismo nivel de comprensión para invertir en esa transición será algo difícil de hacer. Pero si esperamos hasta que haya una computadora cuántica, entonces estamos perdidos".

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo proteger a las organizaciones de los riesgos de la computación cuántica , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.