¿Cómo pueden ayudar a su empresa estas iniciativas de seguridad australianas?
Tabla de contenido:
En los últimos años, las organizaciones australianas se han enfrentado a una ola cada vez mayor de ciberamenazas, subrayada por filtraciones de datos de alto perfil y ciberataques sofisticados. Esta preocupante tendencia pone de relieve la necesidad crítica de medidas sólidas de ciberseguridad. Ingrese al Centro Australiano de Seguridad Cibernética (ACSC) Ocho esenciales y el Departamento de Educación, Habilidades y Empleo (DESE) Marco de ajuste adecuado al riesgo (RFFR).
Estos sirven como piedra angular para la defensa de la ciberseguridad, reforzando las iniciativas del gobierno albanés destinadas a mejorar la ciberresiliencia nacional. Sin embargo, pueden verse como un complemento y no como un reemplazo de la norma internacional ISO 27001.
Comprender los marcos
Los Ocho Esenciales son un conjunto de estrategias destinadas a proporcionar una postura básica de ciberseguridad para las organizaciones. Estos están diseñados para mitigar diversas amenazas cibernéticas, enfatizando la importancia de medidas proactivas como control de aplicaciones, parches, restricción de privilegios administrativos, autenticación multifactor (MFA) y copias de seguridad periódicas.
Según Edward Farrell, director ejecutivo y consultor principal de Mercury Information Security Services, los Ocho Esenciales se originaron a partir de un análisis de las causas fundamentales de las intrusiones cibernéticas durante casi una década.
“Originalmente, eran los cuatro primeros los que formaban parte de las 35 mitigaciones para hacer frente a las intrusiones cibernéticas”, dice Farrell a ISMS.online. “Hoy, está integrado en Essential Eight, que se ocupó de una gran cantidad de nuevos ataques que estaban viendo. Entonces, cosas como macros de Office, violación de MFA, violación de credenciales de nombre de usuario y contraseña mediante la adivinación de contraseñas y problemas con Java y Flash, así como otras cosas”.
RFFR complementa los Ocho Esenciales al ofrecer un enfoque más personalizado para gestionar los riesgos de ciberseguridad. Se centra en comprender y abordar vulnerabilidades específicas dentro de una organización, fomentando una cultura de mejora continua y gestión de riesgos. En conjunto, estas iniciativas gubernamentales ayudan a las organizaciones no solo a protegerse contra amenazas conocidas, sino también a adaptarse y responder a nuevos desafíos a medida que surgen, garantizando una postura sólida de ciberseguridad frente a las amenazas en evolución.
Infracciones en abundancia
Una reciente serie de filtraciones de datos en Australia subraya el creciente desafío que enfrentan las organizaciones nacionales. Un Informe del comisionado de información australiano De enero a junio de 2023 reveló un total de 409 infracciones, lo que muestra una ligera disminución con respecto al período anterior, pero subraya la amenaza persistente: los ataques maliciosos o criminales representaron el 70% de estos incidentes. Los sectores de salud y finanzas surgieron como las principales víctimas.
Sin embargo, ninguna organización está hoy a salvo de posibles compromisos. Incidentes recientes notables incluir una infracción en MyDeal, filial de Woolworths, que afectó a unos 2.2 millones de clientes, e incidentes que afectaron a entidades como Nissan, la Universidad de Wollongong, Boeing, Sony, Duolingo, Pizza Hut y DP World Australia. Estos iban desde ataques de ransomware y extracción de datos hasta el robo de información confidencial de clientes y empleados.
La diversidad y frecuencia de estos incidentes resaltan la importancia de implementar medidas sólidas de ciberseguridad, como Essential Eight y RFFR, para generar resiliencia frente al creciente riesgo cibernético.
El impulso de la ciberseguridad del gobierno albanés
En respuesta a la evolución del panorama de amenazas, el gobierno de Albanese ha tomado medidas importantes para reforzar la ciberseguridad del país, incluidas una nueva estrategia nacional de ciberseguridad.
Sin embargo, Farrell sugiere la necesidad de una estrategia más matizada, adaptada a las necesidades únicas de organizaciones y sectores australianos específicos.
"La realidad es que estábamos realizando controles de salud cibernética a las pequeñas empresas en 2018... y realmente no despegaron", argumenta.
Ocho esenciales frente a ISO 27001
Essential Eight se centra en estrategias prácticas para mitigar los incidentes de ciberseguridad, diseñadas específicamente para combatir las ciberamenazas comunes. Sus medidas sencillas y procesables están diseñadas para una implementación inmediata y cubren aspectos como la lista blanca de aplicaciones, la aplicación de parches y la restricción de privilegios administrativos. Es particularmente eficaz para las organizaciones que buscan directrices claras y directas para mejorar su resiliencia en materia de ciberseguridad.
ISO 27001, por otro lado, proporciona un marco integral para gestionar la seguridad de la información a través de un Sistema de Gestión de Seguridad de la Información (SGSI). Ofrece un enfoque holístico a la seguridad de la información, que no se limita a las amenazas cibernéticas sino que abarca todas las formas de seguridad de la información. ISO 27001 requiere que las organizaciones evalúen sus riesgos de seguridad de la información e implementen controles apropiados adaptados a sus necesidades específicas. Esta norma enfatiza la mejora continua y el cumplimiento de un conjunto de requisitos específicos.
RFFR frente a ISO 27001
RFFR está más cerca de ISO 27001. Alienta a las organizaciones a adoptar un enfoque de gestión de riesgos adaptado a su contexto operativo específico. Se alinea estrechamente con los principios de gestión y evaluación de riesgos de ISO 27001, pero está específicamente contextualizado para el entorno de ciberseguridad australiano. Si bien ISO 27001 proporciona un marco amplio aplicable en diversas industrias a nivel mundial, RFFR se centra en los riesgos únicos de ciberseguridad que enfrentan las entidades australianas.
Un enfoque más amplio
Se recomienda a las organizaciones australianas que integren Essential Eight, RFFR e ISO 27001 para una estrategia de ciberseguridad integral.
"Los marcos son fantásticos si se trata de un entorno muy limpio y ordenado... mientras que creo que los cambios contextuales y la comprensión del dominio en el que se opera variará cada vez", argumenta Farrell.
Destaca la importancia de la adaptabilidad. Y la necesidad de que las organizaciones no solo implementen medidas de seguridad fundamentales proporcionadas por los Ocho Esenciales, sino también los aspectos más amplios de gobernanza y gestión de riesgos de ISO 27001 y las estrategias de riesgo contextualizadas de RFFR.
Implementación de los marcos
La implementación de iniciativas de ciberseguridad como Essential Eight, RFFR e ISO 27001 puede ser compleja, pero un enfoque centrado ayuda a superar los desafíos. Según Phillip Ivancic, jefe de soluciones de APAC en Synopsys Software Integrity Group, uno de los mayores obstáculos es mantener una cultura en la que los controles de seguridad se apliquen de manera consistente, incluso cuando sean inconvenientes.
“El propio Essential Eight recomienda pasos básicos como mantener los parches, limitar el acceso administrativo y garantizar que las copias de seguridad se mantengan y prueben. Todos controles aparentemente simples y de sentido común. Sin embargo, al hablar con los clientes, el mayor desafío que enfrentan es mantener una cultura de ejecutar estos controles día tras día”, le dice a ISMS.online.
“Los miembros del personal deben comprender su importancia y es necesario que exista una cultura que mantenga estos controles básicos vigentes incluso cuando no sean convenientes. Simplemente no es un trabajo 'único' sino un marco para disciplinas en curso”.
Poner en práctica herramientas como Essential Eight e ISO 27001 requiere superar desafíos como la asignación de recursos, la integración con los sistemas actuales, la evolución de las amenazas y el fomento de la conciencia de los empleados. Para ello, las organizaciones deben realizar evaluaciones de riesgos exhaustivas para establecer prioridades, asignar recursos suficientes, adoptar un enfoque gradual para gestionar la complejidad, cultivar una cultura consciente de la seguridad y actualizar periódicamente las prácticas de seguridad para contrarrestar nuevas amenazas.
"Para las organizaciones más grandes, la automatización de la gestión de vulnerabilidades a través de herramientas de gestión de la postura de seguridad de las aplicaciones (ASPM), donde los resultados de las pruebas de penetración manuales se comparan automáticamente con herramientas de escaneo con recomendaciones priorizadas, es la mayor tendencia entre mis clientes", añade Ivancic.
Al contratar experiencia externa y utilizar la automatización para lograr eficiencia, las organizaciones pueden fortalecer sus defensas de ciberseguridad de una manera práctica y sostenible. La educación continua sigue siendo vital para garantizar que todos los miembros del personal comprendan la importancia de los controles de seguridad y sean disciplinados para mantenerlos de manera consistente.
El futuro de la ciberseguridad australiana
Mientras Australia navega por un panorama de amenazas en evolución, iniciativas como Essential Eight y RFFR y estándares de mejores prácticas como ISO 27001 siguen siendo piedras angulares de un enfoque proactivo de la ciberseguridad.
Anticipándose a futuras iniciativas gubernamentales, Farrell sugiere un impulso para “mejorar la colaboración entre los sectores público y privado” y una inversión significativa en “educación en ciberseguridad y desarrollo de la fuerza laboral”. Estos esfuerzos deberían ayudar a mejorar el intercambio de inteligencia sobre amenazas e información sobre vulnerabilidades y, en última instancia, fomentar un ecosistema de ciberseguridad más resiliente en toda Australia.
También se espera que los marcos y estándares de mejores prácticas evolucionen de acuerdo con el panorama de amenazas. El desafío, como siempre, será evitar ponerse al día con la comunidad de delitos cibernéticos.
