Al gobierno australiano no le falta ambición. Al lanzar su nuevo Estrategia de Ciberseguridad 2023-2030 en noviembre, afirmó que el documento proporcionaría una hoja de ruta para convertirse en un “líder mundial” en este campo antes de la fecha de finalización. Queda un largo camino por recorrer, dada la serie de violaciones de alto perfil en los últimos años.

El mensaje que envía es claro: para los proveedores de infraestructura crítica (CNI) y los fabricantes de tecnología, habrá nuevas obligaciones diseñadas para elevar el nivel de la ciberseguridad. Para las empresas habituales, se promete apoyo y claridad destinados a ayudar a mejorar los estándares de seguridad básicos.

Por lo tanto, las organizaciones australianas deberían considerar la nueva estrategia gubernamental como una oportunidad. Aquellos que aborden las brechas en la postura de seguridad hoy encontrarán que mañana tendrán más tiempo para concentrarse en hacer crecer su negocio en lugar de preocuparse por cumplir con los requisitos gubernamentales. Para aquellos que no están cubiertos por mandatos específicos, podría ser un momento útil para revisar y actualizar la estrategia de seguridad.

¿Por qué Australia necesita una nueva estrategia cibernética?

Las organizaciones australianas son un objetivo cada vez más popular para los actores de amenazas respaldados por el estado y motivados financieramente. La Dirección de Señales de Australia (ASD) reclamaciones que durante el año fiscal 2022-23, se realizaron casi 94,000 informes a las autoridades a través de ReportCyber. Eso equivale a uno cada seis minutos, aunque es probable que muchos más no hayan sido denunciados. Destaca varios desafíos:

⦁ Actores estatales que apuntan a activos del gobierno y de la CNI para espionaje y perturbación, especialmente el posible robo de propiedad intelectual derivado de la asociación AUKUS.
⦁ Una amenaza creciente para el CNI por parte de actores remotos, como la redada contra DP World
⦁ Un aumento de los ataques de ransomware y DDoS
⦁ Grandes violaciones de datos, incluidos grandes nombres como Optus, Medibank, Telstra y Latitude
⦁ La rapidez con la que se explotan nuevas vulnerabilidades. La ASD dice que uno de cada cinco fue apalancado en 48 horas

No sólo los informes de delitos cibernéticos han aumentado un 23% anualmente, sino que el costo de cada incidente ha aumentado un 14%, dice la ASD.

¿Qué hay en la estrategia cibernética?

La Estrategia Australiana de Seguridad Cibernética consta de seis “escudos cibernéticos” que cubren las siguientes áreas:

1) Apoyar a las PYMES y a los ciudadanos para fortalecer la ciberseguridad
2) Mejorar la seguridad de la tecnología para los australianos.
3) Crear una red de bloqueo e intercambio de amenazas de clase mundial
4) Proteger la infraestructura crítica
5) Mejorar la industria y la fuerza laboral de la ciberseguridad nacional
6) Proporcionar un liderazgo regional y global resiliente

Cada uno de estos escudos contiene varios elementos de acción enumerados en el plan del gobierno. Plan de ACCION. Desde una perspectiva de seguridad de la información, las partes más importantes de la estrategia son los escudos 1-4. Incluyen planes gubernamentales para:

Escudo 1:

⦁ Crear controles de salud y orientación para las PYMES
⦁ Trabajar con la industria para codiseñar una obligación de informar sobre ransomware sin responsabilidad para las empresas.
⦁ Proporcionar a la industria información sobre las obligaciones de cibergobernanza según la regulación actual.

Escudo 2:

⦁ Trabajar con la industria para codiseñar un estándar de ciberseguridad obligatorio y un esquema de etiquetado voluntario.
⦁ Codiseñar un código de prácticas de seguridad voluntario para tiendas de aplicaciones y desarrolladores de aplicaciones.
⦁ Desarrollar un marco para evaluar los riesgos de seguridad nacional que presentan los productos y servicios de los proveedores.
⦁ Desarrollar opciones para proteger los conjuntos de datos más sensibles y críticos de Australia, que no están protegidos adecuadamente según las regulaciones existentes.
⦁ Incorporar la ciberseguridad para garantizar que la IA se desarrolle y utilice de forma segura y responsable
⦁ Establecer estándares para la criptografía poscuántica

Escudo 3:

⦁ Incentivar la participación de la industria en plataformas de intercambio de amenazas
⦁ Incentivar el bloqueo de amenazas en toda la economía, especialmente en empresas CNI como empresas de telecomunicaciones e ISP.

Escudo 4:

⦁ Alinear a las empresas de telecomunicaciones con los mismos estándares que otras entidades del CNI
⦁ Aclarar la regulación de los proveedores de servicios gestionados.
⦁ Incorporar la ciberregulación en los sectores aéreo y marítimo.
⦁ Proteger los datos críticos de los proveedores de CNI
⦁ Activar obligaciones mejoradas de ciberseguridad para los “Sistemas de Importancia Nacional”
⦁ Finalizar un marco de seguimiento y evaluación del cumplimiento para la CNI
⦁ Ampliar los mecanismos de respuesta a las crisis.
⦁ Fortalecer la madurez cibernética de los departamentos y agencias gubernamentales, incluida la confianza cero
⦁ Designar 'Sistemas de importancia gubernamental' que deben protegerse con un mayor nivel de ciberseguridad
⦁ Realizar ejercicios nacionales de ciberseguridad en toda la economía.
⦁ Cree guías para la respuesta a incidentes

¿Qué deberían hacer las organizaciones australianas?

Si bien los requisitos más prescriptivos son para las empresas de CNI y los proveedores de tecnología, existen algunas victorias rápidas a las que pueden aspirar organizaciones de todo tipo, según Jacqueline Jayne, defensora de la concientización sobre la seguridad en APAC en KnowBe4.

"La mayor brecha es abordar el error humano, y esto es consistente a nivel mundial", le dice a ISMS.online. "Así que implemente un programa de concientización sobre seguridad continuo, relevante y atractivo que incluya una oportunidad para aplicar ese nuevo conocimiento con actividades simuladas de ingeniería social".

Otras prácticas recomendadas fáciles de lograr incluyen activar la autenticación multifactor (MFA) e implementar administradores de contraseñas para contraseñas seguras y únicas, además de garantizar que las actualizaciones automáticas estén activadas y que se realicen copias de seguridad de los datos periódicamente sin conexión. Los “datos irrelevantes u obsoletos” también deben ser gestionado "apropiadamente" para minimizar la exposición al riesgo, añade.

Para Damir Brescic, CISO de Inversion6, el primer puerto de escala para las organizaciones australianas debería ser una evaluación de riesgos para establecer una línea de base para identificar y priorizar las amenazas. También son importantes el cifrado de datos confidenciales, la segmentación de la red para limitar la propagación de ataques, la planificación de respuesta a incidentes, el monitoreo/análisis continuo de los registros de seguridad y el cumplimiento de la política de acceso de privilegios mínimos, añade.

"Si una organización quiere mejorar su postura general de ciberseguridad, comience con una serie de mejoras y realice una revisión anual para asegurarse de que su postura general continúa mejorando y madurando", le dice a ISMS.online.

El director de soporte técnico de Nozomi Networks, Marty Rickard, advierte sobre los peligros de los dispositivos "en la sombra" que pueden no estar administrados ni parcheados. “A medida que los dispositivos IoT se utilizan y aceptan más ampliamente, aumentan los riesgos asociados con ellos. Es probable que los dispositivos con procedencia deficiente o desconocida den lugar a mayores cantidades y gravedad de vulnerabilidades y riesgos”, dice a ISMS.online.

“Las organizaciones deberían buscar implementar listas de materiales de software (SBOM) y procesos de gestión de seguridad de proveedores, no solo para dispositivos IoT. Estos dispositivos deben seleccionarse cuidadosamente e implementarse en enclaves adecuadamente protegidos dentro de la infraestructura de una organización para limitar la exposición y los efectos potenciales de una vulnerabilidad desconocida que se esté explotando”.

Cómo pueden ayudar la ISO 27001 y los marcos de mejores prácticas

Gran parte de los consejos anteriores concuerdan con las recomendaciones de la ASD. Estrategias para mitigar incidentes de seguridad cibernética. La función de Ocho esenciales Es una lista reducida que será más manejable para las organizaciones más pequeñas y aquellas que se encuentran más abajo en la escala de madurez cibernética.

Sin embargo, las organizaciones más grandes también pueden beneficiarse del cumplimiento de la norma ISO 27001. Este estándar reconocido mundialmente establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). El cumplimiento puede ayudar a mejorar la seguridad básica y brindar garantías de que los activos críticos estén protegidos a través de 93 controles agrupados en organizacionales, de personas, físicos y tecnológicos.

"Las empresas australianas necesitan apoyo tanto para defenderse de amenazas comunes como para desarrollar su confianza cibernética", sostiene Jamie Akhtar, director ejecutivo de CyberSmart. "Estándares como ISO 27001 pueden ayudarlos a lograr esto al permitirles construir una cultura de mejora continua de sus prácticas de ciberseguridad, lo que en última instancia los equipará mejor a ellos y a Australia para combatir las amenazas cibernéticas".

Si el gobierno quiere cumplir sus ambiciones de “liderar el mundo”, las organizaciones australianas deberán ser proactivas en la mitigación del riesgo cibernético. Los marcos y estándares de la industria pueden ser un aliado importante en este viaje.

"Ya sea que se trate de cumplimiento de la norma ISO 27001, Essential Eight, NIST o cualquier otro marco, cada organización necesita encontrar el más apropiado que se alinee con su organización", concluye Jayne de KnowBe4.