Una guía de las mejores prácticas de ciberseguridad a través de varias industrias

Mejores prácticas de ciberseguridad para CISOs

Courtney Radke, CISO de Campo de Fortinet
Venta minorista

“Las experiencias minoristas omnicanal han permitido a los minoristas expandirse a nuevos datos demográficos y abrir nuevas fuentes de ingresos. Sin embargo, a pesar de estas nuevas iniciativas, la industria minorista ha experimentado una erosión en la confianza de los clientes en los últimos años hasta el punto de que menos del 20% de los consumidores realmente confía en que los minoristas están protegiendo adecuadamente sus datos, y solo el 11% cree que los minoristas lo están haciendo. capaz de gestionar eficazmente una violación de datos. Por eso, mantener un perímetro fuerte ha sido la clave del éxito. Hoy en día, los minoristas deben mantener una política de seguridad proactiva que incorpore un modelo de confianza cero que proteja a los clientes de riesgos innecesarios y al mismo tiempo permita una respuesta y comunicación rápidas en caso de que ocurra un incidente ”.

“La seguridad en la nube y los desafíos que la acompañan se encuentran en un punto de reflexión. Los minoristas deben revisar sus soluciones implementadas y determinar si las tecnologías se alinean con su madurez de seguridad general. Con las nuevas cargas de trabajo en la nube y una mayor dependencia de las aplicaciones móviles, la proliferación de datos es una preocupación creciente. Los minoristas que desarrollan sus estrategias en la nube deben proteger sus cargas de trabajo en la nube y crear un enfoque de defensa en profundidad (DiD) que incluya elementos como soluciones SD-WAN, protecciones de cargas de trabajo en la nube y soluciones de agentes de seguridad de acceso a la nube (CASB) ".

Jonathan Nguyen-Duy, Vicepresidente Global del equipo de CISO de Campo
Cuidado de la salud

“Las organizaciones sanitarias deben poder identificar nuevos tipos de usuarios. En promedio, hay al menos 15 dispositivos conectados a cualquier cama de hospital en los Estados Unidos en la actualidad. Debido a esto, existe una variedad de personas y dispositivos que recopilan, generan y curan datos en todas las organizaciones para ayudar a ejecutar la toma de decisiones basada en datos. Esto, a su vez, crea desafíos en torno a cómo las organizaciones catalogan e identifican a todas las personas, dispositivos y aplicaciones en sus redes.

Aquí es donde entra en juego Zero Trust Access (ZTA). ZTA, en su esencia, tiene que ver con la gestión de identidades y accesos, por lo que proporciona valor a las organizaciones sanitarias. En muchos sentidos, Zero Trust surgió de las limitaciones de la segmentación de la red. Aunque es intuitivamente elegante, la segmentación excesiva impide las operaciones comerciales, mientras que la segmentación insuficiente carece de la seguridad necesaria para evitar compromisos y el movimiento lateral de los actores de amenazas. La clave para la segmentación en ecosistemas híbridos y distribuidos es comprender todos los controles de acceso basados ​​en roles y segmentar en consecuencia ".

Jim Richburg, CISO de Campo de Fortinet
Sector Público

“Para aquellos que trabajan para establecer las mejores prácticas de ciberseguridad en el sector público, ZTA debe ser una consideración principal. Zero Trust es un principio operativo con una filosofía, no una arquitectura de red. Describe un enfoque de defensa y profundidad: no confíe de forma predeterminada, siempre verifique su solicitud de acceso, autentique usuarios y dispositivos, otorgue el mínimo privilegio necesario para la tarea en cuestión y registre, y potencialmente inspeccione, todo el tráfico de red. Y si bien puede ser beneficioso, la implementación completa de Zero Trust requiere cambios en el hardware, el software y los procesos comerciales, lo que lo convierte en un enfoque abrumador y bastante difícil para los equipos de seguridad. Pero en esencia, Zero Trust es una filosofía de gestión de riesgos y la gestión de riesgos no requiere perfección. Es por eso que un objetivo intermedio más razonable debería centrarse en la segmentación basada en la intención, definiendo el acceso de los usuarios en función de las necesidades comerciales. La intención también se puede definir de forma estática mediante la creación de segmentaciones de red internas correspondientes a la organización o las reglas comerciales para conjuntos de usuarios ".

“La tecnología en la nube también ofrece al sector público varios beneficios clave: resiliencia, eficiencia, gasto más inteligente, seguridad y disponibilidad del servicio. Pero a pesar de estos beneficios, el sector público todavía está a la zaga del sector privado en términos del ritmo y progreso de su implementación de servicios y tecnología en la nube. Y esto no se debe a que el sector público sea un rezagado tecnológico por voluntad propia. Es simplemente debido a la naturaleza de las adquisiciones, los tipos de oportunidades políticas que tienen y el ciclo de presupuestación prolongado; simplemente no pueden moverse tan rápido como lo hace el sector privado. Con esto en mente, el sector público debería adoptar tecnologías como la inteligencia artificial (IA) y el aprendizaje automático (ML) para madurar su postura de seguridad sin abrumar a los equipos de TI. Además, las plataformas unificadas brindan visibilidad, control y administración y permiten la automatización en un amplio conjunto de capacidades para cualquier entorno de nube ”.


Renee Tarun, CISO de Campo de Fortinet
Educación

“La cultura de la educación superior se basa en el intercambio de conocimientos e información, lo que a menudo va en contra de los principios de seguridad de TI. La adopción de un enfoque Zero Trust para el acceso a la red garantiza que los administradores de la red de TI puedan gestionar el crecimiento de dispositivos desconocidos y no seguros. Da visibilidad sobre quién y qué está accediendo a las redes, limitando simultáneamente el acceso a los recursos de acuerdo con el principio de privilegio mínimo. Los equipos de TI también pueden implementar controles de acceso a la red (NAC) para ver cada dispositivo y usuario que se une a la red, mejorando el control de la red al limitar el acceso a la red y automatizar los tiempos de respuesta a eventos de días a segundos ”.

“Muchas instituciones han aumentado el uso de la tecnología en la nube, especialmente las aplicaciones SaaS, para ofrecer sus plataformas de aprendizaje en línea. La seguridad en la nube debe monitorear las soluciones de seguridad integradas para hacer cumplir políticas de seguridad uniformes en las aplicaciones tradicionales y SaaS para que puedan monitorear continuamente los firewalls de las aplicaciones web, las API de servicios web seguros y las aplicaciones de front-end. Deben asegurarse de que cualquier solución se integre con los principales proveedores de la nube, se ejecute en un conjunto de herramientas de seguridad que cubra toda la superficie de ataque y proporcione una gestión centralizada de la seguridad con automatización y flujos de trabajo ".

Rick Peters, CISO de Campo de Fortinet
Tecnología operativa

“Asegurar la tecnología operativa (OT) comienza con la aplicación del modelo“ nunca confíe, siempre verifique ”, lo que significa protección en cada nodo cableado e inalámbrico para garantizar que todos los dispositivos de punto final estén validados. Con la dinámica introducida hoy por el crecimiento exponencial y los sensores habilitados para los sistemas OT, Zero Trust es crucial para defender lo ciberfísico. También es importante practicar el principio de privilegio mínimo en las comunicaciones internas y externas. Al proporcionar solo el acceso mínimo requerido y crear un firewall de segmentación interno en múltiples puntos dentro de las redes, los líderes de OT obtienen capas adicionales de protección empresarial de una variedad de vectores de ataque. De esta manera, la visibilidad de la red se logra junto con la aplicación menos privilegiada, lo que ayuda a prevenir el movimiento vertical u horizontal dentro del entorno objetivo ".

“Las organizaciones de hoy están integradas con procesos operativos y están digitalizando sus entornos utilizando tecnología de sensores y conectándose con aplicaciones basadas en la nube, y OT no es diferente. En medio de esta adopción de servicios en la nube, sin embargo, surge el desafío de la superficie de ataque cada vez más amplia. Las amenazas dentro del sector OT ahora van más allá de los ataques a la red y las aplicaciones para atacar las vulnerabilidades causadas por el mal uso o la mala configuración de la infraestructura de la nube. Para abordar la intersección de estos desafíos, los equipos de TI necesitan una solución que ofrezca seguridad avanzada y pueda detectar actividades sospechosas en todos y cada uno de los entornos de nube. Esta solución de seguridad en la nube también debe permitir una estrategia de contención y mitigación para garantizar operaciones seguras y continuas. En general, el servicio de seguridad elegido debe proporcionar una transparencia fluida y dinámica que brinde eficiencia operativa, así como confianza continua en toda la nube ".

Renee Tarun, CISO de Campo de Fortinet
Servicios financieros

“Las instituciones financieras están expandiendo continuamente sus tácticas de innovación digital con herramientas basadas en SaaS, servicios de video de Voz sobre Protocolo de Internet (VoIP) y puntos de acceso inalámbricos, al tiempo que aumentan los tipos y la cantidad de dispositivos en sus redes. Debido a esto, deben adoptar el enfoque Zero Trust para el acceso a la red para asegurarse de saber quién y qué está accediendo a sus redes. El uso de un control de acceso a la red (NAC) proporciona visibilidad de la red que permite a los equipos de TI ver cada dispositivo y usuario que se une a la red. Además, pueden implementar soluciones de inicio de sesión único (SSO) o autenticación multifactor (MFA) para obtener una capa adicional de protección, lo que garantiza que los usuarios solo tengan la menor cantidad de acceso necesaria para hacer su trabajo ".

“Las organizaciones del sector de servicios financieros dependen cada vez más de las infraestructuras basadas en la nube. Esto probablemente se deba a dos razones clave: la infraestructura de pago por uso es fácil de justificar, al menos por adelantado, y la agilidad operativa que viene con el aumento de la capacidad en un momento o el cierre de funciones innecesarias a pedido. extremadamente beneficioso. Sin embargo, las instituciones de servicios financieros se enfrentan a constantes ataques e intentos de intrusión. A medida que las iniciativas de transformación digital amplían la superficie de ataque, los equipos de seguridad necesitan esa visibilidad y control de la red para mantener a raya las infracciones, lograr ahorros de costos y obtener eficiencias operativas. Esto solo se complica más por la necesidad de cumplimiento. Con esto en mente, estas instituciones necesitan una solución de seguridad en la nube que pueda monitorear toda la actividad e integrarse con otras soluciones para hacer cumplir políticas de seguridad uniformes en las aplicaciones tradicionales y basadas en SaaS. Necesitan implementar firewalls de aplicaciones web (WAF) que protejan las API de servicios web y las aplicaciones web front-end de las amenazas. Para reducir el costo total de propiedad, deben buscar soluciones que se integren de forma nativa con los principales proveedores de la nube, incluyan un amplio conjunto de herramientas de seguridad y brinden una administración centralizada, incluida la automatización, los flujos de trabajo y el intercambio de inteligencia ".


Fuente: https://www.fortinet.com/blog/ciso-collective/guide-to-cybersecurity-best-practices-across-industries


Para soluciones de Fortinet aplicadas a todos los verticales de negocios o institucuones relacionados a: MFA, SASE, WAF, NGFW, SSO, NAC, ZTA  contáctanos