El Digital Trust Digest es un resumen de las principales noticias sobre ciberseguridad de la semana. Esto es lo que necesita saber esta semana.
Las nuevas normas de seguridad de datos suponen un gran paso adelante para el sector financiero
Los cambios en la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) transformarán la infraestructura informática de las entidades financieras y las empresas de tecnología financiera. La nueva norma, conocida como PCI DSS 4.0, afectará a la gestión de identidades y accesos, a la gestión de claves y certificados y a las tecnologías utilizadas para filtrar el correo electrónico, detectar malware, habilitar la autenticación multifactor y un largo etcétera.
La norma actual, DDS v3.2.1servirá de referencia para adoptar la norma PCI DSS 4.0. Una vez cumplida la norma actual, las organizaciones deben realizar una evaluación de las deficiencias lo antes posible para calibrar el levantamiento necesario para cumplir la nueva norma cuando entre en vigor la próxima primavera.
PCI DDS 4.0 tendrá implicaciones para toda la empresa. Para obtener más información sobre la norma y empezar a preparar su plan de juego, InformationWeek tiene el resumen completo.
Un algoritmo poscuántico muestra su vulnerabilidad a los ataques de canal lateral
El año pasado, el NIST anunció que había seleccionado cuatro algoritmos resistentes al quantum en los que basar los futuros estándares de criptografía y protegerse de los ataques cuánticos. Pero esta semana, investigadores suecos han descubierto una forma de descifrar uno de esos algoritmos.
El algoritmo CRYSTALS-Kyber, que el NIST pretende utilizar con fines de cifrado general, puede ser vulnerable a ataques de canal lateral. Los ataques de canal lateral aprovechan las señales emitidas por un sistema para extraer secretos, en lugar de apuntar directamente a ese sistema.
Los estándares poscuánticos son un trabajo en curso, y el NIST interpreta este hallazgo como una oportunidad de aprendizaje para seguir apuntalando el esquema de cifrado. Para saber más sobre el progreso de estos algoritmos, entre bastidores con SC Magazine.
La confianza cero puede hacer de la seguridad un factor de innovación
Cuando se diseñan las experiencias del usuario y del cliente, la seguridad no puede ser una idea tardía. La implantación eficaz de la confianza cero permite a las organizaciones integrar la seguridad en sus procesos de innovación para crear una experiencia de cliente fluida y segura.
Los estudios muestran que los consumidores están cada vez más atentos a las preocupaciones sobre los datos y la privacidad, mientras que los directores generales y los consejos de administración buscan la confianza cero para proteger los flujos de ingresos. Esto crea una oportunidad única para que los CISO para ayudar a aumentar la seguridad y maximizar la confianza entre la base de clientes de sus organizaciones.
La ciberseguridad ha evolucionado hasta desempeñar un papel más destacado en la estrategia empresarial general. Para saber cómo, VentureBeat ha hablado con expertos de Forrester, Crowdstrike y otros líderes del sector..
Los atacantes desarrollan nuevas tácticas para eludir la autenticación multifactor
LastPass y Reddit son dos de las últimas víctimas de una nueva generación de ataques centrados en frustrar la protección que proporciona la autenticación multifactor. Han surgido tres tipos de ataques: MFA flooding (dirigido al usuario), ataques proxy (dirigidos a la red) y secuestro de sesión (dirigido al navegador).
Las herramientas de MFA resistentes al phishing, como las claves hardware y la validación biométrica, pueden ser la respuesta, pero la logística de aplicar estas medidas puede suponer un reto e incluso abrir nuevas vías a los atacantes.
La AMF sigue siendo un pilar de la buena higiene digital. DarkReading puede mostrarle cómo detectar estos nuevos tipos de ataques.
Las estrategias de identidad digital deben abarcar tanto las identidades de las máquinas como las de los usuarios
El año pasado, el 84% de las empresas sufrieron algún tipo de infracción relacionada con la identidad de un empleado. Con una superficie de ataque ampliada por las infraestructuras en la nube y los trabajadores remotos, las organizaciones tendrán que proteger las identidades digitales para cumplir sus iniciativas de transformación digital.
La confianza cero está a punto de sustituir al modelo tradicional de seguridad centrado en el perímetro, y los certificados digitales se están utilizando para mejorar la seguridad del correo electrónico. El reto ahora es suavizar la experiencia del usuario para que no tenga que recurrir a una mala higiene para trabajar de forma productiva.
A medida que los ataques siguen dirigiéndose a los usuarios e interrumpen la cadena de suministro software , las organizaciones deben considerar la identidad digital como una prioridad máxima. Infosecurity Magazine puede ayudarle a empezar.
