El Digital Trust Digest es un resumen de las principales noticias sobre ciberseguridad de la semana. Aquí tienes cinco cosas que debes saber esta semana.
Los CISO comparten 14 lecciones aprendidas en 2022
El mundo está cambiando para los CISO. En medio de la escasez de mano de obra, los conflictos geopolíticos y el aumento de los ataques a la cadena de suministro, los CISO están sometidos a una gran presión para rentabilizar el aumento de los presupuestos y ofrecer ventajas tangibles a sus organizaciones.
CSO Online pidió a los responsables de seguridad de Google, Veracode, Thrive y Trustwave, entre otros, que reflexionaran sobre sus principales conclusiones del año y que miraran hacia 2023. Sus respuestas abarcaron toda la gama, desde los seguros de seguridad y la legislación hasta las pruebas de cambio a la izquierda software y la adopción de la confianza cero.
Consulte la lista completa en CSO Online. Hay un núcleo de sabiduría para cualquiera que busque un enfoque proactivo de las operaciones de ciberseguridad.
La acción del NIST pretende impulsar un explosivo mercado de criptografía post-cuántica
Mientras el NIST realiza su selección final de algoritmos PQC, el resto del sector se dispone a seguir su ejemplo. ABI Research, una empresa global de inteligencia tecnológica, predice que los ingresos por PCQ crecerán a pasos agigantados durante los próximos cinco años, a medida que las organizaciones se apresuren a adaptarse a las nuevas normas del NIST.
"El avance de los trabajos en estos foros será un signo de madurez tecnológica, y el objetivo de los proveedores será presentar tecnologías del tipo 'plug and play' para sus respectivos sectores, lo que facilitará la integración comercial y la adopción", declaró Michela Menting, Directora de Investigación de Aplicaciones de Ciberseguridad de ABI.
La criptoagilidad será fundamental en la era post-cuántica. Consulte el informe de ABI para ver cómo afectará a su organización la decisión del NIST.
A pesar de los plazos de la Casa Blanca, la transición post-cuántica se alargará
Un memorándum del 18 de noviembre de la Oficina de Gestión y Presupuesto de EE.UU. exige a los organismos que presenten sus primeros inventarios de sistemas criptográficos en los que se identifiquen los sistemas vulnerables, pero se trata de una tarea difícil.
La mayoría de los organismos tienen problemas para comprender el enorme volumen de sistemas que dependen de PKI. Mientras tanto, los científicos no se ponen de acuerdo sobre cómo definir un qubit, el análogo mecánico cuántico de un bit. Sólo una empresa de seguridad cuántica como servicio ha obtenido un contrato de Fase III, que le permite contratar con agencias federales.
El último memorándum será sólo uno más en un aluvión de directivas y legislación que situarán a Estados Unidos como líder mundial en protección, aunque los expertos predicen que la transición llevará al menos una década. Para leer más sobre "el mayor ciclo de actualización de toda la historia de la humanidad" visite FedScoop.
Las actualizaciones de aplicaciones con malware dan acceso total a los dispositivos Android
Varios fabricantes de dispositivos de renombre, como Samsung y LG, sufrieron una filtración de seguridad que utilizaba claves de fabricación para camuflar actualizaciones de aplicaciones infectadas por malware como actualizaciones legítimas.
A diferencia de la mayoría de las aplicaciones maliciosas, esta técnica no necesitaba engañar al usuario para que concediera permisos confidenciales o hiciera clic en un archivo o enlace malicioso. Basta con descargar una actualización de la aplicación maliciosa para obtener acceso completo al dispositivo.
El incidente es una lección sobre los riesgos de firmar código sin protocolos de gestión de claves de firma de código. Para ver en qué fallaron estos fabricantes y en qué puede tener éxito usted, consulte el artículo completo en CPO Magazine.
Demasiadas soluciones de identidad, poca cobertura
Un nuevo informe de One Identity, proveedor de soluciones de gestión de identidades, muestra que la gran mayoría de las organizaciones luchan por cubrir las lagunas en el acceso basado en identidades, a pesar de la proliferación de soluciones de identidad.
El informe revela que el 41% de las empresas han desplegado al menos 25 sistemas diferentes para gestionar los derechos de acceso, aunque el 70% afirma que no están utilizando todas las herramientas de identidad por las que están pagando. Estas ineficiencias cuestan al 42% de las empresas más de 100.000 dólares al año.
Las organizaciones buscarán soluciones holísticas que centralicen o consoliden las herramientas de gestión de identidades para resolver este problema. A medida que los actores de las amenazas sigan atacando a los usuarios, resolver el rompecabezas del acceso basado en identidades será clave para evitar los ataques de ingeniería social el año que viene. Para hacerse una idea del alcance total de la fragmentación de la gestión de identidades, acceda al informe completo en BetaNews.
Póngase al día con los titulares de la semana pasada aquí.
