El 24 de agosto
HYCU, junto con socios clave del sector de la seguridad, socios de soluciones y el mundo académico, presentó R-Score.
R-Score es la primera herramienta de evaluación de este tipo que puntúa la preparación de una organización para recuperarse de un ransomware de forma similar a como Fair and Isaac creó el sistema de puntuación FICO hace más de treinta años. Hablamos con Kevin Powers, JD, fundador y director de los programas de posgrado en ciberseguridad del Boston College e investigador afiliado en ciberseguridad de la Sloan School of Management del MIT (CAMS) para saber más sobre por qué es tan importante estar preparado y listo para recuperarse en caso de ataque de ransomware.
P: ¿Por qué R-Score es una iniciativa interesante?
KP: Lo que realmente despertó mi interés al principio fue la oportunidad de contar con una verdadera colaboración entre la industria privada, la Administración y el mundo académico para desarrollar un recurso público y gratuito que abordara las ciberamenazas a las que nos enfrentamos hoy en día, en concreto el ransomware.
En el Boston College, a través de nuestros programas de postgrado en Ciberseguridad y Seguridad Nacional, y también de mi trabajo en el MIT como investigador afiliado, hemos estado trabajando con el gobierno, así como con la industria privada y el mundo académico, tratando de aportar ideas para reunir a todos en la sala para hacer frente a estas amenazas cibernéticas con el fin de ayudar a las organizaciones a proteger sus operaciones comerciales y sus datos.
Y eso es exactamente lo que hicimos con R-Score. Similar a la Conferencia de Boston sobre Ciberseguridad, que es un evento que organizamos conjuntamente en el Boston College con el FBI, donde reunimos a altos ejecutivos de todas las industrias y sectores gubernamentales para escuchar a los principales expertos y profesionales de la ciberseguridad con el fin de debatir las mejores prácticas para abordar los problemas actuales que tenemos entre manos.
Se han visto varias iniciativas procedentes de diversos grupos e industrias. Recientemente, el Presidente Biden convocó una cumbre de líderes del sector privado y de la educación para debatir el esfuerzo de todo el país que es necesario para hacer frente al aumento de las amenazas a la ciberseguridad, incluidas las amenazas de ransomware. Para combatir estas amenazas, tenemos que trabajar juntos. No podría estar más de acuerdo, lo que se necesita es un enfoque de todos. Eso es lo que me entusiasmó de R-Score y por lo que estoy tan contento de participar en esta iniciativa.
P: ¿Cuáles cree que son algunos de los casos de uso o aplicabilidad a corto plazo de R-Score?
KP: Creo que desde el principio, para las organizaciones privadas y gubernamentales -locales, estatales y federales-, R-Score ofrece una herramienta fácil de usar que proporciona un panel de control fácil de seguir que responde a las preguntas clave para cualquier organización en relación con el ransomware: "¿Dónde estoy ahora? Si el ransomware me ataca hoy, ¿con qué rapidez puedo recuperarme y volver a estar operativo?". Esa información por sí sola pone a la mayoría de las organizaciones por delante de la curva. Desde la perspectiva de los casos de uso, tiene una gran aplicación. Si, por ejemplo, soy director de un consejo de administración o un alto ejecutivo, puedo verlo y decir: "Basándonos en nuestra puntuación R, tenemos que abordar este problema ahora". O: "Parece que estamos bien, pero tenemos que mejorar nuestra capacidad para defendernos de un ataque y mitigarlo, y así es como podemos hacerlo", basándonos en la información que nos proporciona R-Score.
P: Sabemos que usted trabaja mucho en el sector y también con empresas privadas. En su opinión, ¿cuál es el punto de partida para un debate a nivel directivo?
KP: Esto se está convirtiendo cada vez más en una conversación a nivel del Consejo de Administración, y lo lleva siendo desde hace tiempo. Cuando empezamos nuestro programa en el Boston College (y sigue siendo así hoy), la idea era salvar la brecha de comunicación entre el departamento de TI y los altos ejecutivos y el consejo de administración. Sigue habiendo una desconexión. Los CISO tienen su trabajo. Hacen un gran trabajo, por cierto, pero sigue siendo cuestión de comunicación. A veces los CISO no saben qué presentar a la junta, o lo saben pero no lo hacen de una manera que sea fácilmente digerible. Entonces los miembros del consejo y los altos ejecutivos dicen: "Oye, entiendo la amenaza de la ciberseguridad", pero se considera un problema de TI. Lo vengo diciendo desde hace tiempo: "La ciberseguridad no es un problema de tecnología. En realidad es una cuestión de negocio, de gestión del riesgo empresarial que debe gestionarse de arriba abajo, no de abajo arriba". Tenemos que mejorar la comunicación a ambos niveles, desde el departamento de TI hasta los altos ejecutivos, pasando por el Consejo de Administración y toda la empresa.
Creo que R-Score ofrece una forma sencilla de obtener una visión no técnica y fácilmente digerible de su estado actual en lo que respecta a la protección de sus operaciones empresariales y datos confidenciales frente a un ataque de ransomware. Así, una vez que vea su puntuación, podrá tomar las medidas necesarias para mejorar su postura de ciberseguridad.
P: ¿Dónde pueden los lectores obtener más información sobre los temas en los que se están centrando y los actos que realizarán en los próximos meses?
KP: Bueno, empezamos el año académico con el primero de nuestros "seminarios web sobre ciberseguridad y seguridad nacional" en el Boston College el 16 de septiembre. El seminario web se centra en "Gestión de riesgos de ciberseguridad: Ransomware Planning, Response, Mitigation, and Recovery" y nuestros panelistas son: Doug Domin, Agente Especial Supervisor de la Brigada Cibernética Criminal del FBI - División de Boston, y Simon Taylor, CEO y Fundador de HYCU, Inc. Sin duda, el ransomware será un tema clave de debate. Más información en nuestra página web: www.bc.edu/mscybersecurity
También se ha hablado mucho de la seguridad en la nube, y nos estamos centrando en ello en las clases y en nuestra serie de seminarios web. La gente piensa: "Oh, voy a mover todo a la nube, y estamos bien. Reducimos el riesgo. Reducimos el coste". Bueno, se reducen ambos, pero la responsabilidad se queda contigo y hay muchas cosas que suceden cuando pasas de una red a la nube. Hay que tener en cuenta varias cosas: ¿cómo se configura? ¿Cómo se gestiona? ¿Quién te guarda los datos? ¿Cuáles son las ramificaciones contractuales? Y todo se reduce a que la gente piense: "Oye, está en la nube. Tenemos una copia de seguridad, ¿no?". Normalmente no es así.
Miras cualquiera de los avisos y orientaciones que provienen del gobierno federal, ya sea del FBI, CISA, FTC, entre otros, y comienzan con "haga una copia de seguridad de sus datos." Pienso en 2017 en nuestra primera Conferencia de Boston sobre Seguridad Cibernética, cuando tuvimos al Director del FBI Comey como orador principal de la Conferencia. Una de sus principales conclusiones para los asistentes fue "haz una copia de seguridad de tus datos". Sin duda, hacer copias de seguridad de tus datos es una pieza crítica del rompecabezas.
También voy a presentar en MIT Sloan School of Management el 24 de septiembre con Simon Taylor. Se trata de un evento virtual en el que debatiremos sobre estrategias de recuperación frente al ransomware.
Y, por supuesto, es un poco más adelante, pero ya estamos planeando la 6ª Conferencia Anual de Boston sobre Ciberseguridad (BCCS 2022), que está programada para el 2 de marzo y será "en persona" de nuevo en BC.
Para leer más sobre R-Score y la participación del profesor Kevin Powers, puede consultar su reciente conversación con Boston College News en "GetRScore ayuda a las organizaciones a evaluar su capacidad de recuperación ante un ataque de ransomware".Para realizar la prueba R-Score y averiguar cuál es su grado de preparación para recuperarse de un ataque de ransomware, visite www.getrscore.org.
Obtenga las últimas novedades y actualizaciones
.png){kind=small}
