Spisu treści:
- Czym zajmuje się CISO
- Krajobraz dla specjalistów ds. Bezpieczeństwa
- Inne budżety i bezpieczeństwo dla MŚP
Cyberataki atakują firmy w alarmującym tempie. Poważne naruszenia zasad Target w grudniu 2013 r. I Neimana Marcusa w styczniu 2014 r. Rzucają wielkie światło na niedociągnięcia wielu punktów sprzedaży detalicznej w ich infrastrukturze bezpieczeństwa. W rezultacie coraz więcej firm, zarówno dużych, jak i małych, odczuwa potrzebę zwiększenia wysiłków i posiadania dedykowanego zespołu ds. Bezpieczeństwa.
Według raportu opublikowanego przez Reuters w maju 2014 r. Wiele dużych korporacji, takich jak Pepsi i JPMorgan Chase & Co., poszukuje nowych głównych oficerów ds. Bezpieczeństwa informacji (CISO) w celu wzmocnienia praktyk bezpieczeństwa. Odzwierciedla to większą świadomość bezpieczeństwa i jego znaczenia na szczeblu wykonawczym firmy.
CISO i główni oficerowie ds. Bezpieczeństwa cybernetycznego są zanurzeni w bezpieczeństwie swoich technologii, zarówno dla pracodawcy, jak i klienta, ale ich role i obowiązki stają się coraz bardziej widoczne i konieczne w oczach opinii publicznej, nie tylko wśród społeczności bezpieczeństwa.
„Pięć lat temu bezpieczeństwo informacji ledwo złamało 10 najważniejszych obaw zarządów. Rok temu było to drugie. Co ciekawe, teraz jest to bezpieczeństwo danych, a nie tylko bezpieczeństwo informacji”, mówi David Boehmer, regionalny partner zarządzający w firmie rekrutacyjnej Heidrick & Walki, w filmie na YouTube wyprodukowanym przez firmę.)
Czym zajmuje się CISO
Rola CISO może być dość szeroka i często mają na sobie wiele różnych czapek. Praca obejmuje wszystko, od bezpieczeństwa wewnętrznego, na przykład zarządzanie bezpieczeństwem własności intelektualnej, po odpowiedzialność za bezpieczeństwo klienta.
„Współpracuję również z naszym zespołem ds. Produktu i zespołem inżynierów, aby wdrożyć funkcje produktu, które mogą być interesujące dla kupujących zabezpieczenia” - mówi Joan Pepin, CISO w Sumo Logic.
Podczas gdy naruszenie celu w zeszłym roku z pewnością spowodowało rozmowę wielu ludzi, Pepin wyjaśnia, że nie była aż tak zaskoczona - i żadna z nich nie była większością społeczności zajmującej się bezpieczeństwem. Nie oznacza to jednak, że społeczność bezpieczeństwa nie miała swoich „przełomowych momentów”, w których wszyscy musieli przyspieszyć swoją pracę.
Naruszenie RSA w 2011 r., W którym hakerzy złamali serwery firmy zajmującej się bezpieczeństwem informacji i ukradli tokeny uwierzytelniające, które zapewniały dostęp do poufnych danych rządowych i korporacyjnych, wzbudziło niepokój wielu specjalistów ds. Bezpieczeństwa. Jak firma ochroniarska może paść ofiarą takich hakerów? Zaledwie dwa lata później obawa ta zmieni się w cel, który wcześniej latał pod radarem: klienci detaliczni. Ataki, takie jak te obserwowane w Target i Neiman Marcus, zwróciły uwagę na bezpieczeństwo dla codziennego klienta.
„Oczywiście, gdy prowadzisz masową działalność detaliczną z tysiącami pracowników, wszystkie te różne witryny, maszyny w punktach sprzedaży, jest to najbiedniejszy rodzaj systemu i fakt, że tego rodzaju ataki nie miały miejsca rodzaj skali wcześniej jest dla mnie niespodzianką ”- powiedział Pepin.
Problem wynika z tego, że bezpieczeństwo postrzegane jest jako zwykłe pole wyboru, które firmy muszą zaznaczyć i pozostawić, a nie być stale kontrolowanym aspektem działalności. Nie oznacza to, że cyberprzestępcy są pobłażliwi i mogą po prostu wejść. W rzeczywistości cyberprzestępcy stają się coraz bardziej wykwalifikowani.
„było dość wyrafinowanym naruszeniem, zdolnym do naśladowania agenta BMC i tego rodzaju ukrytych rzeczy. Angażowanie się w ruchy boczne w sieci docelowej było dość sprytne, powiedział Pepin.
„Nie chcę od tego rezygnować, ale pod względem trudności w celowaniu, bez zamierzonej gry słów, nigdy nie umieściłbym żadnej sieci detalicznej na liście twardych celów. Firmy ochroniarskie są twardymi celami, rząd trudnym celem. Jakaś sieć detaliczna, której przedmiotem działalności jest sprzedaż skarpet, nie spodziewałbym się, że będą to super bezpieczny sklep.
Krajobraz dla specjalistów ds. Bezpieczeństwa
W czerwcu 2014 r. Target zatrudnił swojego pierwszego CISO, Brada Maiorino, byłego dyrektora General Motors, który będzie nadzorował przegląd praktyk bezpieczeństwa firmy.
Firmy, bez względu na swoją dziedzinę lub wielkość, będą musiały odnotować i ulepszyć swoją grę bezpieczeństwa w odpowiedzi na stale rosnące zagrożenia, z większą świadomością i większą władzą, aby działać w przypadku potencjalnych naruszeń.
„Było jasne… w sprawie„ Target ”wygenerowano alarmy, na które nikt nie odpowiedział, i że z mojego doświadczenia wynikającego z zarządzanego bezpieczeństwa jest niezwykle typowy, powiedział Pepin.
„Najlepszy system wykrywania włamań na świecie nadal ma bardzo wysoki współczynnik fałszywie dodatnich, więc osoby odpowiedzialne za bezpieczeństwo są w zasadzie szkolone przez ich systemy, aby ignorowały swoje systemy. Istnieje tam luka technologiczna w interakcji międzyludzkiej, w której pierwsi pracownicy reagują na tysiące osób alarmy, które dostają, że są śmieciami. W przypadku Celu pojawiły się pewne znaki, których nie sprawdzono, a które mogłyby pomóc znacznie zminimalizować wpływ ”.
Jak to często bywa, specjalista ds. Bezpieczeństwa nie może natychmiast podjąć działania w danej sprawie, ponieważ potrzebuje zgody lub zgody innej osoby na wyższym szczeblu hierarchii. To musi się zmienić, wyjaśnia Pepin, wyjaśniając, że zespół bezpieczeństwa firmy musi mieć większą autonomię i uprawnienia, aby przejąć inicjatywę.
„Uważam, że nadal jest to kwestia zarządzania, ponieważ szefowie ds. Bezpieczeństwa informacji nie powinni zgłaszać się do dyrektorów IT” - mówi Tom Kellermann, dyrektor ds. Bezpieczeństwa cybernetycznego w Trend Micro. „Powinny zgłaszać się bezpośrednio do dyrektora ds. Ryzyka lub do dyrektora generalnego”. To odcina wielu pośredników i zapewnia szybszy czas reakcji na potencjalne sytuacje kryzysowe.
Pepin zgadza się, że specjaliści ds. Bezpieczeństwa powinni „zgłosić się na samą górę” w swojej firmie. „Mam szczęście, że zdaję raport naszemu dyrektorowi generalnemu. To działa bardzo dobrze i jest to coś, co naprawdę poleciłbym każdej organizacji, która poważnie podchodzi do kwestii bezpieczeństwa”.
Inne budżety i bezpieczeństwo dla MŚP
Zatrudnienie CISO i poszerzenie zespołu bezpieczeństwa jest w porządku, jeśli masz budżet, ale co z mniejszymi firmami? Chociaż atak na małą sieć lub lokalny sklep z narzędziami nie przyniesie takich samych korzyści hakerom jak trafienie w Cel lub Neimana Marcusa, nadal nierozsądnie jest narażać się na jakiekolwiek zagrożenia. Co więc możesz zrobić, aby zmniejszyć ryzyko ataku? Pepin zdecydowanie zaleca zatrudnienie usług wykonawcy lub konsultanta ds. Reagowania na incydenty.
„W przypadku zaatakowania masz kogoś, do kogo możesz zadzwonić, więc nie musisz otwierać Google i zacząć szukać” - powiedziała.
Wyjaśnia, że będzie to miało sens ekonomiczny dla mniejszej firmy, ponieważ firma będzie korzystać z usług tylko wtedy, gdy będą potrzebne. Usługi te są również wyjątkowo wyspecjalizowane w odbiorze miejsca, w którym przerwali pracownicy.
„Możesz mieć fantastyczny zespół do segregowania, wiedząc, że jesteś atakowany, ale nie jest to dokładnie ten sam zestaw umiejętności, który jest potrzebny, aby odpowiedzieć na ten atak, wyrzucić go z sieci i zebrać dowody w sposób, który może być wykorzystywane w sądzie ”.
Firmy mają do dyspozycji wiele zasobów do zwalczania cyberprzestępczości. Najnowsza historia sugeruje, że kolejny wielki atak jest tuż za rogiem.