Kazalo:
Podjetja so napadi kibernetskih napadov z zaskrbljujočo hitrostjo. Večje kršitve Target decembra 2013 in Neiman Marcus januarja 2014 so osvetlile pomanjkljivosti, ki jih ima veliko varnostnih mest v svoji varnostni infrastrukturi. Posledično čedalje več podjetij, tako velikih kot majhnih, čuti potrebo po povečanju svojih prizadevanj in po lastni varnostni skupini.
Glede na poročilo, ki ga je Reuters objavil maja 2014, številne velike korporacije, kot sta Pepsi in JPMorgan Chase & Co., odhajajo na nove vodje uradnikov za informacijsko varnost (CISO), da bi okrepili varnostne prakse. To kaže na večjo ozaveščenost o varnosti in njenem pomenu na ravni izvršnih podjetij.
CISO in glavni uradniki za kibernetsko varnost so potopljeni v varnost svojih tehnologij tako za delodajalce kot stranke, vendar so njihove vloge in odgovornosti v očeh širše javnosti vse bolj izrazite in nujne, ne le med varnostno skupnostjo.
"Pred petimi leti je informacijska varnost komaj premagala prvih 10 vprašanj odborov. Pred letom dni je bilo to drugo. Zanimivo je, da je zdaj varnost podatkov in ne le informacijska varnost, " pravi David Boehmer, regionalni poslovodni partner pri zaposlovanju podjetja Heidrick & Se bori v YouTubovem videoposnetku, ki ga je pripravila družba.)
Kaj dela CISO
Vloga CISO je lahko precej široka in pogosto se znajdejo v različnih klobukih. Delo vključuje vse, od notranje varnosti, kot je upravljanje varnosti intelektualne lastnine, do odgovornosti za varnost strank.
"Delam tudi z našo skupino izdelkov in inženirsko ekipo, da vnesem funkcije v izdelek, ki bi bile lahko zanimive za varnostne kupce, " pravi Joan Pepin, CISO iz podjetja Sumo Logic.
Medtem ko je lani zaradi kršitve Target zagotovo veliko ljudi govorilo, Pepin pojasnjuje, da ni bila vse tako presenečena - in niti večina varnostne skupnosti. To pa ne pomeni, da varnostna skupnost ni imela svojih "prelomnih trenutkov", kjer bi morali vsi okrepiti svoje delo naprej.
Kršitev RSA leta 2011, v kateri so hekerji kršili strežnike informacijske družbe in ukradli žetone za preverjanje pristnosti, ki so omogočali dostop do občutljivih vladnih in korporativnih podatkov, je bilo veliko varnostnih strokovnjakov. Kako lahko varnostno podjetje postane takšen hekerjem? Šele dve leti pozneje bi se ta skrb preusmerila na cilj, ki je prej letel pod radar: maloprodajne kupce. Napadi, kot so bili opaženi pri Targetu in Neimanu Marcusu, so pozornost preusmerili na varnost vsakodnevne stranke.
"Jasno je, da imate množično maloprodajno operacijo s tisoči in tisoči zaposlenih, vsa ta različna spletna mesta, prodajni stroji, to je najrevnejši sistem in dejstvo, da se ti napadi na to niso zgodili. vrsta lestvice prej me pravzaprav nekoliko preseneti, "je dejal Pepin.
Vprašanje izhaja iz tega, da se varnost obravnava kot preprosto potrditveno polje, da podjetja lahko odkljukajo in ne smejo biti nenehno urejeni vidik njihovega poslovanja. To ne pomeni, da so kibernetski kriminalci lahki in se lahko samo sprehodijo. Kibernetski kriminalci pravzaprav postajajo vse bolj usposobljeni.
"je bila precej prefinjena kršitev, ki je lahko lažno predstavljala agenta BMC, in tiste vrste prikritih stvari. Vpletanje v stranske premike po celotni mreži Target je bilo precej pametno, " je dejal Pepin.
"Nočem se odvzeti od tega, vendar glede na težke cilje, brez punkcije, nikoli ne bi uvrstil nobene trgovske verige na seznam trdih ciljev. Varnostne družbe so težke tarče, vlada je težka tarča. Nekatere trgovske verige, ki se ukvarjajo s prodajo nogavic, ne bi pričakoval, da bodo super varna trgovina. "
Pokrajina za varnostne strokovnjake
Junija 2014 je Target najel svojega prvega CISO-ja, Brada Maiorinoja, nekdanjega izvršnega direktorja General Motorsa, ki bo nadzoroval prenovo varnostnih praks podjetja.
Podjetja, ne glede na njihovo področje ali velikost, bodo morala upoštevati in izboljšati svojo varnostno igro kot odgovor na vedno večje grožnje z večjo ozaveščenostjo in večjo pristojnostjo za ukrepanje ob morebitnih kršitvah.
"V primeru Target je bilo jasno, da so se sprožila opozorila, na katera se nihče ni odzval in da je po mojih izkušnjah, ki izhajajo iz upravljane varnosti, izjemno tipično, " je dejal Pepin.
"Najboljši sistem za odkrivanje vdorov na svetu je še vedno zelo lažno pozitiven, zato jih varnostni odzivalci v osnovi usposabljajo, da prezrejo svoje sisteme. Tam je tehnološki razkorak med človeškimi interakcijami, kjer prvi odzivniki postanejo otrplo na tisoče opozorila, da so tam smeti. V primeru Target je bilo nekaj znakov, ki niso bili nadzorovani, kar bi lahko pomagalo zmanjšati vpliv veliko prej. "
Kot je pogosto, varnostni delavec ne more takoj ukrepati glede vprašanja, ker potrebuje dovoljenje ali odobritev od nekoga drugega, ki je višji v hierarhiji. To se mora spremeniti, pravi Pepin in pojasnjuje, da mora imeti varnostna skupina podjetja več samostojnosti in pooblastil, da prevzame pobudo.
"Menim, da je še vedno vprašanje upravljanja pri tem, da se glavni uradniki za varnost informacij ne bi smeli prijavljati CIO, " pravi Tom Kellermann, glavni direktor za kibernetsko varnost pri Trend Micro. "Poročati bi morali neposredno glavnemu direktorju za tveganja ali direktorju." To marsikoga od posrednikov odpravi in zagotovi hitrejši odzivni čas za morebitne nujne primere.
Pepin se strinja, da bi morali varnostni strokovnjaki v svojem podjetju "poročati prav na vrh". "Imam veliko srečo, da poročam svojemu izvršnemu direktorju. To deluje zelo dobro in to bi resnično priporočal vsaki organizaciji, ki svojo varnost jemlje resno."
Drugi proračuni in varnost za MSP
Najem CISO in razširitev varnostne ekipe je vse dobro in dobro, če imate proračun, kaj pa manjša podjetja? Medtem ko napad na majhno verigo ali lokalno trgovino s strojno opremo hekerjem ne bo prinesel enakih koristi kot napadanje na tarčo ali Neiman Marcus, je še vedno nespametno, da se na kakršen koli način pustite ranljivi. Kaj lahko torej storite, da ublažite tveganje za napad? Pepin močno priporoča najem storitev izvajalca ali svetovalca za odzivanje na nesreče.
"V primeru, da vas napade, imate nekoga, ki ga lahko pokličete, zato vam ni treba odpreti Googla in začeti iskati, " je dejala.
To bo za manjše podjetje bolj ekonomsko smiselno, pojasnjuje, saj bodo podjetja storitve uporabljala le, ko bodo potrebne. Te storitve so tudi izredno specializirane za izbiro tam, kjer je vaše osebje odšlo.
"Lahko imate fantastično ekipo za preizkušanje in razumevanje, da vas napadajo, vendar to ni povsem enak nabor spretnosti, potrebnih za odgovor na napad, za njihovo usmerjanje iz omrežja in za zbiranje dokazov na način, ki lahko se uporablja na sodišču. "
Podjetja imajo na voljo veliko virov za boj proti kibernetski kriminaliteti. Nedavna zgodovina kaže, da je za vogalom še en velik napad.