Cisos: zašto ih tvrtke trebaju više nego ikad prije

Poduzeća su napadnuta cyber napadima alarmantnom brzinom. Veliki prekršaji u Targetu u prosincu 2013. i Neiman Marcusu u siječnju 2014. zasvijetlili su veliku pozornost na neadekvatnosti koje ima puno maloprodajnih mjesta u svojoj sigurnosnoj infrastrukturi. Kao rezultat, sve više i više tvrtki, i velikih i malih, osjeća potrebu da pojačaju svoje napore i imaju posvećen sigurnosni tim.

Prema izvješću koje je Reuters objavio u svibnju 2014., brojne velike korporacije, poput Pepsija i JPMorgan Chase & Co., kreću u potragu za novim glavnim službenicima za informacijsku sigurnost (CISO) u namjeri da poboljšaju sigurnosne prakse. To odražava veću svijest o sigurnosti i njezinoj važnosti na izvršnoj razini poslovanja.

CISO-i i glavni službenici za cyber-sigurnost uronjeni su u sigurnost svojih tehnologija, kako za poslodavce, tako i za klijenta, ali njihove uloge i odgovornosti postaju sve izraženije i imperativnije u očima šire javnosti, a ne samo među sigurnosnom zajednicom.

"Prije pet godina informacijska sigurnost jedva je razbila najviših 10 problema odbora. Prije godinu dana to je bio broj 2. Zanimljivo je da je to sada sigurnost podataka, a ne samo informatička sigurnost", kaže David Boehmer, regionalni partner u tvrtki za zapošljavanje Heidrick & Bori se u YouTube videozapisu koji je proizvela tvrtka.)

Što CISO radi

Uloga CISO-a može biti prilično široka, a često se nađu u različitim šeširima. Posao uključuje sve, od interne sigurnosti, poput upravljanja sigurnošću intelektualnog vlasništva, do odgovornosti za sigurnost kupaca.

"Također radim s našim timom proizvoda i inženjerskim timom kako bih implementirala značajke u proizvodu koje bi mogle biti zanimljive kupcima sigurnosti", kaže Joan Pepin, iz CISO-a iz tvrtke Sumo Logic.

Iako je prošlogodišnji prekršaj Target sigurno mnogo ljudi razgovarao, Pepin objašnjava da ga ona nije sve iznenadila - a ni većina sigurnosne zajednice. To ne znači da sigurnosna zajednica nije imala svojih "prijelomnih trenutaka", tamo gdje su svi trebali pojačati svoj posao naprijed.

Kršenje RSA 2011. godine, u kojem su hakeri prekršili servere tvrtke za zaštitu informacija i ukrali žetone provjere autentičnosti koji su pružali pristup osjetljivim vladinim i korporativnim podacima, imali su brojne sigurnosne stručnjake. Kako zaštitarska tvrtka može postati plijen poput takvih hakera? Samo dvije godine kasnije, zabrinutost bi se prebacila na cilj koji je prethodno letio ispod radara: maloprodajne kupce. Napadi poput onih viđenih kod Target i Neiman Marcusa skrenuli su pozornost na sigurnost svakodnevnog kupca.

"Jasno, kada imate masovnu maloprodajnu operaciju s tisućama i tisućama zaposlenih, sve te različite stranice, strojevi na prodajnom mjestu, to je vrlo najsiromašnija vrsta sustava i činjenica da se takvi napadi nisu dogodili na tome vrsta ljestvice prije me zapravo pomalo iznenađuje ", rekao je Pepin.

Problem proizlazi iz toga što se sigurnost smatra jednostavno potvrdnim okvirom za kompanije da ih označe i ostave, a ne kao stalno kontrolirani aspekt svog poslovanja. To ne znači da su cyber-kriminalci laki i da mogu samo ući. U stvari, cyber-kriminalci postaju sve vještiji.

"bio je prilično sofisticiran prekršaj, u stanju da impresionira BMC agenta i one vrste prikrivenih stvari. Uključiti se u bočne pokrete kroz cijelu Target mrežu bilo je prilično pametno", rekao je Pepin.

"Ne želim se oduzimati od toga, ali s obzirom na poteškoće u ciljanju, bez ikakvih zadataka, nikada ne bih ni jedan trgovački lanac stavio na popis teških ciljeva. Sigurnosne tvrtke su teška meta, vlada je teška meta. Neki trgovački lanac čiji posao prodaje čarape, ne bih očekivao da će to biti super siguran dućan. "

Pejzaž za stručnjake za sigurnost

U lipnju 2014., Target je angažirao svog prvog CISO-a, Brada Maiorina, bivšeg izvršnog direktora General Motorsa koji će nadgledati remont sigurnosnih praksi tvrtke.

Poduzeća, bez obzira na njihovo područje ili veličinu, morat će uzeti u obzir i poboljšati svoju sigurnosnu igru ​​kao odgovor na sve veće prijetnje s većom sviješću i većim ovlastima za postupanje u slučaju potencijalnih kršenja.

"Bilo je jasno … u slučaju Target generiraju se upozorenja na koja nitko nije reagirao i da su, po mom iskustvu iz upravljane sigurnosti, krajnje tipična", rekao je Pepin.

"Najbolji sustav otkrivanja provale na svijetu i dalje ima vrlo visoku lažnu pozitivnu stopu, pa sigurnosni odazivači u osnovi obučavaju svoje sustave da ignoriraju svoje sustave. Tamo postoji tehnološki jaz ljudske interakcije, gdje prvi odzivnici postaju otuđeni na tisuće upozorenja da su oni smeće. U slučaju Targeta, bilo je nekih znakova koji nisu praćeni koji su mogli pomoći da se utjecaj smanji na mnogo prije. "

Kao što je to često slučaj, sigurnosni stručnjak ne može odmah odlučiti o nekom problemu jer im treba odobrenje ili odobrenje od nekog drugog višeg u hijerarhiji. To se mora promijeniti, kaže Pepin, objašnjavajući da sigurnosni tim tvrtke mora imati više autonomije i ovlasti za preuzimanje inicijative.

"Osjećam da je to i dalje problem upravljanja tim glavnim službenicima informacijske sigurnosti ne bi trebali prijavljivati ​​CIO-ovima", kaže Tom Kellermann, glavni službenik za kibernetičku sigurnost u Trend Micro-u. "Trebali bi izvještavati glavnog ravnatelja za rizike ili izravno izvršnog direktora." To uklanja mnoge posrednike i osigurava brže vrijeme reakcije na potencijalne hitne slučajeve.

Pepin se slaže da bi sigurnosni stručnjaci trebali "izvještavati pravo na vrh" u svojoj tvrtki. "Imam sreću da prijavim našem izvršnom direktoru. To funkcionira vrlo dobro i to bih zaista preporučio svakoj organizaciji koja ozbiljno shvaća svoju sigurnost."

Ostali proračuni i sigurnost za mala i srednja poduzeća

Unajmiti CISO i proširiti sigurnosni tim sve je dobro i dobro ako imate proračun, ali što je s manjim tvrtkama? Iako napad na mali lanac ili vašu lokalnu trgovinu hardverom neće donijeti iste pogodnosti hakerima kao što su udaranje u Target ili Neiman Marcus, još uvijek je nerazumno na bilo koji način ostati ugrožen. Pa što možete učiniti da ublažite rizik od napada? Pepin toplo preporučuje da zaposlite usluge izvođača ili savjetnika za reagiranje na incident.

"U slučaju da ste napadnuti, imate nekoga koga možete nazvati, tako da ne morate otvarati Google i početi tražiti", rekla je.

To će imati manje ekonomskog smisla za manju tvrtku, objašnjava, jer će posao koristiti usluge samo kad su potrebne. Ove su usluge također izuzetno specijalizirane za odabir mjesta gdje je vaše osoblje stalo.

"Možete imati fantastičan tim za ispitivanje, razumijevanje da ste napadnuti, ali to nije sasvim isti skup vještina potrebnih da se odgovori na taj napad, da se usmjeri van vaše mreže i da se prikupe dokazi na način koji može koristiti na sudu. "

Tvrtke imaju na raspolaganju mnogo resursa za borbu protiv cyber kriminala. Nedavna povijest sugerira da je još jedan veliki napad upravo iza ugla.