Indholdsfortegnelse:
Virksomheder målrettes af cyberattacks til en alarmerende hastighed. Store overtrædelser ved Target i december 2013 og Neiman Marcus i januar 2014 lyste et stort stort fokus på manglerne, som en masse detailforretninger har i deres sikkerhedsinfrastruktur. Som et resultat føler flere og flere virksomheder, både store og små, behovet for at øge deres indsats og have et dedikeret sikkerhedsteam.
Ifølge en rapport, der blev frigivet af Reuters i maj 2014, er et antal store virksomheder, såsom Pepsi og JPMorgan Chase & Co., på jagt efter nye Chief Information Security Officer (CISO'er) i et forsøg på at styrke sikkerhedspraksis. Hvad dette afspejler er en større opmærksomhed om sikkerhed og dens betydning på virksomhedens ledelsesniveau.
CISO'er og cheferne for cybersikkerhed er nedsænket i sikkerheden i deres teknologi, både for arbejdsgiver og klient, men deres roller og ansvar bliver mere udtalt og bydende i offentlighedens øjne, ikke kun blandt sikkerhedssamfundet.
"For fem år siden knækkede informationssikkerhed næppe de 10 øverste anliggender fra bestyrelser. For et år siden var det nr. 2. Interessant nok er det nu datasikkerhed og ikke kun informationssikkerhed, " siger David Boehmer, regional administrationspartner hos rekrutteringsfirmaet Heidrick & Kæmper i en YouTube-video produceret af virksomheden.)
Hvad en CISO gør
CISO's rolle kan være ganske bred, og de finder ofte selv at have mange forskellige hatte på. Jobbet involverer alt fra intern sikkerhed, såsom styring af intellektuel ejendomssikkerhed, til at være ansvarlig for kundesikkerhed.
"Jeg arbejder også med vores produktteam og vores tekniske team for at implementere funktioner i produktet, der kan være interessant for sikkerhedskøbere, " siger Joan Pepin, en CISO hos Sumo Logic.
Mens målbruddet sidste år helt sikkert fik mange mennesker til at tale, forklarer Pepin, at hun ikke var så overrasket - og heller ikke var det meste af sikkerhedsfællesskabet. Det er ikke at sige, at sikkerhedsfællesskabet ikke har haft sine "vandskille-øjeblikke", hvor alle havde brug for at forstærke deres arbejde fremad.
RSA-overtrædelsen i 2011, hvor hackere overtrådte informationssikkerhedsselskabets servere og stjal autentificeringstokener, der gav adgang til følsomme regerings- og virksomhedsdata, havde mange sikkerhedsfolk til at undgå. Hvordan kan et sikkerhedsfirma falde bytte for hackere som sådan? Først to år senere skulle denne bekymring skifte til et mål, der tidligere var fløjet under radaren: detailkunder. Angreb som dem, der blev set på Target og Neiman Marcus, skiftede opmærksomheden mod sikkerhed for den daglige kunde.
"Det er klart, når du har en massiv detailoperation med tusinder og tusinder af ansatte, alle disse forskellige websteder, salgssteder, det er den allermest fattige slags system, og det faktum, at disse typer angreb ikke skete på det type skala før er faktisk en overraskelse for mig, ”sagde Pepin.
Problemet stammer fra, at sikkerhed ses som et afkrydsningsfelt for virksomheder, der skal krydse og forlade, snarere end et konstant poliseret aspekt af deres forretning. Det betyder ikke, at cyberkriminelle er slappe og bare kan gå i. Faktisk bliver cyberkriminelle mere og mere dygtige.
"var en temmelig sofistikeret overtrædelse, der var i stand til at efterligne BMC-agenten, og disse typer stealthy ting. At engagere sig i laterale bevægelser i hele Target-netværket var ret smart, sagde Pepin.
"Jeg vil ikke fjerne det, men i form af vanskeligheder med at målrette, ingen ordspil bestemt, ville jeg aldrig placere nogen detailkæde på en liste over hårde mål. Sikkerhedsfirmaer er hårde mål, regeringen er et hårdt mål. Nogle detailkæder, hvis virksomhed sælger sokker, ville jeg ikke forvente, at de skulle være en supersikker butik. "
Landskabet for sikkerhedsfolk
I juni 2014 ansatte Target sin første CISO, Brad Maiorino, en tidligere General Motors-direktør, der vil føre tilsyn med en revision af virksomhedens sikkerhedspraksis.
Virksomheder, uanset deres felt eller deres størrelse, bliver nødt til at være opmærksomme på og forbedre deres sikkerhedspil som reaktion på stadigt voksende trusler med større opmærksomhed og mere autoritet til at handle mod potentielle overtrædelser.
"Det var klart … i Target-sagen blev der genereret alarmer, som ingen reagerede på, og at min erfaring, der kommer fra styret sikkerhed, er ekstremt typisk, sagde Pepin.
"Det bedste indtrædelsesdetektionssystem i verden har stadig en meget høj falsk positiv hastighed, og derfor er sikkerhedsresponsere dybest set trænet af deres systemer til at ignorere deres systemer. Der er et teknologisk menneskeligt interaktionsgap der, hvor de første respondenter bliver følelsesløse for de tusinder af advarer om, at de får det, der er skrald. I tilfælde af Target var der nogle tegn, der ikke blev fulgt op på, som kunne have hjulpet med at minimere virkningen meget før. "
Som det ofte er tilfældet, kan en sikkerhedsperson ikke øjeblikkeligt handle på et spørgsmål, fordi de har brug for godkendelse eller godkendelse fra en anden højere oppe i hierarkiet. Dette skal ændres, siger Pepin og forklarer, at et virksomheds sikkerhedsteam skal have mere selvstyre og autoritet til at tage initiativet.
"Jeg føler, at det stadig er et ledelsesproblem, idet chefer for informationssikkerhed ikke bør rapportere til CIO'er, " siger Tom Kellermann, chef for cybersikkerhed hos Trend Micro. "De skal rapportere direkte til den øverste risikobetjent eller til administrerende direktør." Dette afskærer mange af mellemmændene og sikrer en hurtigere responstid på potentielle nødsituationer.
Pepin er enig i, at sikkerhedsfagfolk skal "rapportere helt til toppen" i deres virksomhed. "Jeg er heldig nok, at jeg rapporterer til vores administrerende direktør. Det fungerer meget godt, og det er noget, jeg virkelig vil anbefale til enhver organisation, der tager dens sikkerhed alvorligt."
Andre budgetter og sikkerhed for SMV'er
At ansætte en CISO og udvide dit sikkerhedsteam er godt og godt, hvis du har budgettet, men hvad med mindre virksomheder? Mens et angreb på en lille kæde eller din lokale hardwarebutik ikke høster de samme fordele for hackere som at ramme et Target eller Neiman Marcus, er det stadig uklokt at forlade dig selv sårbar på nogen måde. Så hvad kan du gøre for at mindske risikoen for angreb? Pepin anbefaler kraftigt at ansætte tjenester hos en kontrahent eller konsulent med en hændelsesrespons.
"I tilfælde af at du bliver angrebet, har du nogen, du kan ringe til, så du ikke behøver at åbne Google og begynde at kigge, " sagde hun.
Dette vil give mere økonomisk mening for et mindre firma, forklarer hun, da virksomheden kun vil bruge tjenesterne, når de er nødvendige. Disse tjenester er også yderst specialiserede i afhentning, hvor dit personale har holdt op.
"Du kan have et fantastisk team til triaging, forståelse af, at du er under angreb, men det er ikke nøjagtigt det samme sæt færdigheder, der kræves for at reagere på dette angreb, for at lede dem ud af dit netværk og for at indsamle beviserne på en måde, der bruges i en domstol. "
Virksomheder har mange ressourcer til rådighed for at bekæmpe cyberkriminalitet. Den seneste historie antyder, at endnu et stort angreb er lige rundt om hjørnet.