Innholdsfortegnelse:
Bedrifter blir målrettet av cyberattacks i en alarmerende hastighet. Store brudd på Target i desember 2013 og Neiman Marcus i januar 2014 lyste et stort stort søkelys på manglene som mange utsalgssteder har i sikkerhetsinfrastrukturen. Som et resultat føler stadig flere selskaper, både store og små, behovet for å øke innsatsen og ha et dedikert sikkerhetsteam.
Ifølge en rapport utgitt av Reuters i mai 2014, er et antall store selskaper, som Pepsi og JPMorgan Chase & Co., på jakt etter nye sjef for informasjonssikkerhet (CISO) i et forsøk på å styrke sikkerhetspraksis. Det dette reflekterer er en større bevissthet om sikkerhet og dens betydning på virksomhetens ledelsesnivå.
CISOs og sjefer for cybersikkerhet er fordypet i sikkerheten til teknologien deres, både for arbeidsgiver og klient, men deres roller og ansvar blir mer uttalt og avgjørende for allmennheten, ikke bare blant sikkerhetssamfunnet.
"For fem år siden knakk informasjonssikkerhet knapt de ti beste bekymringene fra styrer. For et år siden var det nr. 2. Interessant er det nå datasikkerhet og ikke bare informasjonssikkerhet, " sier David Boehmer, regional administrasjonspartner ved rekrutteringsfirmaet Heidrick & Sliter i en YouTube-video produsert av selskapet.)
Hva en CISO gjør
Rollen til en CISO kan være ganske bred, og de finner seg ofte i mange forskjellige hatter. Jobben innebærer alt fra intern sikkerhet, for eksempel å styre sikkerheten for åndsverk, til å være ansvarlig for kundesikkerhet.
"Jeg jobber også med vårt produktteam og vårt tekniske team for å implementere funksjoner i produktet som kan være interessant for sikkerhetskjøpere, " sier Joan Pepin, en CISO i Sumo Logic.
Mens målbruddet i fjor absolutt fikk mange mennesker til å snakke, forklarer Pepin at hun ikke var så overrasket - og heller ikke var det meste av sikkerhetssamfunnet. Det er ikke å si at sikkerhetssamfunnet ikke har hatt sine "vannskilleøyeblikk", der alle trengte å forsterke arbeidet sitt fremover.
RSA-bruddet i 2011, der hackere brøt informasjonssikkerhetsselskapets servere og stjal godkjenningstokener som ga tilgang til sensitive myndigheter og bedriftsdata, hadde mange sikkerhetspersoner til å rase over. Hvordan kan et sikkerhetsselskap falle byttedyr for slike hackere? Bare to år senere skulle den bekymringen skifte til et mål som tidligere hadde fløyet under radaren: personkunder. Angrep som de som ble sett på Target og Neiman Marcus skiftet oppmerksomheten mot sikkerhet for den daglige kunden.
"Åpenbart når du har en massiv detaljhandel med tusenvis av tusenvis av ansatte, alle disse forskjellige nettstedene, salgssteder, det er den aller fattigste typen system, og det faktum at de typer angrep ikke skjedde på det type skala før er faktisk litt av en overraskelse for meg, "sa Pepin.
Problemet stammer fra at sikkerhet blir sett på som en avkrysningsrute for selskaper å krysse av og la være i stedet for et konstant polert aspekt av virksomheten. Dette betyr ikke at nettkriminelle er slappe og bare kan gå inn. Faktisk blir nettkriminelle stadig mer dyktige.
"var et ganske sofistikert brudd, i stand til å etterligne BMC-agenten, og de typer stealthy ting. Å delta i sidebevegelser i hele Target-nettverket var ganske smart, sa Pepin.
"Jeg vil ikke ta fra det, men med tanke på vanskeligheter i mål, ingen ordspill ment, ville jeg aldri plassert noen butikkjede på en liste over harde mål. Sikkerhetsselskaper er harde mål, myndighetene er et hardt mål. Noen detaljhandlekjeder hvis virksomhet selger sokker, ville jeg ikke forvente at de skal være en supersikker butikk. "
Landskapet for sikkerhetsfolk
I juni 2014 leide Target sin første CISO, Brad Maiorino, en tidligere General Motors-leder som skal føre tilsyn med en revisjon av selskapets sikkerhetspraksis.
Bedrifter, uavhengig av felt eller størrelse, må ta oppmerksomhet og forbedre sitt sikkerhetsspill som svar på stadig voksende trusler med større bevissthet og mer autoritet til å handle på potensielle brudd.
"Det var tydelig … i Target-saken at det ble generert varsler som ingen responderte på, og som etter min erfaring fra administrert sikkerhet er ekstremt typisk, sa Pepin.
"Det beste inntrengningsdeteksjonssystemet i verden har fremdeles en veldig høy falsk positiv hastighet, og derfor er sikkerhetsresponsere i utgangspunktet opplært av systemene sine til å ignorere systemene sine. Det er et teknologisk menneskelig interaksjonsgap der, der de første svarerne blir følelsesløse for tusenvis av varsler om at de får det som er søppel. Når det gjelder Target, var det noen tegn som ikke ble fulgt opp på som kunne ha bidratt til å minimere virkningen mye før. "
Som ofte er tilfelle, kan en sikkerhetsperson ikke umiddelbart handle om et spørsmål fordi de trenger godkjenning eller godkjenning fra noen andre som er høyere oppe i hierarkiet. Dette må endres, sier Pepin, og forklarer at et virksomhets sikkerhetsteam må ha mer autonomi og autoritet til å ta initiativ.
"Jeg føler at det fremdeles er et styringsspørsmål i og med at sjef for informasjonssikkerhetsansvarlige ikke bør rapportere til CIOs, " sier Tom Kellermann, sjef for cybersecurity i Trend Micro. "De bør rapportere direkte til sjef for risikoansvarlig eller til administrerende direktør." Dette kutter ut mange av mellommennene og sikrer en raskere responstid på potensielle nødsituasjoner.
Pepin er enig i at sikkerhetsfagfolk skal "rapportere rett til toppen" i selskapet sitt. "Jeg er heldig nok til at jeg rapporterer til administrerende direktør. Det fungerer veldig bra, og det er noe jeg virkelig vil anbefale for enhver organisasjon som tar sikkerheten på alvor."
Andre budsjetter og sikkerhet for SMB
Å ansette en CISO og utvide sikkerhetsteamet ditt er vel og bra hvis du har budsjett, men hva med mindre selskaper? Mens et angrep på en liten kjede eller din lokale jernvarehandel ikke vil høste de samme fordelene for hackere som å treffe et Target eller Neiman Marcus, er det fremdeles uklokt å forlate deg selv sårbar på noen måte. Så hva kan du gjøre for å dempe risikoen for angrep? Pepin anbefaler på det sterkeste å ansette tjenestene til en entreprenør eller konsulent med en hendelsesrespons.
"I tilfelle du blir angrepet, har du noen du kan ringe, slik at du ikke trenger å åpne Google og begynne å lete, " sa hun.
Dette vil gi mer økonomisk mening for et mindre selskap, forklarer hun, ettersom virksomheten bare vil bruke tjenestene når det trengs. Disse tjenestene er også ekstremt spesialiserte i å hente dit personalet har sluttet.
"Du kan ha et fantastisk team for triaging, forstå at du er under angrep, men det er ikke akkurat det samme settet av ferdigheter som trengs for å svare på dette angrepet, for å rute dem ut av nettverket ditt og samle bevisene på en måte som kan brukes i en domstol. "
Bedrifter har mange ressurser til rådighet for å bekjempe nettkriminalitet. Nyere historie antyder at nok et stort angrep er rett rundt hjørnet.
