Content
- Què fa un CISO
- El paisatge per a professionals de la seguretat
- Altres pressupostos i seguretat per a les pimes
Font: Bahrialtay / Dreamstime.com
Emportar:
La seguretat de les empreses i els seus clients estan sota escrutini, cosa que significa una major necessitat de professionals de la seguretat. Això comença amb un CISO.
Els ciberataques estan dirigits a empreses a un ritme alarmant. Les grans infraccions a Target el desembre de 2013 i Neiman Marcus el gener del 2014 van reflectir un gran focus en les insuficiències que molts comerços minoristes tenen en la seva infraestructura de seguretat. Com a resultat, cada vegada són més les empreses, tant grans com petites, que senten la necessitat de reforçar els seus esforços i disposen d’un equip de seguretat dedicat.Segons un informe publicat per Reuters el maig de 2014, diverses grans corporacions, com Pepsi i JPMorgan Chase & Co., estan a la recerca de nous oficials de seguretat de la informació (CISO) per intentar reforçar les pràctiques de seguretat. El que reflecteix és una major consciència de la seguretat i la seva importància a nivell executiu de les empreses.
Els CISO i els principals agents de ciberseguretat estan immersos en la seguretat de la seva tecnologia, tant per a empresaris com per a clients, però els seus rols i responsabilitats són cada cop més manifesta i imperatiu als ulls del gran públic, no només entre la comunitat de seguretat.
"Fa cinc anys, la seguretat de la informació amb prou feines va treure les 10 principals preocupacions de les juntes. Fa un any, era el número 2. És interessant que ara sigui la seguretat de les dades i no només la seguretat de la informació", afirma David Boehmer, soci regional de la empresa de contractació Heidrick & Struggles, en un vídeo de YouTube produït per l'empresa.)
Què fa un CISO
El paper d’un CISO pot ser força ampli i sovint es troben amb molts barrets diferents. La feina implica tot, des de la seguretat interna, com la gestió de la seguretat de la propietat intel·lectual, fins a ser responsable de la seguretat del client."També treballo amb el nostre equip de producte i equip d'enginyeria per implementar funcions del producte que puguin ser interessants per als compradors de seguretat", afirma Joan Pepin, CISO de Sumo Logic.
Tot i que l’incompliment de Target de l’any passat sens dubte va parlar amb molta gent, Pepin explica que no va quedar gens sorprès, ni tampoc la majoria de la comunitat de seguretat. Això no vol dir que la comunitat de seguretat no hagi tingut els seus "moments aigües", on tothom necessitava reforçar la seva tasca endavant.
L'incompliment RSA del 2011, en què els pirates informàtics van violar els servidors de les companyies de seguretat de la informació i van robar fitxes d'autenticació que proporcionaven accés a dades governamentals i corporatives sensibles, van provocar molts professionals de la seguretat. Com podria una empresa de seguretat caure presa de pirates informàtics així? Només dos anys després, aquesta preocupació passaria a un objectiu que abans havia volat sota el radar: els clients minoristes. Els atacs com els que es van veure a Target i Neiman Marcus van cridar l'atenció a la seguretat per al client quotidià.
"És evident que quan teniu una operació minorista massiva amb milers i milers d'empleats, tots aquests llocs diferents, màquines puntuals de venda, aquest és el tipus de sistema més pobre i el fet que aquests tipus d'atacs no es produïssin en això. El tipus d’escala més aviat és per a mi una sorpresa ", va dir Pepin.
El problema es deriva de la consideració de la seguretat com simplement una casella de verificació per a que les empreses marquin i deixin de ser en lloc d’un aspecte constant del seu negoci. Això no vol dir que els ciberdelinqüents siguin labs i només puguin entrar-hi. De fet, els ciberdelinqüents són cada cop més qualificats.
"Va ser una infracció bastant sofisticada, capaç de suprimir l'agent BMC, i aquest tipus de coses furtives. Comprendre moviments laterals a tota la xarxa Target va ser bastant intel·ligent", va dir Pepin.
"No vull apartar-me d'això, però en termes de dificultat en l'objectiu, sense cap intenció, mai posaria cap cadena minorista en una llista d'objectius durs. Les empreses de seguretat són objectius durs, el govern és un objectiu dur. Alguna cadena al detall que el seu negoci està venent mitjons, no m'agradaria que fossin una botiga súper segura. "
El paisatge per a professionals de la seguretat
Al juny de 2014, Target va contractar el seu primer CISO, Brad Maiorino, un ex-executiu de General Motors que supervisarà una revisió de les pràctiques de seguretat de l'empresa.Les empreses, independentment del seu camp o de la seva mida, hauran de prendre nota i millorar el seu joc de seguretat en resposta a amenaces cada vegada més grans amb major consciència i més autoritat per actuar contra possibles incompliments.
"Va quedar clar ... en el cas Target, es van generar alertes a les quals ningú va respondre i que, segons la meva experiència procedent de la seguretat gestionada, és extremadament típic", va dir Pepin.
"El millor sistema de detecció d'intrusions del món encara té una taxa falsa molt positiva i, per tant, els que responen a la seguretat són bàsicament entrenats pels seus sistemes per ignorar els seus sistemes. Hi ha una bretxa tecnològica en la interacció humana, on els primers que responen s'adormen amb els milers de Les alertes que aconsegueixen que són escombraries. En el cas de Target, hi va haver alguns signes que no es van fer un seguiment que podrien haver contribuït a minimitzar l'impacte molt abans. "
Com sol passar, un professional de la seguretat no pot actuar immediatament sobre un problema perquè necessita el permís o l'aprovació d'algú més alt a la jerarquia. Això ha de canviar, segons Pepin, que explica que l’equip de seguretat d’una empresa ha de tenir més autonomia i autoritat per prendre la iniciativa.
"Crec que continua sent un problema de govern en què els oficials de seguretat de la informació no haurien de presentar informes als CIOs", afirma Tom Kellermann, cap de ciberseguretat de Trend Micro."Haurien d’informar directament al cap de risc o al conseller delegat directament". Això redueix a molts intermediaris i assegura un temps de resposta més ràpid davant les emergències potencials.
Pepin accepta que els professionals de la seguretat haurien de "denunciar el dret a la part superior" de la seva empresa. "Tinc la sort de denunciar al nostre conseller delegat. Això funciona molt bé i això és una cosa que recomanaria a qualsevol organització que es prengui seriosament la seva seguretat".
Altres pressupostos i seguretat per a les pimes
Contractar un CISO i ampliar el vostre equip de seguretat és bo si teniu el pressupost, però, i les empreses més petites? Si bé un atac a una petita cadena o al vostre magatzem de maquinari local no obtindrà els mateixos avantatges per als pirates informàtics que colpejar un Target o un Neiman Marcus, encara no serà prudent deixar-se vulnerable de cap manera. Què podeu fer per mitigar el risc d’atac? Pepin recomana fermament contractar els serveis d’un contractista o consultor de resposta a incidents."En cas de ser atacat, teniu algú al qual podeu trucar, així que no haureu d'obrir Google i començar a buscar", va dir.
Això explicarà que tindrà més sentit econòmic per a una empresa més petita, ja que les empreses només utilitzaran els serveis quan siguin necessaris. Aquests serveis també són extremadament especialitzats a recollir el lloc on el vostre personal ha abandonat.
"Pot tenir un equip fantàstic per triar, entenent que estàs en atac, però no és exactament el mateix conjunt d'habilitats necessàries per respondre a aquest atac, per dirigir-les fora de la xarxa i recopilar les proves d'una manera que pugui utilitzar-se en un tribunal de dret ".
Les empreses tenen a la seva disposició molts recursos per combatre el ciberdelinqüència. La història recent suggereix que un altre atac important està a la volta de la cantonada.