Sommario:
- Cosa fa un CISO
- Il paesaggio per i professionisti della sicurezza
- Altri bilanci e sicurezza per le PMI
Le imprese vengono prese di mira dagli attacchi informatici a un ritmo allarmante. Importanti violazioni di Target nel dicembre 2013 e Neiman Marcus nel gennaio 2014 hanno messo in luce un grande riflettore sulle inadeguatezze che molti punti vendita hanno nella loro infrastruttura di sicurezza. Di conseguenza, sempre più aziende, sia grandi che piccole, sentono la necessità di intensificare gli sforzi e disporre di un team di sicurezza dedicato.
Secondo un rapporto pubblicato da Reuters nel maggio 2014, un certo numero di grandi società, come Pepsi e JPMorgan Chase & Co., sono alla ricerca di nuovi responsabili della sicurezza delle informazioni (CISO) nel tentativo di rafforzare le pratiche di sicurezza. Ciò riflette una maggiore consapevolezza della sicurezza e della sua importanza a livello esecutivo.
I CISO e i principali responsabili della sicurezza informatica sono immersi nella sicurezza della loro tecnologia, sia per il datore di lavoro che per il cliente, ma i loro ruoli e responsabilità stanno diventando più pronunciati e imperativi agli occhi del grande pubblico, non solo all'interno della comunità della sicurezza.
"Cinque anni fa, la sicurezza delle informazioni ha a malapena risolto le prime 10 preoccupazioni dei consigli di amministrazione. Un anno fa, era la numero 2. È interessante notare che ora è la sicurezza dei dati e non solo la sicurezza delle informazioni", afferma David Boehmer, socio dirigente regionale della società di reclutamento Heidrick & Lotta, in un video di YouTube prodotto dalla società.)
Cosa fa un CISO
Il ruolo di un CISO può essere piuttosto ampio e spesso si ritrovano a indossare molti cappelli diversi. Il lavoro coinvolge tutto, dalla sicurezza interna, come la gestione della sicurezza della proprietà intellettuale, alla responsabilità della sicurezza dei clienti.
"Lavoro anche con il nostro team di prodotto e il team di progettazione per implementare funzionalità nel prodotto che potrebbero essere interessanti per gli acquirenti di sicurezza", afferma Joan Pepin, CISO presso Sumo Logic.
Mentre la violazione di Target dell'anno scorso ha indotto molte persone a parlare, Pepin spiega che non è stata così sorpresa - e nemmeno la maggior parte della comunità della sicurezza. Questo non vuol dire che la comunità della sicurezza non abbia avuto i suoi "momenti di spartiacque", in cui tutti dovevano rafforzare il proprio lavoro andando avanti.
La violazione di RSA del 2011, in cui gli hacker hanno violato i server della società di sicurezza delle informazioni e rubato i token di autenticazione che hanno fornito l'accesso a dati governativi e aziendali sensibili, hanno fatto vacillare molti professionisti della sicurezza. Come può un'azienda di sicurezza cadere vittima di tali hacker? Solo due anni dopo, quella preoccupazione si spostava su un obiettivo che era precedentemente volato sotto il radar: i clienti al dettaglio. Attacchi come quelli osservati su Target e Neiman Marcus hanno spostato l'attenzione sulla sicurezza per il cliente quotidiano.
"Chiaramente quando si ha una massiccia operazione di vendita al dettaglio con migliaia e migliaia di dipendenti, tutti questi diversi siti, macchine per punti vendita, questo è il tipo di sistema più povero e il fatto che questi tipi di attacchi non si siano verificati su questo il tipo di scala prima è in realtà un po 'una sorpresa per me ", ha detto Pipino.
Il problema deriva dal fatto che la sicurezza viene vista come una semplice casella di controllo per le aziende da spuntare e lasciare piuttosto che un aspetto costantemente sorvegliato della loro attività. Ciò non significa che i criminali informatici siano rilassati e possano semplicemente entrare. In realtà, i criminali informatici stanno diventando sempre più abili.
"è stata una violazione piuttosto sofisticata, in grado di impersonare l'agente BMC, e quei tipi di cose furtive. Impegnarsi in movimenti laterali in tutta la rete Target è stato piuttosto intelligente, ha detto Pepin.
"Non voglio togliermelo, ma in termini di difficoltà nell'obiettivo, nessun gioco di parole inteso, non metterei mai una catena di vendita al dettaglio in un elenco di obiettivi difficili. Le compagnie di sicurezza sono obiettivi difficili, il governo è un obiettivo difficile. Qualche catena di negozi la cui attività è la vendita di calze, non mi aspetto che siano un negozio super sicuro ".
Il paesaggio per i professionisti della sicurezza
Nel giugno 2014, Target ha assunto il suo primo CISO, Brad Maiorino, ex dirigente di General Motors che supervisionerà una revisione delle pratiche di sicurezza dell'azienda.
Le aziende, indipendentemente dal loro campo o dalle loro dimensioni, dovranno prendere nota e migliorare il loro gioco di sicurezza in risposta a minacce in costante crescita con maggiore consapevolezza e maggiore autorità per agire su potenziali violazioni.
"Era chiaro … nel caso Target che sono stati generati avvisi a cui nessuno ha risposto e che, nella mia esperienza proveniente dalla sicurezza gestita, è estremamente tipico, ha detto Pipino.
"Il miglior sistema di rilevamento delle intrusioni al mondo ha ancora un tasso di falsi positivi molto elevato e quindi i soccorritori sono fondamentalmente addestrati dai loro sistemi a ignorare i loro sistemi. Esiste un gap tecnologico di interazione umana, dove i primi soccorritori diventano insensibili a migliaia di avverte che si tratta di immondizia. Nel caso di Target, c'erano alcuni segni che non erano stati seguiti e che avrebbero potuto aiutare a minimizzare l'impatto molto prima. "
Come spesso accade, un professionista della sicurezza non può intervenire immediatamente su un problema perché ha bisogno di autorizzazione o approvazione da qualcun altro nella gerarchia. Questo deve cambiare, dice Pepin, spiegando che il team di sicurezza di un'azienda deve avere più autonomia e autorità per prendere l'iniziativa.
"Ritengo che sia ancora un problema di governance in quanto i responsabili della sicurezza delle informazioni non dovrebbero riferire ai CIO", afferma Tom Kellermann, direttore della sicurezza informatica presso Trend Micro. "Dovrebbero riferire direttamente al Chief Risk Officer o all'Amministratore Delegato." Ciò elimina molti degli intermediari e garantisce un tempo di risposta più rapido alle potenziali emergenze.
Pepin concorda sul fatto che i professionisti della sicurezza dovrebbero "riportare al vertice" nella loro azienda. "Sono abbastanza fortunato da riferire al nostro CEO. Funziona molto bene ed è qualcosa che consiglierei davvero a qualsiasi organizzazione che prenda sul serio la sua sicurezza."
Altri bilanci e sicurezza per le PMI
Assumere un CISO ed espandere il tuo team di sicurezza va bene se hai il budget, ma per quanto riguarda le aziende più piccole? Mentre un attacco a una piccola catena o al tuo negozio di ferramenta locale non trarrà gli stessi benefici per gli hacker che colpiscono un bersaglio o Neiman Marcus, non è saggio lasciarti vulnerabile in alcun modo. Quindi cosa puoi fare per mitigare il rischio di attacco? Pepin raccomanda vivamente di assumere i servizi di un appaltatore o consulente per la risposta agli incidenti.
"Nel caso in cui vieni attaccato, hai qualcuno che puoi chiamare, quindi non devi aprire Google e iniziare a cercare", ha detto.
Ciò avrà più senso economico per un'azienda più piccola, spiega, poiché l'azienda utilizzerà i servizi solo quando sono necessari. Questi servizi sono inoltre estremamente specializzati nel riprendere da dove è stato interrotto il personale.
"Puoi avere una squadra fantastica per il triaging, capendo che sei sotto attacco ma non è esattamente la stessa serie di abilità necessarie per rispondere a quell'attacco, per instradarli fuori dalla tua rete e raccogliere le prove in un modo che possa essere utilizzato in un tribunale. "
Le aziende hanno molte risorse a disposizione per combattere il crimine informatico. La storia recente suggerisce che un altro grande attacco è proprio dietro l'angolo.
