公司人员-2015年的安全更改!

将安全性视为业务风险而不仅仅是IT风险,每家公司现在应该考虑三种特定的公司官员行动

董事会成员,首席执行官,首席信息官,公司官员:您信任首席财务官(CFO)。但是,您仍然每个季度都要花费数百万美元聘请外部专家,以确保CFO正确地计算了每一分钱,不会错过任何技巧,并且您的利益相关者可以确信您的财务状况良好。

为什么每个季度在外部审计师身上花费那么多时间和金钱?简短的答案:财务法规。这是处理他人钱财的条件,因此您做到了。您也这样做是因为,作为公司高管,您签署了10Q季度报告,表明CFO告诉您的消息是正确的,并且知道如果犯了错误,资金遗漏或错误归档或适用了错误的原则,则将受到罚款,罚款,资产损失甚至失业也将属于您。

 欢迎来到2015!请允许我向您介绍您的首席安全官(CSO)。尽管名声大振,但您的CSO很少像您一样是“真正的”公司官员。通常,CSO仍会向CIO报告,因此属于您企业的I.T.科。

 信任但要验证

 您的CSO是公司中最聪明的安全人员,但经常以您不仅不理解的方式进行交谈,甚至以您不想理解的方式进行交谈。 公民社会组织谈论要为此措施或服务增加资金,而您所想到的就是:“ Geez,我们刚刚在上个季度给了您预算!”

 正如您的其他部门负责人一样,CSO很少量化投资回报率。取而代之的是,CSO谈论了对其他公司的威胁,而您想知道的是,到底有谁愿意同时攻击您的公司?您有防火墙,并且被迫记住(好吧,在您的秘密位置写下)越来越多的密码,这些密码是NOBODY可以猜测的。您符合PCI(用于支付卡)和HIPAA(健康记录)等行业标准,因此必须受到保护。

 简而言之,您需要信任您的公民社会组织 就像您信任CFO一样,就像里根总统信任苏联解除武装一样:“相信但要核实”。

 涉及安全的官员

 安全性不再是IT问题,而是业务问题。公司官员必须加倍努力,以确保其CSO有能力保护公司免受当今针对您公司的风险。

 指向其他不太幸运的高管并开怀大笑很容易,例如“ sony123”之类的高管密码;网络内部恶意软件将近一年没有被发现;公开保存的敏感电子邮件;匆匆制作了未经检查的软件安全性;没有人注意到泄漏了足够的数据来填充国会图书馆-谁会允许这样的事情?

 反映漏洞

 现在是镜子时间。你们中的大多数人都允许公司采用某些完全相同的做法,甚至您都不知道。您的公司和其他公司之间唯一的真正区别是,幸存下来的四个字母的单词:LUCK。

 您今天发现的所有旧式防病毒软件都无法找到今天定制的新式攻击。货架软件和不受监视的安全系统对他们毫无用处。您的旧软件无法与它们竞争。而且,如果您的CSO一直在谈论需要更多的防火墙来防御,则应将其解雇。

 您今天应该关注三种策略:

1)   了解攻击者在攻击之前在网络内部四处移动。 这意味着它们今天在您的网络中!在获得足够的信息和攻击权限之前,请先使用这个窗口占据优势,然后再释放恶意软件(是的,正如ARAMCO,Sony和其他公司可以证明的那样,恶意软件可以物理破坏系统)。这是找到并杀死恶意软件的最佳机会。但是了解外观,外观和使用哪种工具是专业游戏。不仅仅是购买最新的魔力象限赢家,还是媒体宠儿。它需要工具,技能,实践和经验,而您可能根本不会拥有(或为此付费)。当心错误的安全感。

  2)   协作罪犯的方式。 多年来,我参与的大多数辩护和调查都拥有一个共同的主导者-敌对合作。无论您的主要攻击者是在追求金钱,报仇还是重大破坏—诸如有组织犯罪,恐怖分子,国家行为者,非国家行为者,心怀不满的内部人员之类的团体—都倾向于一起工作,共享/交易/购买见解,工具,代码,武器和甚至您的知识产权。您需要与好人积极协作,包括执法人员,安全专家,信息共享和分析中心(ISAC),安全协会,甚至是您的竞争对手。  

  3)   做出响应,就好像您的职业依赖它。 像您这样的高管打电话给我,以帮助您始终应对重大攻击(通常在凌晨2点!)。在大多数情况下,对话是这样开始的:“汤姆,我知道您告诉我要做好准备,但是……您必须提供帮助!我该怎么办?”

答案?成功的事件响应(IR)具有三个非常简单且具有成本效益的关键:计划,实践和人员。每个上市公司都应该有一个完整的,最新的IR计划,该计划应已建立,以预期发生事件并提供有效响应的培训。

  我制定的大多数计划都预计会发生80%以上的实际事件,因此在第一天晚上,您只担心了解最后20%的情况。大多数IR是由法律,通讯和技术计划,编写脚本并预先批准的。您已经每个季度参加了实际练习以保持最新状态,并且确定了IR小组的成员。

  大多数公司不会在等待这一晚的工作人员中保留数十名法医调查人员。没有一家公司会购买所有最新工具,并始终保持发掘当今攻击所需的最新技术。但是,每家上市公司都应该与具有这些功能并且已成为您的季度实践会议不可或缺的一部分的可信赖的全球IR合作伙伴签订预先合同。

如果您的第一个电话要花费超过两分钟的时间到达IR值班人员(是的,即使是在凌晨2:00),并且该人员无法在您的第一个电话中激活您的响应计划,那么您的风险就很大。最初的几个小时通常会导致您判断您的响应是否成功或需要解决的问题有所不同。

您公司的安全是 您的 作为公司官员的信托责任。您需要做出的决定不是技术性的;您不需要了解IPv4和IPv6之间的区别(不是2),也不需要了解SCADA的含义(监督控制…没关系)。

您需要能说您语言的董事会和公司官员级别的安全建议,或者需要精通网络的新董事会成员或特定于这个快节奏世界的外部专家,以使您与对手保持同步。就像您的CFO一样,您需要为CSO提供他们所需的专家支持,并使他们对管理风险负责,就好像公司的生存赖以生存。是的

版权© 2015 IDG通讯,Inc.