CISO లు: కంపెనీలకు ఎప్పటికన్నా ఎక్కువ అవసరం ఎందుకు

రచయిత: Eugene Taylor
సృష్టి తేదీ: 12 ఆగస్టు 2021
నవీకరణ తేదీ: 20 జూన్ 2024
Anonim
CISO లు: కంపెనీలకు ఎప్పటికన్నా ఎక్కువ అవసరం ఎందుకు - టెక్నాలజీ
CISO లు: కంపెనీలకు ఎప్పటికన్నా ఎక్కువ అవసరం ఎందుకు - టెక్నాలజీ

విషయము


మూలం: బహ్రీల్‌టే / డ్రీమ్‌స్టైమ్.కామ్

Takeaway:

వ్యాపారాలు మరియు దాని కస్టమర్ల భద్రత పరిశీలనలో ఉంది, అంటే భద్రతా నిపుణులకు ఎక్కువ అవసరం. అది CISO తో మొదలవుతుంది.

వ్యాపారాలను భయంకరమైన రేటుతో సైబర్‌టాక్‌లు లక్ష్యంగా చేసుకుంటున్నాయి. 2013 డిసెంబరులో టార్గెట్ వద్ద పెద్ద ఉల్లంఘనలు మరియు 2014 జనవరిలో నీమాన్ మార్కస్ చాలా భద్రతా చిల్లర దుకాణాలలో వారి భద్రతా మౌలిక సదుపాయాలలో ఉన్న లోపాలపై గొప్ప పెద్ద వెలుగు వెలిగించారు. తత్ఫలితంగా, పెద్ద మరియు చిన్న రెండు కంపెనీలు తమ ప్రయత్నాలను వేగవంతం చేయాల్సిన అవసరం ఉందని మరియు ప్రత్యేకమైన భద్రతా బృందాన్ని కలిగి ఉండాలని భావిస్తున్నాయి.

మే 2014 లో రాయిటర్స్ విడుదల చేసిన ఒక నివేదిక ప్రకారం, భద్రతా పద్ధతులను పెంచే ప్రయత్నంలో పెప్సి మరియు జెపి మోర్గాన్ చేజ్ & కో వంటి అనేక పెద్ద సంస్థలు కొత్త చీఫ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ ఆఫీసర్ల (సిఐఎస్ఓ) కోసం వెతుకుతున్నాయి. ఇది ప్రతిబింబించేది భద్రత గురించి ఎక్కువ అవగాహన మరియు బిజినెస్ ఎగ్జిక్యూటివ్ స్థాయిలో దాని ప్రాముఖ్యత.

CISO లు మరియు చీఫ్ సైబర్‌సెక్యూరిటీ ఆఫీసర్లు యజమాని మరియు క్లయింట్ కోసం వారి సాంకేతిక పరిజ్ఞానం యొక్క భద్రతలో మునిగిపోతారు, కాని వారి పాత్రలు మరియు బాధ్యతలు భద్రతా సమాజంలోనే కాకుండా సాధారణ ప్రజల దృష్టిలో మరింత స్పష్టంగా మరియు అత్యవసరంగా మారుతున్నాయి.

"ఐదేళ్ల క్రితం, సమాచార భద్రత బోర్డుల యొక్క మొదటి 10 సమస్యలను కేవలం పగులగొట్టింది. ఒక సంవత్సరం క్రితం ఇది నెం .2 గా ఉంది. ఆసక్తికరంగా ఇది ఇప్పుడు డేటా భద్రత మరియు సమాచార భద్రత మాత్రమే కాదు" అని రిక్రూట్‌మెంట్ సంస్థ హెడ్రిక్ & లో ప్రాంతీయ మేనేజింగ్ భాగస్వామి డేవిడ్ బోహ్మెర్ చెప్పారు. సంస్థ నిర్మించిన యూట్యూబ్ వీడియోలో పోరాటాలు.)

ఒక CISO ఏమి చేస్తుంది

CISO యొక్క పాత్ర చాలా విస్తృతమైనది, మరియు వారు తరచూ చాలా విభిన్న టోపీలను ధరిస్తారు. మేధో సంపత్తి యొక్క భద్రతను నిర్వహించడం, కస్టమర్ భద్రతకు బాధ్యత వహించడం వంటి అంతర్గత భద్రత నుండి ప్రతిదీ ఈ ఉద్యోగంలో ఉంటుంది.

"భద్రతా కొనుగోలుదారులకు ఆసక్తి కలిగించే ఉత్పత్తిలోని లక్షణాలను అమలు చేయడానికి నేను మా ఉత్పత్తి బృందం మరియు ఇంజనీరింగ్ బృందంతో కలిసి పని చేస్తాను" అని సుమో లాజిక్ వద్ద CISO జోన్ పెపిన్ చెప్పారు.

గత సంవత్సరం టార్గెట్ ఉల్లంఘన ఖచ్చితంగా చాలా మంది మాట్లాడుతుండగా, పెపిన్ ఆమె అంతగా ఆశ్చర్యపోలేదని వివరించాడు - మరియు చాలా మంది భద్రతా సంఘం కూడా కాదు. భద్రతా సంఘం దాని "వాటర్‌షెడ్ క్షణాలు" కలిగి ఉండదని చెప్పలేము, అక్కడ ప్రతి ఒక్కరూ తమ పనిని ముందుకు సాగించాల్సిన అవసరం ఉంది.

2011 లో RSA ఉల్లంఘన, దీనిలో హ్యాకర్లు సమాచార భద్రతా సంస్థల సర్వర్‌లను ఉల్లంఘించారు మరియు సున్నితమైన ప్రభుత్వ మరియు కార్పొరేట్ డేటాకు ప్రాప్యతను అందించే ప్రామాణీకరణ టోకెన్లను దొంగిలించారు, చాలా మంది భద్రతా నిపుణులను అబ్బురపరిచారు. అలాంటి భద్రతా సంస్థ హ్యాకర్లకు ఎలా బలైపోతుంది? రెండేళ్ల తరువాత, ఆ ఆందోళన గతంలో రాడార్ కింద ఎగిరిన లక్ష్యానికి మారుతుంది: రిటైల్ కస్టమర్లు. టార్గెట్ మరియు నీమాన్ మార్కస్ వంటి దాడులు రోజువారీ కస్టమర్ యొక్క భద్రత వైపు దృష్టిని మరల్చాయి.

"మీరు వేలాది మరియు వేలాది మంది ఉద్యోగులతో భారీ రిటైల్ ఆపరేషన్ కలిగి ఉన్నప్పుడు, ఈ వేర్వేరు సైట్లు, పాయింట్-ఆఫ్-సేల్ మెషీన్లు, ఇది చాలా పేద రకమైన వ్యవస్థ మరియు ఆ రకమైన దాడులు జరగలేదు స్కేల్ రకం త్వరగా నాకు ఆశ్చర్యం కలిగిస్తుంది, "పెపిన్ చెప్పారు.

భద్రత అనేది వారి వ్యాపారంలో నిరంతరం పాలిష్ చేయబడిన అంశం కాకుండా కంపెనీలను టిక్ చేసి వదిలివేయడానికి ఒక చెక్ బాక్స్‌గా చూడటం వలన సమస్య ఏర్పడుతుంది. దీని అర్థం సైబర్‌ క్రైమినల్స్ సడలింపు మరియు లోపలికి నడవగలరని కాదు. వాస్తవానికి, సైబర్‌ క్రైమినల్స్ ఎక్కువ నైపుణ్యం పొందుతున్నారు.

"ఇది చాలా అధునాతన ఉల్లంఘన, BMC ఏజెంట్ వలె నటించగలదు మరియు ఆ రకమైన దొంగతనాలు. టార్గెట్ నెట్‌వర్క్ అంతటా పార్శ్వ కదలికలలో పాల్గొనడం చాలా తెలివైనది, పెపిన్ చెప్పారు.

"నేను దాని నుండి దూరంగా ఉండటానికి ఇష్టపడను, కానీ లక్ష్యంలో ఇబ్బంది పరంగా, ఎటువంటి పన్ ఉద్దేశించబడలేదు, నేను ఎప్పుడూ రిటైల్ గొలుసును కఠినమైన లక్ష్యాల జాబితాలో ఉంచను. భద్రతా సంస్థలు కఠినమైన లక్ష్యాలు, ప్రభుత్వం కఠినమైన లక్ష్యం. కొంతమంది రిటైల్ గొలుసు వ్యాపారం సాక్స్లను విక్రయిస్తోంది, అవి సూపర్ సురక్షిత దుకాణం అని నేను would హించను. "

భద్రతా నిపుణుల కోసం ప్రకృతి దృశ్యం

జూన్ 2014 లో, టార్గెట్ దాని మొదటి CISO, మాజీ జనరల్ మోటార్స్ ఎగ్జిక్యూటివ్ బ్రాడ్ మైయోరినోను నియమించింది, అతను సంస్థ యొక్క భద్రతా పద్ధతుల యొక్క సమగ్ర పర్యవేక్షణను పర్యవేక్షిస్తాడు.

వ్యాపారాలు, వారి ఫీల్డ్ లేదా వాటి పరిమాణంతో సంబంధం లేకుండా, ఎప్పటికప్పుడు పెరుగుతున్న బెదిరింపులకు ప్రతిస్పందనగా ఎక్కువ అవగాహన మరియు సంభావ్య ఉల్లంఘనలపై చర్య తీసుకోవడానికి ఎక్కువ అధికారాన్ని కలిగి ఉండాలి.

"ఇది స్పష్టంగా ఉంది ... టార్గెట్ కేసులో ఎవరూ స్పందించలేదని హెచ్చరికలు సృష్టించబడ్డాయి మరియు నిర్వహించే భద్రత నుండి వచ్చిన నా అనుభవంలో ఇది చాలా విలక్షణమైనది" అని పెపిన్ చెప్పారు.

"ప్రపంచంలోని అత్యుత్తమ చొరబాట్లను గుర్తించే వ్యవస్థ ఇప్పటికీ చాలా ఎక్కువ తప్పుడు సానుకూల రేటును కలిగి ఉంది మరియు అందువల్ల భద్రతా ప్రతిస్పందనదారులు ప్రాథమికంగా వారి వ్యవస్థలను విస్మరించడానికి వారి వ్యవస్థలచే శిక్షణ పొందుతారు. అక్కడ సాంకేతిక మానవ పరస్పర అంతరం ఉంది, ఇక్కడ మొదటి ప్రతిస్పందనదారులు వేలాది మందికి మొద్దుబారిపోతారు చెత్త అని వారు పొందే హెచ్చరికలు. టార్గెట్ విషయంలో, దానిని అనుసరించని కొన్ని సంకేతాలు ఉన్నాయి, దీని ప్రభావం చాలా త్వరగా తగ్గించడానికి సహాయపడుతుంది. "

తరచూ ఉన్నట్లుగా, భద్రతా నిపుణుడు వెంటనే సమస్యపై చర్య తీసుకోలేరు ఎందుకంటే వారికి సోపానక్రమంలో ఉన్న మరొకరి నుండి క్లియరెన్స్ లేదా ఆమోదం అవసరం. ఇది మారాలి, పెపిన్ మాట్లాడుతూ, ఒక సంస్థ యొక్క భద్రతా బృందానికి చొరవ తీసుకోవడానికి మరింత స్వయంప్రతిపత్తి మరియు అధికారం ఉండాలి.

"చీఫ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ ఆఫీసర్లు CIO లకు రిపోర్ట్ చేయకూడదని ఇది ఇప్పటికీ పాలన సమస్య అని నేను భావిస్తున్నాను" అని ట్రెండ్ మైక్రో చీఫ్ సైబర్ సెక్యూరిటీ ఆఫీసర్ టామ్ కెల్లెర్మాన్ చెప్పారు."వారు చీఫ్ రిస్క్ ఆఫీసర్ లేదా సిఇఓకు నేరుగా రిపోర్ట్ చేయాలి." ఇది చాలా మంది మధ్యవర్తులను కత్తిరిస్తుంది మరియు సంభావ్య అత్యవసర పరిస్థితులకు వేగంగా ప్రతిస్పందన సమయాన్ని నిర్ధారిస్తుంది.

భద్రతా నిపుణులు తమ సంస్థలో "పైకి నివేదించాలి" అని పెపిన్ అంగీకరిస్తాడు. "నేను మా CEO కి రిపోర్ట్ చేసే అదృష్టం నాకు ఉంది. ఇది చాలా బాగా పనిచేస్తుంది మరియు దాని భద్రతను తీవ్రంగా పరిగణించే ఏ సంస్థకైనా నేను నిజంగా సిఫారసు చేస్తాను."

SME లకు ఇతర బడ్జెట్లు మరియు భద్రత

CISO ని నియమించడం మరియు మీ భద్రతా బృందాన్ని విస్తరించడం మీకు బడ్జెట్ ఉంటే మంచిది మరియు మంచిది, కానీ చిన్న కంపెనీల గురించి ఏమిటి? ఒక చిన్న గొలుసు లేదా మీ స్థానిక హార్డ్‌వేర్ దుకాణంపై దాడి హ్యాకర్లకు టార్గెట్ లేదా నీమాన్ మార్కస్‌ను కొట్టడం వంటి ప్రయోజనాలను పొందదు, అయితే మిమ్మల్ని మీరు ఏ విధంగానైనా హాని చేయకుండా వదిలేయడం ఇప్పటికీ అవివేకం. కాబట్టి దాడి ప్రమాదాన్ని తగ్గించడానికి మీరు ఏమి చేయవచ్చు? సంఘటన ప్రతిస్పందన కాంట్రాక్టర్ లేదా కన్సల్టెంట్ సేవలను నియమించాలని పెపిన్ గట్టిగా సిఫార్సు చేస్తున్నాడు.

"మీరు దాడి చేసిన సందర్భంలో, మీరు కాల్ చేయగల ఎవరైనా ఉన్నారు, కాబట్టి మీరు గూగుల్‌ను తెరిచి చూడటం ప్రారంభించాల్సిన అవసరం లేదు" అని ఆమె అన్నారు.

ఇది ఒక చిన్న కంపెనీకి మరింత ఆర్ధిక అర్ధాన్ని ఇస్తుంది, ఎందుకంటే వ్యాపారం అవసరమైనప్పుడు మాత్రమే సేవలను ఉపయోగిస్తుంది. ఈ సేవలు మీ సిబ్బంది ఆపివేసిన చోట తీయడంలో కూడా చాలా ప్రత్యేకమైనవి.

"మీరు దాడి చేయడానికి ఒక అద్భుతమైన బృందాన్ని కలిగి ఉండవచ్చు, మీరు దాడికి గురవుతున్నారని అర్థం చేసుకోండి, కానీ ఆ దాడికి ప్రతిస్పందించడానికి, వాటిని మీ నెట్‌వర్క్ నుండి బయటకు తీయడానికి మరియు సాక్ష్యాలను సేకరించే విధంగా అవసరమైన నైపుణ్యాలు అదే కాదు. న్యాయస్థానంలో ఉపయోగించబడుతుంది. "

సైబర్ క్రైమ్‌ను ఎదుర్కోవడానికి కంపెనీలకు అనేక వనరులు ఉన్నాయి. ఇటీవలి చరిత్ర మరొక పెద్ద దాడి మూలలోనే ఉందని సూచిస్తుంది.