Cisos: varför företag behöver dem mer än någonsin

Företag riktas av cyberattacker i en oroväckande takt. Stora överträdelser vid Target i december 2013 och Neiman Marcus i januari 2014 lyste ut en stor stor strålkastare på bristerna som många butiker har i sin säkerhetsinfrastruktur. Som ett resultat känner fler och fler företag, både stora och små, behovet av att öka sina ansträngningar och ha ett dedikerat säkerhetsteam.

Enligt en rapport som släpptes av Reuters i maj 2014 är ett antal stora företag, såsom Pepsi och JPMorgan Chase & Co., på jakt efter nya chefer för informationssäkerhet (CISO) i ett försök att stärka säkerhetsrutiner. Vad detta återspeglar är en ökad medvetenhet om säkerhet och dess betydelse på företagets verkställande nivå.

CISO: er och chefer för cybersäkerhet är nedsänkta i säkerheten för sin teknik, både för arbetsgivare och klienter, men deras roller och ansvar blir mer uttalade och nödvändiga för allmänheten, inte bara bland säkerhetssamhället.

"För fem år sedan knäckte informationssäkerhet knappt de 10 bästa styrelserna. För ett år sedan var det nr 2. Intressant är det nu datasäkerhet och inte bara informationssäkerhet, " säger David Boehmer, regional chef för rekryteringsföretaget Heidrick & Kämpar i en YouTube-video producerad av företaget.)

Vad en CISO gör

Rollen som en CISO kan vara ganska bred, och de befinner sig ofta ha många olika hattar. Jobbet omfattar allt från inre säkerhet, som att hantera immaterialrättens säkerhet, till att vara ansvarig för kundens säkerhet.

"Jag arbetar också med vårt produktteam och teknikgrupp för att implementera funktioner i produkten som kan vara intressant för säkerhetsköpare, " säger Joan Pepin, en CISO på Sumo Logic.

Även om målöverträdelsen förra året verkligen fick många att prata, förklarar Pepin att hon inte var så förvånad - och inte heller var det mesta av säkerhetssamhället. Det är inte att säga att säkerhetsgemenskapen inte har haft sina "vattendragsstunder" där alla behövde stärka sitt arbete framåt.

RSA-överträdelsen 2011, där hackare bröt mot informationssäkerhetsföretagets servrar och stal autentiseringstokens som gav tillgång till känsliga myndigheter och företagsdata, hade många säkerhetsprofessionella bras. Hur kan ett säkerhetsföretag falla offer för sådana hackare? Bara två år senare skulle denna oro övergå till ett mål som tidigare hade flög under radarn: detaljkunder. Attacker som de som sågs på Target och Neiman Marcus skiftade uppmärksamheten på säkerheten för den dagliga kunden.

"Det är uppenbart när du har en massiv detaljhandelsverksamhet med tusentals och tusentals anställda, alla dessa olika sajter, försäljningsmaskiner, det är den allra fattigaste typen av system och det faktum att dessa typer av attacker inte inträffade på det typ av skala tidigare är faktiskt lite av en överraskning för mig, ”sa Pepin.

Frågan härrör från att säkerheten ses som helt enkelt en kryssruta för företag att kryssa och lämna snarare än en ständigt polerad aspekt av sin verksamhet. Det betyder inte att cyberbrottslingar är slappa och bara kan gå in. I själva verket blir cyberbrottslingar allt mer skickliga.

"var ett ganska sofistikerat överträdelse, som kunde föreställa sig BMC-agenten och de typer av snygga saker. Att delta i sidorörelser i hela Target-nätverket var ganska smart, sa Pepin.

"Jag vill inte ta bort från det men i termer av svårigheter i mål, ingen ordspel avsedd, skulle jag aldrig placera någon detaljhandelskedja på en lista över hårda mål. Säkerhetsföretag är hårda mål, regeringen är ett hårt mål. Någon detaljhandelskedja vars verksamhet säljer strumpor, skulle jag inte förvänta mig att de skulle vara en supersäker butik. "

Landskapet för säkerhetsarbetare

I juni 2014 anställde Target sin första CISO, Brad Maiorino, en före detta chef för General Motors som kommer att övervaka en översyn av företagets säkerhetspraxis.

Företag, oavsett fält eller storlek, kommer att behöva notera och förbättra sitt säkerhetsspel som svar på ständigt växande hot med större medvetenhet och mer auktoritet att agera på potentiella överträdelser.

"Det var tydligt … i Target-fallet gavs alarmer som ingen svarade på och att enligt min erfarenhet som kommer från hanterad säkerhet är extremt typisk, sade Pepin.

"Det bästa intrångsdetekteringssystemet i världen har fortfarande en mycket hög falsk positiv hastighet och så säkerhetssvarare tränas i princip av sina system för att ignorera sina system. Det finns ett tekniskt mänskligt interaktionsgap där, där de första svararna blir dumma för tusentals varningar som de får som är skräp. När det gäller Target fanns det några tecken som inte följdes upp som kunde ha bidragit till att minimera påverkan mycket förr. "

Som ofta är fallet, kan en säkerhetspersonal inte omedelbart agera i en fråga eftersom de behöver godkännande eller godkännande från någon annan högre upp i hierarkin. Detta måste förändras, säger Pepin och förklarar att ett företags säkerhetsteam måste ha mer självständighet och auktoritet för att ta initiativet.

"Jag känner att det fortfarande är en styrningsproblem i det att chefer för informationssäkerhet inte bör rapportera till CIOs, " säger Tom Kellermann, chef för cybersäkerhet vid Trend Micro. "De bör rapportera direkt till chefschefen eller direktören." Detta stänger av många mellanhänder och säkerställer en snabbare responstid på potentiella nödsituationer.

Pepin håller med om att säkerhetspersonal bör "rapportera rätt till toppen" i sitt företag. "Jag har turen att jag rapporterar till vår VD. Det fungerar mycket bra och det är något jag verkligen skulle rekommendera för alla organisationer som tar sin säkerhet på allvar."

Andra budgetar och säkerhet för små och medelstora företag

Att anställa en CISO och utöka ditt säkerhetsteam är bra och bra om du har budgeten, men hur är det med mindre företag? Medan en attack på en liten kedja eller din lokala hårdvarubutik inte kommer att skörda samma fördelar för hackare som att träffa en Target eller Neiman Marcus, är det fortfarande oklokt att lämna dig själv sårbar på något sätt. Så vad kan du göra för att mildra risken för attack? Pepin rekommenderar starkt att anställa tjänster till en händelsepersonal eller konsult.

"Om du blir attackerad har du någon du kan ringa så att du inte behöver öppna Google och börja leta, " sa hon.

Detta kommer att ge mer ekonomiskt mening för ett mindre företag, förklarar hon, eftersom företaget endast kommer att använda tjänsterna när de behövs. Dessa tjänster är också extremt specialiserade på att hämta upp där din personal har slutat.

"Du kan ha ett fantastiskt team för triangering, förstå att du är under attack men det är inte exakt samma uppsättning färdigheter som krävs för att svara på den attacken, för att leda dem ut från ditt nätverk och för att samla bevis på ett sätt som kan användas i en domstol. "

Företag har många resurser till sitt förfogande för att bekämpa internetbrott. Den senaste historien antyder att ytterligare en stor attack är precis runt hörnet.