Inhoudsopgave:
- Wat een CISO doet
- Het landschap voor beveiligingsprofessionals
- Andere begrotingen en beveiliging voor het MKB
Bedrijven worden in een alarmerend tempo getroffen door cyberaanvallen. Grote inbreuken op Target in december 2013 en Neiman Marcus in januari 2014 schenen een groot aandachtspunt op de tekortkomingen die veel winkels in hun beveiligingsinfrastructuur hebben. Als gevolg hiervan hebben steeds meer bedrijven, zowel grote als kleine, de behoefte om hun inspanningen op te voeren en een toegewijd beveiligingsteam te hebben.
Volgens een rapport van Reuters in mei 2014 zijn een aantal grote bedrijven, zoals Pepsi en JPMorgan Chase & Co., op jacht naar nieuwe chief information security officers (CISO's) in een poging de beveiligingspraktijken te versterken. Dit weerspiegelt een groter bewustzijn van veiligheid en het belang ervan op het uitvoerende niveau van het bedrijf.
CISO's en chief cybersecurity officers zijn ondergedompeld in de beveiliging van hun technologie, zowel voor werkgever als voor klant, maar hun rollen en verantwoordelijkheden worden meer uitgesproken en noodzakelijk in de ogen van het grote publiek, niet alleen bij de beveiligingsgemeenschap.
"Vijf jaar geleden brak informatiebeveiliging nauwelijks de top 10 zorgen van boards. Een jaar geleden was dat nummer 2. Interessant is dat het nu gegevensbeveiliging is en niet alleen informatiebeveiliging", zegt David Boehmer, regionaal managing partner bij wervingsbureau Heidrick & Strijd, in een YouTube-video geproduceerd door het bedrijf.)
Wat een CISO doet
De rol van een CISO kan behoorlijk breed zijn en ze hebben vaak veel verschillende hoeden op. De klus omvat alles, van interne beveiliging, zoals het beheren van de beveiliging van intellectueel eigendom tot verantwoordelijk zijn voor de beveiliging van klanten.
"Ik werk ook samen met ons productteam en engineeringteam om functies in het product te implementeren die interessant kunnen zijn voor kopers van beveiliging", zegt Joan Pepin, een CISO bij Sumo Logic.
Hoewel de Target-inbreuk vorig jaar zeker veel mensen aan het praten bracht, legt Pepin uit dat ze niet zo verrast was - en dat gold ook niet voor het grootste deel van de beveiligingsgemeenschap. Dat wil niet zeggen dat de beveiligingsgemeenschap niet zijn "keerpunten" heeft gehad, waar iedereen zijn werk moest versterken.
De RSA-inbreuk in 2011, waarbij hackers de servers van het informatiebeveiligingsbedrijf hebben geschonden en authenticatietokens hebben gestolen die toegang gaven tot gevoelige overheids- en bedrijfsgegevens, zorgden ervoor dat veel beveiligingsprofessionals in de war raakten. Hoe kan een beveiligingsbedrijf zo ten prooi vallen aan hackers? Slechts twee jaar later zou die bezorgdheid verschuiven naar een doelwit dat eerder onder de radar was gevlogen: particuliere klanten. Aanvallen zoals die werden gezien bij Target en Neiman Marcus verlegden de aandacht naar beveiliging voor de dagelijkse klant.
"Het is duidelijk dat wanneer je een massale retailoperatie hebt met duizenden en duizenden werknemers, al deze verschillende sites, verkooppuntmachines, dat het ergste soort systeem is en het feit dat dat soort aanvallen niet op die manier plaatsvonden soort schaal eerder is eigenlijk een beetje een verrassing voor mij, "zei Pepin.
Het probleem komt voort uit het feit dat beveiliging wordt gezien als een eenvoudig selectievakje voor bedrijven om aan te vinken en weg te gaan in plaats van een constant gecontroleerd aspect van hun bedrijf. Dit betekent niet dat cybercriminelen laks zijn en gewoon binnen kunnen lopen. Cybercriminelen worden zelfs steeds vaardiger.
"was een behoorlijk verfijnde inbreuk, in staat om de BMC-agent na te doen, en dat soort sluipende dingen. Het was heel slim om laterale bewegingen in het Target-netwerk uit te voeren.
"Ik wil dat niet wegnemen, maar wat betreft de moeilijkheidsgraad, geen woordspeling bedoeld, zou ik nooit een winkelketen op een lijst met harde doelen plaatsen. Beveiligingsbedrijven zijn harde doelen, de overheid is een moeilijk doelwit. Sommige winkelketens wiens bedrijf sokken verkoopt, zou ik niet verwachten dat ze een superveilige winkel zijn. "
Het landschap voor beveiligingsprofessionals
In juni 2014 huurde Target de eerste CISO in, Brad Maiorino, een voormalig executive van General Motors die toezicht houdt op een revisie van de beveiligingspraktijken van het bedrijf.
Bedrijven, ongeacht hun vakgebied of hun grootte, moeten kennis nemen en hun beveiligingsspel verbeteren in reactie op steeds groter wordende bedreigingen met een groter bewustzijn en meer autoriteit om op te treden tegen mogelijke inbreuken.
"Het was duidelijk … in het Target-geval dat er waarschuwingen werden gegenereerd waarop niemand reageerde en dat, in mijn ervaring afkomstig van beheerde beveiliging, buitengewoon typisch is, " zei Pepin.
"Het beste inbraakdetectiesysteem ter wereld heeft nog steeds een zeer hoog aantal vals-positieve cijfers en daarom worden beveiligingsrespondenten in feite door hun systemen getraind om hun systemen te negeren. Er is een technologische kloof tussen menselijke interacties, waarbij eerste responders gevoelloos worden voor duizenden meldingen die ze krijgen die afval zijn. In het geval van Target waren er enkele tekenen die niet werden opgevolgd die de impact veel eerder hadden kunnen minimaliseren. "
Zoals vaak het geval is, kan een beveiligingsprofessional niet onmiddellijk actie ondernemen, omdat ze toestemming of goedkeuring van iemand anders hoger in de hiërarchie nodig hebben. Dit moet veranderen, zegt Pepin, en legt uit dat het beveiligingsteam van een bedrijf meer autonomie en autoriteit moet hebben om het initiatief te nemen.
"Ik vind dat het nog steeds een kwestie van governance is dat chief information security officers niet zouden moeten rapporteren aan CIO's", zegt Tom Kellermann, chief cybersecurity officer bij Trend Micro. "Ze moeten rechtstreeks rapporteren aan de chief risk officer of de CEO." Dit elimineert veel van de tussenpersonen en zorgt voor een snellere responstijd op mogelijke noodsituaties.
Pepin is het ermee eens dat beveiligingsprofessionals "recht aan de top moeten rapporteren" in hun bedrijf. "Ik heb het geluk dat ik verslag uitbreng aan onze CEO. Dat werkt heel goed en dat is iets dat ik echt zou aanbevelen voor elke organisatie die de beveiliging serieus neemt."
Andere begrotingen en beveiliging voor het MKB
Het inhuren van een CISO en het uitbreiden van uw beveiligingsteam is goed en wel als u het budget hebt, maar hoe zit het met kleinere bedrijven? Hoewel een aanval op een kleine keten of uw lokale hardware-winkel niet dezelfde voordelen voor hackers zal opleveren als het raken van een Target of Neiman Marcus, is het toch onverstandig om uzelf op enigerlei wijze kwetsbaar te laten. Dus wat kunt u doen om het risico op aanvallen te verkleinen? Pepin beveelt ten zeerste aan om de diensten van een contractant of consultant voor incidentrespons in te huren.
"In het geval dat u wordt aangevallen, hebt u iemand die u kunt bellen, zodat u Google niet hoeft te openen om te beginnen met zoeken, " zei ze.
Dit is economischer voor een kleiner bedrijf, legt ze uit, omdat het bedrijf de services alleen zal gebruiken wanneer ze nodig zijn. Deze diensten zijn ook uiterst gespecialiseerd in het oppakken van waar uw personeel is gebleven.
"Je kunt een fantastisch team hebben voor triaging, wetende dat je wordt aangevallen, maar dat is niet precies dezelfde set vaardigheden die nodig zijn om op die aanval te reageren, om ze uit je netwerk te leiden en het bewijsmateriaal te verzamelen op een manier die worden gebruikt in een rechtbank. "
Bedrijven hebben veel middelen tot hun beschikking om cybercriminaliteit te bestrijden. De recente geschiedenis suggereert dat er weer een grote aanval voor de deur staat.