Bu bir CISO olmak için zorlu bir zamandır. Güvenlik topluluğu, son birkaç hafta içinde Uber ile ilgili çok sayıda hikayeyi hevesle takip ediyor. itibaren son büyük hacklerinin oyun bazında oynamasıEski Uber güvenlik şefi Joe Sullivan’ın geçen haftaki suçlu kararına göre, CISO’lar önemli zorluklarla karşı karşıya.
Sullivan davasındaki karar, onu federal bir soruşturmayı engellemek ve hükümetten bir suç gizlemekten suçlu buldu. Göre New York Times: “Kaliforniya Kuzey Bölgesi’nin ABD’li avukatı Stephanie M. Hinds yaptığı açıklamada şunları söyledi: ‘Önemli bilgilerin kamudan daha fazla kendi itibarlarını ve işverenlerinin itibarını korumakla ilgilenen şirket yöneticileri tarafından gizlenmesine müsamaha göstermeyeceğiz. kullanıcıları korumak. Bu tür davranışların federal yasayı ihlal etmesi durumunda kovuşturma yapılacaktır.'”
Hükümet ABD’deki CISO’lara bir mesaj gönderiyor – ifşa edin ve potansiyel olarak işinizi kaybedin ya da örtbas edin ve hapse girin. Bilgileri hükümete ifşa ederlerse, uyumluluk düzenlemelerini karşılarlar, ancak işleri tehlikede olacaktır. Özellikle kişisel olarak tanımlanabilir bilgilerin (PII) ele geçirildiği bir ihlal, bir dava ile sonuçlanacak ve CISO büyük olasılıkla kovulacaktır.
Ancak, uyumsuzluk, tam açıklamayı gösterememe veya ortadaki herhangi bir gri bölgenin cezası artık kişiseldir (uyumsuzluğun şirket için para cezasıyla sonuçlandığı diğer düzenlemelerin aksine). Uber davasında bir ihlali örtbas etmek ve ardından federal bir soruşturma bağlamında saldırının ayrıntılarını daha fazla gizlemek hapis cezasına neden olabilir.
Bu vaka aynı zamanda CISO’lar için yeni bir zorluğu da gün ışığına çıkarıyor: “Ne biliyordunuz?” Bilgilerin gizlenmesi bu davanın ve kararın önemli bir parçasıdır. “Bilmiyordum” diyerek bilgileri gizlemek, veri ihlali olan bir CISO için bir cevap değildir – en iyi ihtimalle ihmali yansıtır ve en kötü ihtimalle bir yalandır. Güvenlik ekiplerinin bilmesi gerekir – ve büyük olasılıkla yapmak kullandıkları birçok güvenlik aracından güvenlik duruşları hakkında bilgi sahibi olurlar – ve bildikleri gizlenemez.
Sullivan davasının güvenlik sektörü için çok büyük bir ağırlığı var. CISO’lardan ne bekleyebiliriz? Bu beklentiler adil mi?
CISO’lar için Beklentileri Yönetme
Önerilen mevzuata göre, beklentiler aşağıdaki gibidir. itibaren Form 8-K (6-K) Maddi Siber Güvenlik Olaylarına İlişkin Açıklama (PDF) — aşağıdaki kurallar eklenecektir:
- Form 8-K’nın Yeni Madde 1.05’i, SEC raporlama şirketlerinin, önemli bir olayın meydana geldiğini belirledikten sonraki dört iş günü içinde önemli bir siber güvenlik olayını ifşa etmesini gerektirecektir.
- Şirket, olayın keşfedilmesinden sonra “makul olarak uygulanabilir olan en kısa sürede” bir siber güvenlik olayının önemliliğini belirlemelidir.
- SEC, geçen yıl bir siber güvenlik uygulama eyleminde, şirketlerin herhangi bir siber güvenlik olayıyla ilgili mevcut tüm ilgili bilgilerin şirketin SEC raporlarında zamanında ifşa edilmek üzere analiz edilmesini sağlamak için tasarlanmış ifşa kontrollerini ve prosedürlerini sürdürmeleri gerektiğini belirtti.
- “Siber güvenlik olayı”, bir şirketin bilgi sistemlerinin “veya burada bulunan herhangi bir bilginin” gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atan, şirketin bilgi sistemleri üzerinde veya bunlar aracılığıyla yetkisiz bir olay anlamına gelir.
Soru şu ki, CISO’lar ne yapmalı? Halihazırda birden fazla güvenlik çözümü dağıtıyorlar. Şirket içi, bulut, uç nokta algılama, güvenlik duvarları, fidye yazılımı kurtarma, iş yükü koruması… liste uzayıp gidiyor. Yine de, bilgisayar korsanları – Uber’in durumunda olduğu gibi – genellikle bir çalışanın bir kimlik avı bağlantısını tıklaması için dırdır ederek içeri girer. Saldırı önleme ve “XYZ kullanıcısı” için milyonlarca dolar sistemi çökertiyor.
CISO’lara Yardım Etmenin Yolları
Kariyerimin çoğu için güvenlik alanında çalıştım ve bilgisayar korsanlarını dışarıda tutan araçları geliştirdim. CISO’lara içinde bulundukları karmaşık durumdan kurtulmalarına yardımcı olabileceğimiz birkaç yol önermek istiyorum.
- Her olası saldırı veya yanlış yapılandırma konusunda uyarı veren araçlardan kurtulun. Her küçük şey için güvenlik ekiplerine ping atan bir nesil uyarı tabanlı güvenlik araçları durumu daha da kötüleştirdi. Bir güvenlik ekibinin, güvenlik araçlarının sağladığı, çoğunlukla yanlış uyarılar olmak üzere yüzlerce uyarıya ayak uydurmasının hiçbir yolu yoktur. Şirketin en değerli varlıklarına yönelik ani riskleri tanımlayan bir dizi olay sağlayan belirli varlıkları bağlamında gerçek zamanlı bir gelen saldırıyı görebilmeleri gerekir. Yalnızca uyarılar değil, değer sağlayan araçlarla güvenlik ekiplerini desteklemek için daha iyisini yapmamız gerekiyor.
- Yeniden alet. Düzenleyiciler, CISO’ların gerçek saldırı olaylarının (potansiyel yanlış yapılandırmalara karşı) etkisini hızlı bir şekilde algılamasını, analiz etmesini ve anlamasını bekler. Bu, bilgisayar korsanlarından bir adım önde olduğumuzdan emin olmak için güvenlik yazılımı “yığının” çoğunun yeniden düzenlenmesini ve yeniden düşünülmesini gerektirir. Tarihi geçmiş tekniklerin kullanılması, genellikle en iyi güvenlik uygulamaları ile gerçeklik arasında sürtüşmeyle sonuçlanan bir alandır.
- Devletle daha yakın çalışın Mevzuat için önerilen önemli düzenlemeler hakkında. CISO’larımızı suç bölgesine düşmekten korumak için, kamuyu koruyan ve aynı zamanda ortaya çıkan ve veri ihlallerini bildiren CISO’ları koruyan mevzuata ihtiyacımız var. Her saldırı senaryosunu gerçekten planlayan (ve bu planlamayı gösterebilen) ancak kendilerini bilgisayar korsanları tarafından alt edilmiş bulan CISO’lar, hizmet ettikleri şirketler tarafından cezalandırılmamalıdır.
- Güvenlik hedeflerini hizalayın. Pek çok kuruluş güvenliğe odaklanmak için çok hızlı hareket ediyor ve bu onları yakalayacak. Geliştirme ekipleri, yeni ve yenilikçi özellikleri hızla sunmak ve rekabet avantajı sağlamak için CI/CD (sürekli entegrasyon, teslimat ve dağıtım) gibi çevik tekniklerden giderek daha fazla yararlanıyor. Ve güvenlik, geliştirme ekibinin veya herhangi bir tipik çalışanın günlük düşünce sürecinin bir parçası değildir – ama öyle olmalıdır. Kuruluşların, geliştiriciler, pazarlama, İK, finans, yönetim kurulu ve diğer herkesin sorumluluğu CISO ve güvenlik ekipleriyle paylaşması için kuruluşa nüfuz eden bir güvenlik stratejisine sahip olması gerekir. Herşey çalışanlar, veri varlıklarının güvenliğini sağlamada rol oynar.