4 Problèmes Les CISO n'ont pas besoin d'un Sherlock Holmes à résoudre

Y a-t-il un point sur lequel vous voudriez attirer mon attention? »

« Au curieux incident du chien pendant la nuit. »

« Le chien n'a rien fait pendant la nuit. '

' C'était l'incident curieux ', remarqua Sherlock Holmes.

Arthur Conan Doyle Silver Blaze

Savez-vous quel est votre point faible?

Je voudrais penser que je n'en ai pas, mais je suis sûr que je pourrais certainement utiliser un bouclier pour la sécurité, étant donné que je suis une masse de blob. Cybersécurité est comme une assurance; vous pensez que vous n'en avez pas besoin et ne vous embêtez pas avec. Mais quand survient un désastre, vous auriez aimé prendre la précaution.

Les cyberattaques savent repérer les faiblesses dans le pare-feu d'une entreprise à un kilomètre de là. Ils peuvent pratiquement le renifler. C'est comme s'ils avaient un sixième sens à ce sujet. Certaines des cyberattaques ont été menées dans des établissements prestigieux tels que Starwood, Hilton et Hyatt Hotels, sans parler des attaques de rançongiciels contre l'assureur santé Anthem. Les hackers adorent les services financiers en ligne et les sociétés de prêt. la fraude a coûté aux consommateurs jusqu'à 8 milliards de livres en 2016, selon ThreatMetrix . Si j'avais un centime pour tout le temps j'ai crié ransomware à Sherlock-like IT Security guy, je serais très riche maintenant.

En 2016, La combinaison de courriel et de mot de passe de 117 millions de comptes LinkedIn a été mise en ligne. Plus près de chez nous, 3,2 millions de cartes de débit ont été compromises vers la fin de l'année dernière dans ce qui est probablement la plus grande violation que cette goutte ait connue dans le pays ces derniers temps. Les cinq premières banques se sont démenées pour convaincre leurs clients de remplacer les cartes ou de changer les codes de sécurité. Alors que la violation provenait de logiciels malveillants introduits dans les systèmes de Hitachi Payment Services, qui fournit des points de vente ATM et d'autres services aux banques indiennes, il montre à quel point les banques et les entreprises indiennes sont mal préparées. Pour les shizzles, nous ne savons encore rien. Ces cyber-baskets (c'est ce qu'ils font bien … ils se faufilent sur vous!) Sont si créatifs que nous devrons commencer à penser hors de la boîte pour être en mesure de les battre à leur propre jeu. Avant comme n'importe quel autre jeu, nous devons d'abord les analyser. Trouvez leurs forces Et leurs faiblesses. Ils ont peut-être gagné la bataille, mais nous allons gagner la guerre!

Dans le paysage actuel, les RSSI font face à de nombreux défis. L'Internet des Objets vient d'ouvrir une boîte de Pandore et il ne tardera pas à ressembler aux sets de 'Jumanji'. J'adorerais une mise à niveau IoT, vous savez! J'ai toujours voulu être "intelligent". D'accord, nous sommes en train de digresser! Certains des principaux défis rencontrés par les CISO sont:

1. L'apathie à propos de la sensibilisation des employés

Vous savez ce qu'ils disent des chaînes – Une chaîne est aussi forte que son maillon le plus faible. Et les employés sont un maillon faible. Ils sont la première ligne de défense. Vous disposez peut-être de la meilleure technologie de sécurité, mais cela ne fera pas de tortue si les employés distribuent des données sur les réseaux sociaux, les applications de messagerie ou via leurs propres appareils mobiles moins sécurisés. Selon la dernière étude de Wombat Security Technologies Inc. et Aberdeen Group la sensibilisation à la sécurité et l'évolution du comportement des employés peuvent réduire jusqu'à 70% le risque de violation. Alors, comment préparez-vous votre personnel pour une urgence qui pourrait bien frapper à peu près n'importe quand? Exercices Ya, je sais que je déteste les exercices aussi! Mais, s'attaquer à la cybersécurité doit devenir une seconde nature à tous les niveaux. Ce n'est plus un problème pour le personnel informatique. Enseignez à vos employés à devenir les yeux et les oreilles! La communication, l'évaluation des menaces et l'atténuation des risques devraient être à la base de tout exercice de cybersécurité.

2. Les départements et mesures de sécurité fonctionnent en silos:

Nous avons été plus connectés qu'avant, mais cela ne conduit pas nécessairement à une bonne communication. Même avec l'explosion des appareils à base de données, les entreprises utilisent toujours des technologies de sécurité traditionnelles telles que les anti-virus, les pare-feux, les systèmes de détection d'intrusion, etc. pour lutter contre les cyber-baskets. Selon Morgan Stanley Blue Papers «Malheureusement, plus de sécurité ne signifie pas nécessairement une meilleure sécurité. En fait, la stratégie actuelle de la plupart des organisations – superposition sur de nombreuses technologies différentes – s'avère non seulement inefficace, elle est trop complexe et coûteuse. »Ce ne sont pas seulement les mesures, les départements ne sont pas non plus synchronisés. Comme la violation de données de Noël de Target de 2014. L'un des principaux facteurs ayant conduit à la violation de données dans Target était que les fonctions de sécurité étaient réparties entre divers cadres. Alors quoi, vous demandez? Eh bien, vous voyez ce qui se passe dans un tel scénario, c'est que souvent les gens finissent par travailler dans des silos comme la main droite ne sait pas ce que fait la main gauche. Le manque de coordination sur les politiques et la gestion de la sécurité des données peut paralyser le système et souvent retarder la découverte de la cause profonde de la violation et par la suite des solutions. Il n'y a pas d'approche intégrée du problème de la cybersécurité et les entreprises sont souvent prises au dépourvu, estime M. Blob. Même Gartner est d'accord. Il prédit que plus de 80% des entreprises ne parviendront pas à élaborer une politique de sécurité des données consolidée dans les silos, ce qui pourrait entraîner une non-conformité, des failles de sécurité et des passifs financiers.

3. Le manque d'expertise technologique dans les conseils d'administration et le recours à des tiers:

Le manque d'expertise technologique est un problème qui a souvent surgi dans les organisations, et encore plus dans les conseils d'administration. La plupart des membres du conseil n'ont pas de formation technologique. Selon Deloitte «Avec l'âge moyen des membres du conseil supérieur à 50, il y a souvent un manque de compréhension du contexte, car un DSI informe le conseil. Au fait, saviez-vous que 91% des membres du conseil sont incapables d'interpréter un rapport sur la cybersécurité? Ce n'est pas le pire. Environ 40% des cadres admettent ne pas se sentir responsables des répercussions d'une cyberattaque. Hou la la! La responsabilité est certainement sortie pour une promenade. En outre, les consultants en sécurité tiers sont trop dépendants pour examiner et évaluer périodiquement la solidité de la sécurité de l'organisation. Souvent, les OTC sont qualifiés pour aborder quel type de technologies aidera la continuité des activités, mais le paysage des menaces de cybersécurité change si souvent que l'OTC ne sera pas en mesure de suivre tous les scénarios. Par conséquent, des consultants tiers sont nécessaires pour faire une analyse plus approfondie des failles de la cybersécurité.

4. Technologies, cadres et pratiques traditionnels:

Les entreprises du monde entier perdent 445 milliards de dollars en raison de la cybercriminalité l'année dernière, selon une estimation du Centre d'études stratégiques et internationales . Les RSSI s'appuient sur la conformité pour renforcer la sécurité des informations dans les entreprises, mais ne sont pas toujours synchronisées avec la stratégie commerciale. La route traditionnelle peut favoriser un meilleur soutien de gestion, mais elle affectera la maturité du programme de cybersécurité. Comme l'explique Kris McConkey chef de file de PwC en matière de renseignement, de détection et de réponse aux incidents cybernétiques et internes, «l'une des faiblesses de l'industrie de la sécurité ou de l'industrie dans son ensemble est que les mêmes processus métier que nous utilisons depuis 20 ou 30 ans, et en essayant d'ajouter de plus en plus de couches de technologie pour corriger tous les trous. »On peut résoudre le problème en développant un cadre de sécurité de l'information qui

«Elémentaire, mon cher Watson»

Les violations de données continueront de s'intensifier et les organisations, quelle que soit leur taille ou leur secteur d'activité, auront besoin d'un nouvel état d'esprit pour relever les défis de la cybercriminalité. Les RSSI devront transmettre les risques de cybersécurité à l'entreprise en termes de ce qu'ils peuvent comprendre. Les bonnes nouvelles sont que vous n'avez pas besoin d'un Sherlock Holmes pour identifier ou résoudre l'un de ces problèmes. Ce dont nous avons besoin, c'est d'une culture de sécurité. Et vous avez également besoin d'une détection et d'une réponse intégrées aux menaces à travers plusieurs couches de l'informatique de l'entreprise, ce qui supprime l'approche cloisonnée de la sécurité. Vous pouvez aussi consulter ce livre blanc, Chaque Guide du RSSI sur la protection contre le risque cybernétique où mes amis ont essayé de fournir un plan d'automatisation, d'accélération et d'orchestration du cycle de vie de la défense contre les menaces. Après tout, le scénario actuel exige une approche intégrée de la gestion des cyberrisques pour s'attaquer à tous les risques et menaces de cybersécurité dans le cyberespace.

Comme Sherlock Holmes, il n'y a rien de plus décevant fait "et la cybersécurité est un de ces faits évidents.