Booz Allen Hamilton的高管了解信息安全的重要性2011年的艰难方式后,当黑客集团匿名声称它有穿过Booz Allen的服务器之一并已删除4GB的源代码并发布了超过90,000名军事电子邮件地址和加密密码的列表。
违反的服务器原来是一个包含测试数据的开发环境,“但这并不重要;这是一个唤醒电话,“咨询公司和政府承包商信息安全总监Michael Waters说。“这是一个非常令人不快的经历,但它确实镀锌了大量投资 - 首都和人力资源 - 在获得事情上完成。该公司环顾四周,说,“我们一直在努力,但我们需要更多地走向它。”
在明年,水域信息安全人员从12到70名员工增长,预算增加,流程和治理显着提高。但是,安全计划永远不会“完成”,2013年禁止艾伦收到了第二次震动 - 这次以内部威胁的形式 - 当近期雇用爱德华斯诺登,在合同到NSA时工作,泄露高度分类的文件描述政府监督计划。
禁止艾伦迅速射击雪登沃特斯说,进一步磨练了它的Infosec计划 - 这是一项持续到这一天的做法。“无论情况如何,我们不断更新我们的信息安全程序,我们也在继续加强我们每年的道德和合规计划,”他说。
今天,Waters将与世界上最大的企业的讨论程序符合他的信息,但他将在没有这些关键事件的情况下到达那里。
CIO / Computerworld / CSO
今天许多公司希望避免类似的高调唤醒电话。经过多年的关于灾难性违规的消息,信息安全终于得到了上层管理的关注。三分之二的美国的美国受访者对CSO,CIO和Computerworld进行的调查说,他们的组织的高级商业管理人员将更多地关注Infosec而不是过去。大多数受访者表示,他们希望重点突出。然而,当符合企业需求方面对准安全目标时,它领导者仍然面临挑战,包括证明成本,定义风险和澄清角色和职责。
一半的调查受访者表示安全相关的努力占其IT预算的10%,近三分之三表示安全措施占其时间的不到25%。虽然这些轮询的一半人表示,他们将组织的安全措施纳入A或B,同等部分选择C,D或F.
那么企业如何从今天到达凝聚力,资助和全面实施的信息安全计划的地方?IT领导和分析师分享促进这些泥泞水域并保护组织免受威胁的提示。
强调意识
大约一年前,销售和营销咨询公司的客户开始向基于Wilton的信息分享的信息的安全问题开始询问他们分享的信息。通过关于数据泄露的所有新闻,他们担心薄弱的联系可能会危及他们共享的竞争情报。
IT Jonathan Block的副总裁知道该公司的InfoSec政策和程序是声音。Siriusdecisions完全在云端运行,依靠大型供应商,其安全实践远远超过公司可以自己做的事情。但他说,越来越多的客户询问,以及其他公司的高度公布安全违规行为,“点燃了我们的火灾”,强调了信息安全在内部和公司的客户内部的重要性。
CIO / Computerworld / CSO
今天,SiriusDecisions与客户有关其服务提供商的安全认证和审计的详细信息,列举了信息安全意识,特别是社会工程的每位员工 - 其今天最大的威胁 - 并专门针对INFOSEC举措的10%的威胁。
被要求评分公司的努力,块说:“我会给我们一个坚实的B.我们的目标是试图领先于很多这些东西。攻击的频率和严重程度总是会增加,但我们已经确定了做出最大损坏的攻击类型,我们将努力集中在那些中。“
创建通信频道
在威尔斯法戈,高管在富勒比奇表示,高管在4年前的信息安全方面更加了解信息安全。2012年,他们成为银行第一个Ciso。
他说,围绕技术和非技术工作人员,业务部门和高管之间的更好的合作和沟通的大部分改善中心。为了帮助到达那里,Wells Fargo重新调整了其安全层次结构。2015年1月,Baich开始向首席风险官员而不是CIO,以强调安全的基于风险的重点,并提高董事会透明度。
“我不是技术,”Baich说。“[新的层次结构]允许我们有效创建一个通信渠道,帮助人们了解安全语言,安全性的重要性,如何适应更大,整体风险管理构建 - 并最终帮助驱动和使我们的这一部分文化,[其中]每个人团队成员都是风险经理。“
CIO / Computerworld / CSO
Baich不会为Wells Fargo的信息安全计划分配一个字母等级,说甚至一个好的成绩可能会邀请从前瞻性黑客审查。但在2015年11月到2016年5月,在银行工作的埃尔维斯·莫尔兰作为一个独立的网络安全承包商,赞扬富国银行采取了促进安全的步骤,包括采用联邦的举措NIST Cybersecurity标准,他帮助计划作为银行混合安全框架的一部分。他说:“如果那些努力继续,他们将轻松地向B轻松工作。
莫尔兰推荐了NIST网络安全框架,因为它适用于私营部门和联邦政府,因为它提供了三十年的记录经验教训,可以应用于任何组织。“自由研究中的数亿美元是数亿美元,”德尔兰说,他现在是Atos BDS北美的高级网络安全和风险管理顾问。他补充说:“只要通过重新调整安全等级并采用NIST框架,我们将覆盖80%的安全漏洞和我们今天看到的弱点。
给它一个旋转
即使在2011年攻击之前,Waters也一直在努力Boz Allen的信息安全框架。然而,“获得我需要的注意和预算”是挑战,“他回忆道。
他很快了解到,他曾经向IT部门,高管和业务单位沟通INFOSEC的基调和观点对于获得完成的事情至关重要。
CIO / Computerworld / CSO
Today, Waters says that when he and his team discuss security needs with their business colleagues, they might say, “It’s not that I want you to do something, but it’s this new regulation we need to comply with, and I can help you figure out how to do it.” Or, “Outside attackers are trying to steal our data or wreck our systems; I’m here to help implement the protections and controls because of these outside forces.”
明智地花钱
Gary Vause,Cyberseecurity Consutialancy VSC的创始人和总裁们表示,许多公司在其Infosec预算中保持紧张的帽子,因为他们希望需要资源来推出下一个安全火灾。“他们知道它即将到来,而不是预防性,他们选择成为反应性,”他说。
另一方面,他注意到这个问题的钱也不是答案。他说,制定对公司的安全成熟度级别的理解 - 一个观点,包括人员,流程和技术 - 可以帮助组织优先考虑预算优先考虑预算的基础漏洞。
Deloitte的有弹性服务实践的校长艾米莉Mossburg同意这不是花更多的钱。她说,这个问题是:“你是否优先考虑实际上可能最伤害您的业务的东西?”您是否正在修复您的业务最脆弱的地区?她建议专注于“威胁演员真正在您的业务之后的威胁演员,最终,影响最大的地区。”
使它成为现实
公司往往会在数据泄露中看易于识别,有形的损失,例如具有个人身份信息的记录数量。莫斯斯堡说,那些应该受到保护,但不太明显的损失实际上可以证明肋骨。
6月,德勤发布了一个报告这使得网络安全事件的14个业务影响,其中一半是隐藏的成本,包括知识产权的丧失,贬值您的商品名称并损失合同收入。那些隐藏的成本可能比初始分类和损坏控制费用更昂贵,他们可以继续多年。
在一个假设模型中,德勤基于其与客户的经验,损失大量医疗记录的医疗保健公司的成本超过16亿美元。其中,只有3.5%的成本被认为是在网络内的网络之后预期的“表面”切片,例如违约后的客户保护服务和网络安全改进。
剩下的96.5%的成本对于较少的有形命中,例如丧失客户关系并增加保险费。这种“在表面下面”的成本通常会因违反后审判过程中的公司而震惊。
“我们需要为人们做出这个真实的,”莫斯斯堡说。“了解行业非常重要,对他们使用的系统类型的细微差别,它们对第三方的互联性,他们拥有的数据类型,他们如何使用它以及可能是什么。”所有这些贡献因素以及事件类型,使每个公司都具有独特的情景。“我们已经有很多关于[与客户]的对话,他们应该为自己建模的场景是什么,”她说。
Ciso Ciso办公室副总裁Michael Eisenberg表示,铰接式风险是一个重要的第一步.Cybery Solutions Provider Optiv。“当您能够阐明业务和董事会同意的风险时,您可以提出一个计划,以减轻和管理风险” - 他说,包括额外资金和资源的计划。
写在墙上
在Booz Allen的匿名违规之后五年,Waters仍然显示华盛顿邮政文章的框架副本,了解他的办公墙的攻击。“对我和我的领导团队来说,”他说,“这是一个提醒人们永远不会再发生这种情况。”
这个故事“导航企业infosec的泥泞水域”最初是发表的CSO 。