Устранение недостатков кибербезопасности одним ударом

Стив Морган, мой знакомый, профессиональный писатель, пишущий о кибербезопасности для Forbes, опубликовал Миллион вакансий в сфере кибербезопасности в 2016 году и обнародовали шокирующую статистику о растущем дефиците квалифицированных специалистов по кибербезопасности. Ситуация усугубляется взрывным ростом числа корпоративных взломов, которые затрагивают и даже уничтожают компании в сфере финансов, образования, бизнеса, государственного управления и особенно здравоохранения.

В 2015 году было раскрыто почти 170,000,000 200 XNUMX записей, и эта астрономическая цифра — лишь то, что нам удалось каталогизировать. Если киберпреступники в среднем XNUMX дней без предупреждения оставляют ваши сети без присмотра, то это число, безусловно, не отражает реального ущерба. Количество кибернарушений растёт с ошеломляющими масштабами.

Кто поможет переломить ситуацию в борьбе с этими тревожными тенденциями? Недавний отчет показал, что "Больше, чем 209,000 рабочих мест в сфере кибербезопасности в США остаются незаполненными, а число вакансий выросло на 74% за последние пять лет, согласно анализу данных Бюро трудовой статистики, проведенному Peninsula Press (проект Программы журналистики Стэнфордского университета) в 2015 году». Совершенно очевидно, что, хотя сейчас не хватает талантов, ситуация только ухудшается в геометрической прогрессии!

Для людей, которые в настоящее время работают в сфере кибербезопасности или хотят ею заняться, есть следующие преимущества:

1. При текущих ставках оплаты труда вы будете зарабатывать примерно на 9% больше, чем другие ИТ-работники.
2. Темпы роста числа карьерных возможностей в сфере кибербезопасности составляют 36.5%, что не может быть устойчивым для компаний и повышает спрос на существующих сотрудников со стороны тех, кто предлагает самую высокую цену.

Другой отчет включен " докладе По данным Cisco, число вакансий в сфере кибербезопасности в мире достигло миллиона. Ожидается, что к 6 году потребность в специалистах по кибербезопасности во всем мире вырастет до 2019 миллионов, а дефицит составит 1.5 миллиона человек», — заявил Майкл Браун, генеральный директор Symantec, крупнейшего в мире поставщика программного обеспечения для обеспечения безопасности. Это только усиливает тревогу в компаниях, которые изо всех сил стараются не стать «нарушением дня».

Ситуацию усугубляет значительное ужесточение нормативных требований и требований к соблюдению нормативных требований во всех отраслях. В 2015 году все существующие системы соответствия претерпели существенные изменения. В некоторых случаях, как в случае с SSAE 16, сложность удвоилась. Ситуация стала ещё более затратной и сложной.

Единственно верные решения для компаний, стремящихся сохранить жизнеспособность в условиях глобальной киберугрозы, — это повышение эффективности и эффективное использование ресурсов. Два лучших решения, разработанных для решения этих задач:

Сохраните Cybervisor®

Почему только крупный бизнес может позволить себе услуги представительства интересов руководителей служб технологической безопасности мирового уровня? Вы нанимаете юристов и бухгалтеров для выполнения сложных задач и представления своих интересов; точно так же вы нанимаете руководителей служб технологической безопасности и экспертов в данной области! Даже при среднегодовом росте расходов на услуги поставщиков услуг кибербезопасности на 7–15% это всё равно составляет менее 50% от роста расходов на персонал.

Помощь преданных своему делу и проверенных экспертов по кибербезопасности обходится дешевле, чем найм всего одного (1) специалиста по кибербезопасности. И да, это было множественное число, а не единственное. С профессиональными Кибервизор услуги, компании получают экспертные знания от многих опытных экспертов, которые сотрудничают и действуют сообща, чтобы оказывать поддержку своим клиентам.

Автоматизация — ваш друг

Пришло время работать умнее, а не усерднее! Используя автоматизированные инструменты кибербезопасности и GRC, мы обнаружили, что сотрудники стали гораздо более эффективными и производительными. Более того, использование такого инструмента, как ИТПМ Постоянно повышает эффективность процессов кибербезопасности, оценки GRC и составления отчётов в среднем на целых 180%. Когда время — деньги, ITAM — это как нанять трёх (3) специалистов по кибербезопасности по цене ниже, чем одного (1).

Эта концепция «работать умнее, а не усерднее» применима ко всем поставщикам услуг кибербезопасности и GRC по всему миру. Зачем платить за накладные расходы и устаревшие процедуры оценки вашего текущего стороннего поставщика, если вы можете значительно сократить свои расходы и увеличить прибыль, просто используя современный, продуманный и передовой инструмент GRC, такой как ITAM?

ITAM — это продуманный инструмент GRC, который поможет вам достичь соответствия требованиям в рекордно короткие сроки, избавляя от привычной для вас рутины аудита. Существует превосходное решение этой старой проблемы, и ITAM — его ключ к успеху.

Заблуждение отчаяния: почему нарушение вашей безопасности не неизбежно!

В бизнес-сообществе растет мнение, что нарушение безопасности, затрагивающее их компанию, неизбежно. Это поддерживается профессионалами в области безопасности и поставщиками услуг и продуктов, которые подкрепляют этот миф заявлениями, похожими на:

«Важно не то, будет ли взломана ваша компания, а то, когда это произойдет».

Мы не разделяем эту философию страха; это заблуждение отчаяния. Мы не принимаем неизбежность чего-либо, даже смерти, потому что мы убеждены, что наука исправит этот печальный конец. При всем при этом не должно вызывать удивления то, что мы, конечно, не согласны с тем, что нарушение вашей безопасности должно быть неизбежным.

Страх — это ползучая, ползающая, коварная заноза сомнения, прорастающая в вашем уме, которая заставляет вас реагировать порой нерационально. Страх — это инструмент управления для контроля многих или одного. Страху нужны две противоборствующие силы для синхронизации.

Созависимость определяется как зависимость от людей, поведения или вещей. Созависимость — это заблуждение, заключающееся в попытке контролировать внутренние чувства, контролируя людей, вещи и события извне*. Заблуждение отчаяния заключается в том, что мы ничего не можем сделать, чтобы остановить возникновение чего-то плохого.

Имейте в виду, что компании, занимающиеся реактивной кибербезопасностью, хотят, чтобы вы боялись неизвестности, возможности неизбежного взлома вашей компании. В интересах их бизнес-модели поддерживать вашу корпорацию в рамках их взаимозависимости. Они бы не смогли существовать, если бы нарушения были предотвращены.

Пока у нас есть момент ясности без страха, подумайте, что нарушение безопасности состоит из. С одной стороны уравнения у вас есть субъект, который хочет получить доступ к вашей организации для какой-то вредоносной цели. С вашей стороны этого уравнения вы не хотите, чтобы это произошло; так не позволяйте этому произойти!

Не соглашайтесь стать жертвой.

Если технолог что-то создает, а другой технолог может это что-то сломать, не думаете ли вы, что можно с уверенностью сказать, что другой технолог может первым определить проблему и предотвратить вторжение? Не поддавайтесь этому заблуждению отчаяния!

В В сфере кибербезопасности существует только две формы безопасности; Проактивная кибербезопасность и Реактивная кибербезопасностьРеактивная кибербезопасность — это устранение последствий взлома. Проактивная кибербезопасность — это предотвращение возникновения беспорядка.

Лучшее и единственное, что может сделать компания, чтобы оставаться впереди угроз, — это проявлять инициативу в надлежащем внедрении управления, технологий и бдительности (также известных как «Триединая безопасность»). Когда о 96% всех нарушений можно предотвратить с помощью применения простых и промежуточных уровней контроля, это абсолютно в ваших силах защитить вашу компанию. Позвольте мне показать вам путь; прочь от этой ошибки философии отчаяния.

Lazarus Alliance — это проактивная кибербезопасность.

*Ванг, Чарльз Р. Глубокие состояния отчаяния: развивающий и системный подход к лечению пустоты. Бока-Ратон, Флорида: Universal, 2009. Печать.

Как оценить реальную стоимость утечки данных? Как сопоставить затраты с выгодами от эффективного устранения рисков, их минимизации или принятия рисков для вашего бизнеса?

Руководящий состав Lazarus Alliance был, образно говоря, передовым отрядом в сфере проактивной кибербезопасности задолго до появления корпоративных отделов безопасности и до того, как должность директора по информационной безопасности (CISO) вошла в нашу коллективную классификацию.

Казалось бы, вполне логично, если мыслить как футурист, что наше технологическое распространение будет только ускоряться. (конечно, так и есть!) и что кибербезопасность будет играть в этом уравнении ведущую роль (преуменьшение для этого дня!).

Как и в любом аналитическом процессе, чем больше данных у вас есть для анализа, тем лучше будет результат. Оценка стоимости утечки данных не является исключением из этого правила. В настоящее время индустрия кибербезопасности и работающие в ней специалисты располагают огромными массивами данных. Главная задача, которая остается, — это, по сути, вопрос... (На самом деле несколько, но кто считает?) И снова, вопрос заключается в том, обладает ли руководство по безопасности в вашей организации следующими полномочиями:

1. правомочность чтобы сделать работу
2. возможности чтобы сделать работу
3. сила духа чтобы сделать работу

В этом и кроется подвох. Человеческий фактор, как всегда, является самым слабым звеном в цепи между абсолютной кибербезопасностью и её отсутствием. Важно отметить, что первое правило законов безопасности гласит: абсолютной кибербезопасности не существует, если не разорвать связь с внешним миром.

Теперь, когда мы оказались в ситуации, напоминающей отчаяние, давайте рассмотрим некоторые факты, которые помогут руководству компаний, начиная с генерального директора и заканчивая всеми остальными. Нам следует свести многочисленные аспекты кибербезопасности к наиболее очевидной и простой форме: проактивная кибербезопасность и реактивная кибербезопасность.

Реактивная кибербезопасность

По определению, реактивная кибербезопасность — это ситуация, когда уже слишком поздно для превентивных мер. Ваша компания попала в новости и в следующий отраслевой отчет о взломе. Генеральный директор, директор по информационным технологиям и директор по информационной безопасности, скорее всего, окажутся под угрозой увольнения. Если ваша компания выживет, вас ждут огромные судебные издержки и долгосрочный ущерб репутации, который практически невозможно оценить количественно.

В зависимости от выбранного вами статистического отчета о нарушениях безопасности, в среднем стоимость одной записи в базе данных, обработанной человеком, составляет 205 долларов США. Для этого используются весьма сложные математические вычисления. (A*B=C), Мы можем оценить стоимость утечки данных, что поможет нам принять решения о том, как действовать на опережение в стремлении к устранению рисков для наших организаций.

Например, недавно опубликованная статья о CNN «Правительственные следователи теперь полагают, что кража данных из компьютерных систем Управления кадровой политики скомпрометировала конфиденциальную личную информацию, включая номера социального страхования, примерно 21.5 миллиона человек как из числа сотрудников правительства, так и из-за его пределов, заявило правительство в четверг».

Давайте сделаем математику!

Умножив 205 долларов на 21 500 000 записей, получаем оценочную стоимость утечки данных в Управлении по управлению персоналом, которая составит 4 407 500 000 долларов! (В этом месте нецензурные выражения опущены!)

Какие дополнительные сопутствующие расходы связаны с этим нарушением?

1. Управлению по управлению персоналом больше никогда не будут доверять
2. Директор по информационным технологиям и директор по информационной безопасности должны с позором потерять свои должности из-за своей вопиющей халатности.
3. Налогоплательщики США будут нести расходы в течение десятилетий

Из этих данных мы можем извлечь несколько поразительных и не дающих покоя фактов, которые можно применить в организациях, за которые мы отвечаем. У вас должно быть достаточное представление о том, сколько записей вы храните, поэтому используйте эту информацию для расчета еще одного математического инструмента принятия решений: ожидаемой годовой потери (ALE).

ALE является неотъемлемой частью проактивной оценки рисков, поэтому перейдем к проактивным мерам; подробнее об ALE чуть позже.

Проактивная кибербезопасность

По определению, проактивная кибербезопасность заключается в предотвращении утечки данных посредством эффективного и надлежащего внедрения мер контроля и противодействия. Суть её в том, чтобы не допустить попадания вашей компании в новости и отраслевые отчёты об утечках.

Подумайте, сколько стоит провести оценку рисков или аудит соответствия сторонним организациям. С целостной точки зрения, это ничтожно мало по сравнению со стоимостью утечки данных. Цифры не лгут. Проактивный подход к кибербезопасности обходится гораздо дешевле. Мы обнаружили, что средняя стоимость проактивного решения вопросов безопасности, рисков, аудита и управления составляет... дешевле, чем стоимость одного сотрудника уровня CISO.!

Как сказал Уильям Окс, партнер компании Lazarus Alliance, специализирующейся на управлении рисками и соблюдении нормативных требований: «С каждой последующей утечкой данных мы видим, что организации упускают из виду поговорку о том, что лучше предотвратить проблему, чем потом ее решать. Похоже, что в сложной сфере кибербезопасности игнорируются самые здравые превентивные меры, и мы продолжаем расплачиваться за это».

Лучше всего начать с оценки ИТ-рисков. Правильно проведенные исследования показывают, что 59% всех организаций не проводят и могли бы устранить большинство угроз для бизнеса. В частности, анализ крупных утечек данных за последние 12 месяцев показывает, что 100% из них были вызваны хакерскими атаками, а 96% можно было предотвратить, внедрив простые и средние меры контроля. Все это легко выявить с помощью надлежащей оценки рисков.

Частью любой оценки рисков является расчет затрат и расходов для устранения рисков, и именно здесь вступает в действие ALE. Хотя изначально ALE предназначалась только для бухгалтеров, руководство Lazarus Alliance обнаружило, что она идеально подходит для таких направлений бизнеса, как кибербезопасность, которые связаны с центрами затрат.

Для краткого объяснения процесса расчета, ALE состоит из двух факторов. Это ожидаемая сумма единовременного убытка (SLE), которая представляет собой процент защищаемого актива, который будет потерян в результате одного страхового случая, и годовая частота наступления страхового случая (ARO), которая показывает частоту наступления страхового события в течение года. Умножение этих двух факторов дает вам ALE. ЭЛЕ (ЭЛЕ = СЛЕ * АРО).

Например, предположим, что актив оценивается в 200 000 долларов, а единовременная стоимость риска составляет 50 000 долларов. Ваша ожидаемая стоимость жизни (SLE) теперь определяется как 50 000 долларов, верно? Сколько раз в год мы ожидаем, что это событие, связанное с риском, произойдет? Если мы ожидаем, что риск будет возникать один раз в год, то ARO составляет 100%, тогда как если мы считаем, что вероятность составляет 50/50, то наш ARO теперь составляет 50%, верно? Для обсуждения предположим, что мы считаем, что вероятность возникновения риска составляет 50/50, тогда наш ARO равен 0,5. При SLE, равном 50 000 долларов, умножив на наш ARO, равный 0,5, получаем ALE в 25 000 долларов.

Если вы тратите более 25 000 долларов на снижение или предотвращение рисков, приобретая продукты безопасности, страховые полисы или юридические услуги, вы тратите слишком много. Вы, безусловно, тратите слишком много, если используемый вами продукт или услуга не устраняют риск. Если затраты в 25 000 долларов не обнуляют ваш показатель ARO (Access Risk Retail) и, скажем, снижают риск на 75%, вам следует сократить эти расходы на снижение рисков на 25%, чтобы привести все в соответствие с экономически эффективными мерами по предотвращению рисков.

Мы изучили колоссальную разницу в стоимости проактивной и реактивной кибербезопасности. В условиях столь высоких ставок компании больше не могут позволить себе действовать в одиночку. Недостаточно, чтобы правительство или частный сектор принимали правила и положения; необходима квалифицированная помощь для их реализации.

Lazarus Alliance — это проактивная кибербезопасность®