Isi
Sumber: Bahrialtay / Dreamstime.com
Bawa pulang:
Keamanan bisnis dan pelanggannya berada di bawah pengawasan, yang berarti kebutuhan yang lebih besar bagi para profesional keamanan. Itu dimulai dengan CISO.
Bisnis menjadi sasaran serangan cyber pada tingkat yang mengkhawatirkan. Pelanggaran besar terhadap Target pada bulan Desember 2013 dan Neiman Marcus pada bulan Januari 2014 memberikan sorotan besar pada ketidakmampuan yang dimiliki oleh banyak outlet ritel dalam infrastruktur keamanan mereka. Akibatnya, semakin banyak perusahaan, baik besar maupun kecil, merasa perlu untuk meningkatkan upaya mereka dan memiliki tim keamanan yang berdedikasi.Menurut laporan yang dirilis oleh Reuters pada Mei 2014, sejumlah perusahaan besar, seperti Pepsi dan JPMorgan Chase & Co., sedang memburu kepala petugas keamanan informasi baru (CISO) dalam upaya untuk meningkatkan praktik keamanan. Apa yang tercermin ini adalah kesadaran yang lebih besar akan keamanan dan pentingnya keamanan di tingkat eksekutif bisnis.
CISO, dan kepala petugas keamanan dunia maya, terbenam dalam keamanan teknologi mereka, baik untuk pemberi kerja dan klien, tetapi peran dan tanggung jawab mereka menjadi lebih jelas dan penting di mata masyarakat umum, tidak hanya di kalangan komunitas keamanan.
"Lima tahun lalu, keamanan informasi nyaris tidak memecahkan 10 kekhawatiran papan. Setahun lalu, itu adalah No.2. Yang menarik sekarang keamanan data dan bukan hanya keamanan informasi," kata David Boehmer, mitra pengelola regional di perusahaan rekrutmen Heidrick & Struggles, dalam video YouTube yang diproduksi oleh perusahaan.)
Apa yang dilakukan CISO
Peran CISO bisa sangat luas, dan mereka sering mendapati diri mereka mengenakan banyak topi yang berbeda. Pekerjaan itu melibatkan segala sesuatu mulai dari keamanan internal, seperti mengelola keamanan kekayaan intelektual, hingga bertanggung jawab atas keamanan pelanggan."Saya juga bekerja sama dengan tim produk dan tim teknik kami untuk mengimplementasikan fitur dalam produk yang mungkin menarik bagi pembeli keamanan," kata Joan Pepin, seorang CISO di Sumo Logic.
Sementara pelanggaran Target tahun lalu tentu saja membuat banyak orang berbicara, Pepin menjelaskan bahwa dia tidak terlalu terkejut - dan begitu pula sebagian besar komunitas keamanan. Itu tidak berarti komunitas keamanan belum memiliki "momen penting" di mana semua orang perlu memperkuat pekerjaan mereka untuk maju.
Pelanggaran RSA pada 2011, di mana peretas melanggar server perusahaan keamanan informasi dan mencuri token otentikasi yang memberikan akses ke data sensitif pemerintah dan perusahaan, membuat banyak profesional keamanan beramai-ramai. Bagaimana bisa perusahaan keamanan menjadi mangsa peretas seperti itu? Hanya dua tahun kemudian, kekhawatiran itu akan beralih ke target yang sebelumnya terbang di bawah radar: pelanggan ritel. Serangan seperti yang terlihat di Target dan Neiman Marcus mengalihkan perhatian ke keamanan bagi pelanggan sehari-hari.
"Jelas ketika Anda memiliki operasi ritel besar-besaran dengan ribuan dan ribuan karyawan, semua situs yang berbeda ini, mesin point-of-sale, itu adalah jenis sistem yang paling miskin dan fakta bahwa jenis serangan itu tidak terjadi pada itu Jenis skala lebih cepat sebenarnya sedikit mengejutkan bagi saya, "kata Pepin.
Masalahnya bermula dari keamanan yang dilihat hanya sebagai kotak centang bagi perusahaan untuk menandai dan pergi daripada aspek yang selalu dipantau dari bisnis mereka. Ini tidak berarti bahwa penjahat cyber lemah dan hanya bisa masuk. Bahkan, penjahat dunia maya menjadi semakin terampil.
"Adalah pelanggaran yang cukup canggih, mampu menyamar sebagai agen BMC, dan hal-hal tersembunyi semacam itu. Untuk terlibat dalam gerakan lateral di seluruh jaringan Target cukup pintar," kata Pepin.
"Saya tidak ingin mengambil dari itu tetapi dalam hal kesulitan dalam target, tidak ada kata pun yang dimaksudkan, saya tidak akan pernah menempatkan rantai ritel pada daftar target keras. Perusahaan keamanan adalah target keras, pemerintah adalah target keras. Beberapa rantai pengecer yang bisnisnya menjual kaus kaki, saya tidak berharap mereka menjadi toko yang sangat aman. "
Lansekap untuk Profesional Keamanan
Pada Juni 2014, Target menyewa CISO pertamanya, Brad Maiorino, mantan eksekutif General Motors yang akan mengawasi perombakan praktik keamanan perusahaan.Bisnis, terlepas dari bidangnya atau ukurannya, perlu mencatat dan meningkatkan permainan keamanan mereka dalam menanggapi ancaman yang terus tumbuh dengan kesadaran yang lebih besar dan otoritas yang lebih besar untuk bertindak atas kemungkinan pelanggaran.
"Sudah jelas ... dalam kasus Target bahwa peringatan dihasilkan bahwa tidak ada yang merespons dan, dalam pengalaman saya yang berasal dari keamanan yang dikelola, sangat khas," kata Pepin.
"Sistem deteksi intrusi terbaik di dunia masih memiliki tingkat positif palsu yang sangat tinggi dan oleh karena itu para penanggap keamanan pada dasarnya dilatih oleh sistem mereka untuk mengabaikan sistem mereka. Ada kesenjangan interaksi manusia teknologi di sana, di mana responden pertama menjadi mati rasa terhadap ribuan orang. peringatan bahwa mereka mendapatkan itu adalah sampah. Dalam kasus Target, ada beberapa tanda yang tidak ditindaklanjuti yang bisa membantu meminimalkan dampak lebih cepat. "
Seperti yang sering terjadi, seorang profesional keamanan tidak dapat segera bertindak atas suatu masalah karena mereka membutuhkan izin atau persetujuan dari orang lain yang lebih tinggi dalam hierarki. Ini perlu diubah, Pepin mengatakan, menjelaskan bahwa tim keamanan perusahaan harus memiliki lebih banyak otonomi dan wewenang untuk mengambil inisiatif.
"Saya merasa bahwa ini masih merupakan masalah tata kelola di mana kepala petugas keamanan informasi tidak boleh melapor ke CIO," kata Tom Kellermann, kepala petugas keamanan siber di Trend Micro."Mereka harus melapor kepada chief risk officer atau langsung ke CEO." Ini memotong banyak perantara dan memastikan waktu respons yang lebih cepat terhadap potensi keadaan darurat.
Pepin setuju bahwa profesional keamanan harus "melaporkan langsung ke atas" di perusahaan mereka. "Saya cukup beruntung bahwa saya melapor kepada CEO kami. Itu bekerja dengan sangat baik dan itu adalah sesuatu yang benar-benar akan saya rekomendasikan untuk organisasi mana pun yang menganggap serius keamanannya."
Anggaran dan Keamanan Lainnya untuk UKM
Menyewa CISO dan memperluas tim keamanan Anda semuanya baik dan bagus jika Anda memiliki anggaran, tetapi bagaimana dengan perusahaan yang lebih kecil? Sementara serangan terhadap rantai kecil atau toko perangkat keras lokal Anda tidak akan menuai manfaat yang sama bagi peretas seperti memukul Target atau Neiman Marcus, masih tidak bijaksana untuk membiarkan diri Anda rentan dengan cara apa pun. Jadi apa yang dapat Anda lakukan untuk mengurangi risiko serangan? Pepin sangat merekomendasikan untuk menyewa jasa kontraktor atau konsultan respons insiden."Jika Anda diserang, Anda memiliki seseorang yang dapat Anda hubungi, jadi Anda tidak perlu membuka Google dan mulai mencari," katanya.
Ini akan lebih masuk akal secara ekonomi untuk perusahaan yang lebih kecil, ia menjelaskan, karena bisnis hanya akan menggunakan layanan ketika mereka dibutuhkan. Layanan-layanan ini juga sangat khusus untuk mengetahui di mana staf Anda tidak bekerja.
"Anda dapat memiliki tim yang luar biasa untuk melakukan triase, memahami bahwa Anda sedang diserang tetapi itu bukan keterampilan yang sama persis dengan yang dibutuhkan untuk menanggapi serangan itu, untuk mengeluarkan mereka dari jaringan Anda dan untuk mengumpulkan bukti dengan cara yang dapat digunakan di pengadilan. "
Perusahaan memiliki banyak sumber daya yang tersedia untuk memerangi kejahatan dunia maya. Sejarah baru-baru ini menunjukkan serangan besar lain sudah dekat.