O fiasco russo de hackers que estamos acompanhando nas últimas semanas - histeria, que é devido ao relatório falhado da Grizzly Steppe e subsequentes reportagens de notícias aleatórias - causou um grave desserviço à grave questão da cibersegurança nacional.
Se o mundo vai virar a esquina de seu atual estado de segurança cyber (in) desenfreado, precisa de jornalismo sólido para expor plenamente o estado lamentavelmente inadequado e segurar governos, organizações, corporações e indivíduos responsáveis por negligência cibernética e Negligência.
Os jornalistas podem ajudar a fazer isso, certificando-se de fazer as seguintes perguntas-chave (com alguns follow-ups necessários) sempre que relatar um grande ataque ou incidente de segurança cibernética.
1. Quando a organização tomou conhecimento do incidente? O atraso entre quando as organizações sabem sobre um incidente e quando começam a falar sobre isso é uma questão crucial e surgiu inúmeras vezes. Os 2016 Yahoo! violações são um grande exemplo de sérias dúvidas sobre quem sabia o que e quando.
2. Por quanto tempo o incidente não foi detectado? Sabemos que o incidente médio pode passar despercebido por meses - se não anos - antes que uma organização descubra. Isso é inaceitável. Uma forma de incentivar as organizações a investirem em prevenção e detecção de ataques cibernéticos é responsabilizá-las por um padrão mais elevado.
3. Quanto tempo você levou para conter e se recuperar do incidente? Foram adicionais compromissos feitos no tempo entre a investigação da causa raiz do incidente e restaurar sistemas afetados? Este é um grande. Eu sei de numerosos casos onde os gerentes sênior em organizações de todos os tipos tomar a decisão de encerrar prematuramente as investigações sobre as causas de raiz e extensão total de um incidente, a fim de priorizar a recuperação do sistema. Isso muitas vezes resulta na destruição de dados forenses necessários.
4. Foram quaisquer informações pessoais de clientes, clientes, funcionários, convidados ou qualquer outra pessoa exposta no incidente? Se não, como você sabe com certeza esses dados não era? Muitas vezes, organizações de todos os tipos fazem afirmações gerais de que nenhuma informação pessoal foi acessada com base em evidências frágeis ou inexistentes. Alguns contam com um padrão que diz que, a menos que haja evidência explícita de que os dados foram acessados, eles não declaram que há alguma probabilidade de que essa informação tenha sido exposta. Isto vem apesar do fato de que muitos destroem tais evidências em uma corrida para restaurar sistemas. Os jornalistas precisam desafiar as organizações a afirmar claramente por que acreditam que os dados não foram ou foram acessados.
5. Como o incidente começou? Foi um erro de usuário, ação ou atividade maliciosa? Foi o resultado de servidores não-corrigidos ou nós de extremidade? A organização tinha os sistemas de acesso adequados (rede e autenticação)? A maioria dos "hacks" começar com engenharia social . O corte DNC , o corte de energia ucraniana 2015 , e muitos mais começo com phishing e-mails; Gotas de chave USB com malware; telefonemas; Ou visitas em pessoa. Outros são o resultado da fraca higiene cibernética básica e da falta de investimento em controles de segurança, auditorias e pessoal adequados.
6. Você tem uma equipe dedicada de segurança cibernética ou provedor de serviços de segurança gerenciados? Muitas organizações não estão investindo adequadamente em ferramentas de segurança e profissionais de segurança para instalar, ajustar, gerenciar e retirar adequadamente os sistemas de segurança de TI. Trata-se de uma questão que reflete diretamente a atitude da alta administração e das diretorias em relação à segurança cibernética e mostra o quanto - ou quão pouco - cuidaram dela antes de um incidente.
7. Você tem um plano de resposta a incidentes de segurança cibernética? Se não, por quê? Em caso afirmativo, quando foi a última vez que foi testado e ele desempenhar um papel neste incidente? Um plano de resposta a incidentes de cibersegurança é como uma broca de incêndio. Tem de ser praticado, re-reforçado, revisto e melhorado de forma consistente. Ter um plano completo e testado no pronto é um sinal de due diligence em uma organização.
8. Quanto você gasta em tecnologia da informação como uma porcentagem de seu orçamento total e quanto você gasta na segurança cibernética? Tal como acontece com funcionários dedicados e um plano de incidentes, fazer investimentos adequados na segurança cibernética é fundamental para demonstrar o compromisso da organização com a segurança cibernética. Não há uma resposta certa para esta questão por si, mas as organizações que não sabem o quanto gastam na segurança cibernética em relação aos gastos totais de TI da sua organização não têm um programa maduro de segurança cibernética que mede a eficácia contra o investimento. Para as empresas públicas, saber quanto gastam indica o compromisso da gerência em levar a cibersegurança a sério e não a intermináveis conversas de diretoria sobre o tema com pouca ou nenhuma ação real.
9. A alta administração eo conselho são regularmente avisados e informados sobre os riscos cibernéticos? Esta questão se refere diretamente à questão da governança da segurança cibernética, um dos quatro fatores críticos de sucesso para um programa saudável de segurança cibernética, além da cultura, conscientização e tecnologia.
10. O treinamento de conscientização sobre segurança cibernética é obrigatório para todos os membros da organização e é o treinamento realizado e atualizado regularmente?
A grande maioria dos incidentes de cibersegurança envolvem erro humano, portanto a melhor defesa contra ataques cibernéticos é uma comunidade organizacional bem informada, consciente e comprometida. A falta de um programa formal de conscientização sobre segurança cibernética que seja obrigatório para todos os membros é um assunto crítico, mas comum a todos, que demonstra uma falta de compromisso em levar a cibersegurança a sério.
Sobre o autor: David Shipley é o Diretor de Iniciativas Estratégicas na Universidade de New Brunswick. Faz parte da sua equipa de Segurança Cibernética e é responsável pela sensibilização e estratégia de segurança. Ele falou em conferências de educação superior e conferências de segurança de TI em toda a América do Norte.
Nota do Editor: As opiniões expressas neste e em outros artigos do autor convidado são da exclusiva responsabilidade dos seus autores.
Comente com o Facebook
0 Comentários