Redzēsim, kā atbilstības un regulatīvās pārvaldības prasības saskan ar drošības paraugpraksi lai sasniegtu augstākus uzņēmuma noturības mērķus un nodrošinātu lielāku atsaucību pret visiem riska veidiem.
Šeit, lai izpētītu šīs un citas ar drošību saistītās uzņēmuma IT problēmas, mums pievienojas mūsu līdzstrādnieks Rafs Loss, galvenais drošības evaņģēlists plkst HP Programmatūra, un īpašais viesis Džons Makenna, Liberty Mutual Insurance viceprezidents un galvenais informācijas drošības speciālists (CISO), kas atrodas Bostonā. Tērzēšanu vada Dana Gārdnere, galvenais analītiķis plkst Interarbor risinājumi. [Atklāšana: HP ir sponsors BriefingsTiešās aplādes.]
Gardner: Kāpēc jūsu uzņēmumam tagad ir tik svarīga drošība, un kādos veidos jūs ieguldāt?
McKenna: Mums ir diezgan skaidrs, ka pasaule ir mainījusies attiecībā uz draudiem un attiecībā uz tehnoloģiju veidiem, ko mūsdienās izmantojam, lai nodrošinātu mūsu uzņēmējdarbību. Protams, pastāv pienākums, pienākums aizsargāt mūsu klientu informāciju, kā arī nodrošināt, lai mūsu uzņēmējdarbība varētu turpināt atbalstīt šos klientus.
 |
Džons Makenna |
Tātad, kā jau teicu, tā ir apziņa, ka mums ir jāpārliecinās, ka esam tik droši, cik mums vajag, un mēs varam ļoti dziļi diskutēt par to, cik drošiem mums jābūt.
Turklāt mums ir savi darbinieki, kuri, mūsuprāt, ir jāaizsargā, lai viņi varētu strādāt strādāt un paveikt darbu, lai atbalstītu mūsu klientus, vienlaikus darot to ļoti drošā darba vietā vidi.
Gardner: Kā, jūsuprāt, tagad viss ir savādāk nekā, teiksim, pirms četriem vai pieciem gadiem?
McKenna: Sākšu tikai ar pašu tehnoloģiju ainavu. No mobilitātes platformas un sociālo tīklu uz mākoņdatošana, tie visi ievieš dažādus uzbrukuma vektorus, dažādas iespējas ļaundariem izmantot.
Draudu samazināšana
WMums ir jāpārliecinās, ka mēs varam izmantot šīs tehnoloģijas un ļaut mūsu uzņēmumam tās efektīvi izmantot attīstīt mūsu biznesu un apkalpot klientus, vienlaikus aizsargājot viņus, lai mēs samazinātu draudi. Mēs to nekad nenovērsīsim, bet mēs varam samazināt slikto puišu iespējas izmantot priekšrocības.
LOS: Džon, jūs runājat par saviem klientiem. No drošības viedokļa jūsu klienti ir gan ārējie, gan iekšējie klienti, vai ne?
McKenna: Mums noteikti ir arī savs iekšējais klients. Mums ir partneri, pārdevēji, aģentūras un brokeri, ar kuriem mēs sadarbojamies. Viņi visi ir daļa no piegādes ķēde. Mūsu pienākums ir nodrošināt, ka neatkarīgi no tā, ar kādiem rīkiem un tehnoloģijām mēs tos ieviešam, mēs to arī aizsargājam.
Gardner:Liberty Mutual, protams, ir liels un ilggadējs apdrošināšanas līderis. Palīdziet mums izprast, cik sarežģīti jūs pārvaldāt, kad runa ir par drošības nodrošināšanu visā šajā pilnajā domēnā.
McKenna: Mēs esam globāls uzņēmums Fortūna 100 sarakstu. Mums ir 35 miljardu dolāru ieņēmumi, un mums ir aptuveni 45 000 darbinieku visā pasaulē. Mēs piedāvājam personīgās un komerciālās līnijas produktus jeb P&C un dzīvības apdrošināšanas produktus. Mums visā pasaulē ir vairāk nekā 900 biroju.
Tātad mums ir daudz cilvēku. Mums ir daudz sakaru, un mums ir daudz klientu un piegādātāju, kas visi ir daļa no šī biznesa. Tā ir ļoti sarežģīta biznesa darbība, un ir daudz izaicinājumu, lai pārliecinātos, ka mēs atbalstām klientiem, biznesam un arī projektiem, kas nepārtraukti mēģina izveidot jaunas tehnoloģijas un jaunas iespējas.
Gardner: Raf, kad mēs runājam par to, kas uzņēmumos atšķiras, viena no lietām ir tāda, ka agrāk drošība patiešām bija kaut kas tāds, kas tika deleģēts un zināmā mērā bija pārdomas.
Taču tagad par drošību tiek padomāts jau jaunu pakalpojumu plānošanas sākumā. Vai tas tā ir jūsu ceļojumos?
LOS: Tas ir tas, ko es redzu, un joprojām notiek nobriešana, kas notiek visā uzņēmumu spektrā, kur daudzas organizācijas — ticiet vai nē, 2012. gadā — joprojām iestājas par formalizētām drošības organizācijām.
Nav dota
So drošība vēl nav pašsaprotama, ja šī nodaļa pastāv, ir labi finansēta, ar personālu un tiek ievērota. Jūs nokļūstat tādā stāvoklī, kurā drošība nav tikai pārdomas vai kā tas bija organizācijā manā iepriekšējā darba vēsturē pirms apmēram desmit gadiem. Šāda veida uzņēmumos viņi to paveiktu un teiktu: "Starp citu, drošība, ja jūs to aplūkojat pirms tā izlaišanas, pārliecinieties, vai tas ir virtuāli pacelts. Jums atlicis apmēram 20 minūtes."
 |
Rafs Loss |
Ja jūs varat izvairīties no tā, tas tiešām ir par drošības komandu pastiprināšanos un demonstrēšanu, ka tās saprot biznesa modelis un ka viņi ir tur, lai kalpotu organizācijai, nevis vienkārši diktētu politiku. Tas patiešām ir process, kurā tiek pārslēgts no šīs stingrās vadības ierīces uz vairāk riska modeli.
Tā ir sava veida klišeja, taču IT tehnoloģija riskē saprast pieņemšanu un norādījumus. Es domāju, ka tieši tur tas sāk uzvarēt uzņēmumu vadītājus. Nav tā, ka cilvēkiem nerūp drošība. Viņi dara. Viņi vienkārši nezina, ka to dara. Mums ir jāpārliecinās, vai viņi saprot sava biznesa kontekstu.
Gardner: Džon, vai tā zvana jums Liberty Mutual?
McKenna: Tas noteikti ir. Tas iet no augšas uz leju. Mūsu padome noteikti lasa virsrakstus katru dienu. Kur tādi ir jauni pārkāpumi, viņu pirmais jautājums ir: "Vai tas var notikt ar mums?"
Tātad tas noteikti sākas ar to, bet es domāju, ka mūsu stratēģiskās biznesa vienības, vadība, kā arī IT speciālisti, kas viņus atbalsta, ka, ieviešot jaunas iespējas, mums ir pienākums aizsargāt zīmolu un reputācija. Tāpēc viņi vienmēr vispirms domā par to, kādi tieši draudi un ievainojamības varētu būt un kas mums ar to ir jādara.
Mūsu drošības programmā ir izveidotas daudzas programmas, lai mēģinātu apmācīt mūsu izstrādātājus, kā izstrādāt lietojumprogrammas, drošas kodēšanas metodes un kādas tai ir jābūt. Mums ir daudz darba saistībā ar mūsu drošības izpratnes programmu, lai visi 45 000 iedzīvotāju darbiniekiem ir izpratne par to, kādi ir viņu pienākumi aizsargāt mūsu uzņēmuma informāciju aktīviem.
Es izmantošu terminu, ko lietojis kolēģis, kuru mēs ar Rafu zinām. Mūsu nolūks nav nodrošināt uzņēmumu par 100 procentiem. Tas nav iespējams, taču mēs plānojam nodrošināt atbildīgu aizsardzību, lai pārliecinātos, ka mēs pareizi aizsargājam pareizos īpašumus.
LOS: Tas ir ļoti interesanti. Jūs pieminējāt kaut ko par to, kā padome lasa virsrakstus, un es vēlos uzzināt jūsu viedokli par to. Es uzdrošināšos minēt. Tas nav tāpēc, ka jums būtu izdevies iegūt viņiem pietiekami daudz papīra, bet gan papīra kaudzes ar ziņojumiem, kuros teikts, ka mums ir tūkstotis ievainojamību. Tas nav iemesls, kāpēc viņi rūpējas.
Diezgan liels izaicinājums
McKenna: Pilnīga taisnība. Kad es saku, ka viņi lasa virsrakstus, viņi lasa, kas notiek ar citiem uzņēmumiem. Viņi jautā: "Vai tas var notikt ar mums?" Tas ir diezgan liels izaicinājums — izaicinājums sniegt viņiem skatu, atpazīstamība, kas ir pareiza, kas precīzi norāda, kādas ir mūsu ievainojamības un ko mēs darām to. Tajā pašā laikā es viņiem nesniedzu simts lappušu ziņojumu, kurā uzskaitīti visi iespējamie incidenti vai ievainojamības, ko mēs atklājām.
LOS: Kura darbs tas ir jūsu organizācijā? Mums ir bijusi triangulācija starp tehnisko nomenklatūru, tehnisko valodu, bitiem un baitiem, un tad tas faktiski ir saprotams. esmu pārliecināts SQL injekcija tas nav kaut kas tāds, ko valdes loceklis saprastu.
McKenna: Tas ir mans darbs, un tas ir darbs ar manu CIO, lai pārliecinātos, ka mēs sazināmies pareizajos līmeņos un ļoti jēgpilni, un ka mēs patiesībā esam ieguvuši pareizo skatījumu uz to. Jūs minējāt risku un pāreju uz vairāk riska modeli. Mēs visi esam nedaudz izaicināti par nobriešanu, kas ir šis modelis, sistēma un metrika.
Kad es domāju par to, kā mums būtu jāiegulda drošībā Liberty Mutual un jāveido biznesa argumenti, dažreiz tas ir ļoti grūti, bet es domāju par to visaugstākajā līmenī. Ja domājat par jebkuru uzņēmējdarbības modeli, viena pieeja ir produkta pieeja, kurā jūs iegūstat konkrētus produktus un izstrādājat tirgus stratēģijas, kas balstītas uz tiem.
Ja domājat par sliktajiem puišiem un viņu produktiem, viņi vai nu vēlas nozagt klientu informāciju, viņi vēlas nozagt intelektuālais īpašums (IP), vai arī viņi vēlas vienkārši izslēgt sistēmas un atspējot pakalpojumus. Tātad augstā līmenī mums ir jāizdomā, kur tieši mēs iekļaujamies šajā barības ķēdē? Cik daudz lielāks risks mēs esam šajā produktu līmenī?
Gardner: Esmu redzējis vēl vienu progresu, lai pievērstu uzmanību un pietiekami uzsvērtu drošības nozīmi, izmantojot atbilstības un regulēšanas aspektu, un noteikti maksājumu karšu nozare (PCI) nāk prātā. Vai tas ir bijis kaut kas, kas jums ir izdevies Liberty Mutual, vai arī jums ir noteiktas atbilstības problēmas, kas, iespējams, veicina uzvedību un modeļus, kas var radīt ilgtermiņa ieguvumus drošībai?
McKenna: Mēs esam ļoti regulēta nozare, un PCI, iespējams, ir labs piemērs. Mēs tikko esam panākuši atbilstību mūsu personīgās apdrošināšanas biznesa vienībai QSA. Mēs pie tā esam ļoti smagi strādājuši. Mums tas ir bijis ērts solis, lai risinātu dažus no šiem pamata drošības uzlabojumiem, kas mums bija jāveic.
Mēs vēl neesam pabeiguši. Mums tas ir jāpaplašina, un tagad mēs pie tā strādājam, lai visām mūsu sistēmām būtu tāds pats aizsardzības un vadības līmenis, kāds nepieciešams PCI, taču pat ārpus PCI. Mēs cenšamies tos attiecināt uz visu personu identificējošo informāciju, jebkādu sensitīvu informāciju uzņēmums, pārliecinoties, ka šiem aktīviem ir tāda pati aizsardzība un tāda pati kontrole būtiski.
Gardner: Raf, vai jūs arī redzat, ka atbilstības problēmas patiešām ir saistītas ar kādu no šīm labākajām drošības praksēm, par kurām mēs runājām?
LOS: Pilnīgi noteikti. Atbilstību var aplūkot vienā no diviem veidiem. Varat aplūkot atbilstību no vienaudžu drošības perspektīvas un teikt, ka atbilstība ir neprātīga, tikai izvēles rūtiņas uzdevums. Vienkārši nav iemesla, ka tas kādreiz uzlabos drošību.
Būt optimistam
Or tu vari būt optimists. Es izvēlos būt optimists un ņemu padomu no sava mentora un saku: "Redzi, tas ir lielisks veids, kā to parādīt jūs varat veikt minimālo uzticamības pārbaudi, apmierināt likumu un noteikumus, vienlaikus izmantojot to kā tramplīnu citiem lietas."
Un arī Džons par to ir runājis. Pamatā es redzu tādas lietas kā PCI un citi noteikumi, HIPAA, ņemot lietas, kurās drošība parasti neiejaucas. Piemēram, fantastiska aktīvu pārvaldība un pārmaiņu vadība un organizācija.
Kad mēs domājam par drošību, pirmais, ko bieži dzirdam, visticamāk, nav laba pārmaiņu pārvaldības infrastruktūra. Tā kā noteikumi un noteiktas nozares ir stingri regulētas, jums ir jāzina, kas tur ir. Jums jāzina, kādā formā tas ir.
Ja jūs zināt savu vidi, izmaiņas, kas tiek veiktas, zināt savus aktīvus, ciklus un to, kur lietas notiek, jūs varat daudz vieglāk uzskatīt, ka esat labāks drošības jomā. Vai jūs tam ticat?
McKenna: Tas ir lielisks plāns. Es domāju, ka pāris lietas. Pirmkārt, par atbilstības, īpaši PCI, izmantošanu, lai veiktu uzlabojumus visā jūsu drošības stāvoklī.
Tāpēc mēs atkāpāmies un apsvērām, kā rezultātā PCI kartēta pret SANS 20 populārākās kiberdrošības kontroles, kurās veicām uzlabojumus. Pēc tam mēs parādījām, ka esam veikuši uzlabojumus 16 no 20 visā uzņēmumā. Tātad tas ir viens punkts. Mēs izmantojam atbilstību, lai palīdzētu un uzlabotu vispārējo drošības stāvokli.
Ciktāl tas attiecas uz iesaistīšanos citās IT dzīves cikla daļās, absolūti -- izmaiņu vadība, aktīvu pārvaldīšana. Daļa no mūsu metodes tagad jebkuram jaunam aktīvam, kas ir ieviests ražošanā, pirmais jautājums ir, vai tas ir ar PCI saistīts aktīvs? Un tas prasa noteiktas kontroles un uzraudzību, kas mums ir jāpārliecinās, ka tās ir ieviestas.
Izsmalcinātības līmenis
WEs noteikti saskaramies ar augstāku izsmalcinātības līmeni. Mēs to zinām. Mēs arī zinām, ka ir daudz ko nezinām. Mēs noteikti atšķiramies no dažām nozarēm. Mēs neredzam, ka noteikti esam tiešs nacionālo valstu mērķis, bet varbūt netiešs. Ja mēs esam svarīgas piegādes ķēdes daļa, mēs joprojām varam tikt mērķēti.
Bet mans komentārs par to ir tāds, ka mēs esam atzinuši izsmalcinātību un esam atzinuši, ka mēs to nevaram paveikt vieni. Tāpēc esam bijuši ļoti aktīvi, ļoti iesaistījušies nozarē, sadarbojušies ar citiem uzņēmumiem un pat sadarbojušies ar augstskolām.
Mūsu darbs ir Uzlabots kiberdrošības centrs, izskrien no Bostonas. Tā ir partnerība starp valsts un privāto sektoru un universitāšu sistēmām, cenšoties izstrādāt veidus, kā mēs varam dalīties izlūkdatiem, dalīties ar informāciju un uzlabot vispārējo talantu bāzi un zināšanu bāzi mūsu uzņēmumiem un nozare.
LOS: Tas ir kaut kas, kas tiek veidots. Kad mēs sākām pirms daudziem gadiem, uzlaušana bija zinātkāre. Tas pārcēlās uz nerātnību. Tas pārcēlās uz individuālajiem ieguvumiem un priekšrocībām. Cilvēki rādīja savai draudzenei, ka ir uzlauzuši vietni un to sabojājuši.
Starp citu, šie elementi nav pazuduši, bet mēs esam pārcēlušies uz pilnīgi jaunu izsmalcinātības līmeni. Iemesls tam ir organizētās noziedzības iesaistīšanās. Personīgi risks ir daudz lielāks nekā internetā. Kādas personas fiziskā cietā diska šifrēšana un draudi to nekad neatdot, ja vien viņi nemaksās tev ir daudz vieglāk, ja tev priekšā fiziski nestāv neviens, kas varētu pavilkt ieroci tu. Tas ir tieši tā, kā tas ir.
"Internetā" pati par sevi pastāv anonimitāte. Ir zināms anonimitātes uztveres līmenis, un ir vieglāk piedalīties šajos organizētajos noziegumos. Šeit ir iesaistītas veselas kultūras, veseli tirgi un organizētās noziedzības slāņi. Es pat nepieskaršos visam aktīvismam un visai pasaulei, jo tā ir pavisam cita vaska bumba.
Bet absolūti draudi ir attīstījušies. Tas turpinās attīstīties. Lai izmantotu paziņojumu, ko šorīt izteica pamatnostādnē Brūss Šneiers, sliktie puiši tehnoloģijas bieži pielāgo daudz ātrāk nekā ar labiem puišiem.
Sliktie skatās uz to un saka: "O, kā mēs to izmantojam?" Labi puiši skatās uz automašīnu un saka: "Es varu to sagādāt, izdarīt RFP, un tas man prasīs x mēnešus." Sliktie puiši saka: "Tas ir mūsu aizbēgšanas transportlīdzeklis." Tas darbojas tieši tā. Tā ir iespēja.
Apdrošināšanas pieeja
Gardner: Es vēlos mazliet pakavēties šeit un tikai tāpēc, ka Liberty Mutual ir liela un izveidota apdrošināšanas kompānija. Viena no lietām, par ko esmu interesējies drošības jomā, ir tas, kad varētu rasties apdrošināšanas pieeja drošībai?
Piemēram, ja ugunsgrēks ir bīstams, mums ir apdrošināšanas kompānijas, kas ierodas ēkā un saka: "Mēs jūs apdrošināsim, bet jums ir jādara x, y un z. Jums ir jāpiesakās šai praksei un jāievieš šāda veida infrastruktūra. Tad mēs jums izstrādāsim apdrošināšanas polisi." Vai tas ir iespējams ar drošību uzņēmumiem. Varbūt tu neesi īstais cilvēks, Džon, bet es mēģināšu.
McKenna: Tā ir interesanta diskusija, un daļa no šīm diskusijām mums bija iekšēji. Kāpēc mēs neizmantojam kādu no mūsu aktuāro nodaļu vai riska novērtētāju praksēm, kas strādā ar mūsu apdrošināšanas produktiem?
Es nesen tikos ar uzņēmumu, kas patiesībā ir kiberapdrošināšanas brokeri, un mēs cenšamies no viņiem mācīties. Šis noteikti vēl nav nobriedis produkts vai nobriedis kiberapdrošināšanas tirgus. Tomēr viņi izmanto tāda paša veida riska novērtējumus, riska analīzi un metriku, lai precīzi noteiktu, kas a uzņēmuma ievainojamības var būt, kāda varētu būt tā riska pozīcija un kā tieši noteikt kiberapdrošināšanas cenu produkts. Mēs cenšamies no tā mācīties.
LOS: Kamēr jūs runājāt, es domāju, ka mana dzīvības apdrošināšanas sabiedrība zina, cik tā no manis iekasē, pamatojoties uz gadiem, gadiem un gadiem, un gadu statistikas dati par smēķētājiem, nesmēķētājiem, cilvēkiem, kas brauc ātri, cilvēkiem, kas mazkustīgi, cilvēkiem, kas trenējas, labi ēd utt. Vai mums ir pietiekami daudz datu kiberpasaulē? Es tā nedomāju, kas nozīmē, ka šī ir patiešām interesanta riska spēle.
McKenna: Tas ir absolūti interesants punkts. Fakts, ka jums nav metrikas, ir viena no šīm lietām. Ir ļoti grūti noteikt cenu. Bet tas, ka viņi vismaz zina, kas viņiem būtu jāmēra, lai iegūtu šo cenu, ir daļa no tā. Jums tas ir jāizmanto kā riska modelis un jānoskaidro, kādus pieņēmumus jūs veicat un kādus pierādījumus varat sniegt, lai vismaz pārbaudītu vai atzītu par nederīgu modeli.
LOS: Runājot par apdrošināšanas jēdzienu, es varu iedomāties visus vadītājus, kuri to ir klausījušies, ja tā ir šī apdrošināšana, sakot: "Lieliski. Tas nozīmē, ka mums nekas nav jādara, un, ja notiks kaut kas slikts, apdrošināšana to segs." Es to redzu kā spuldzi, kas iedegas virs kāda galvas.
McKenna: Mēs tikai cenšamies no tā mācīties, lai saprastu, kā mums vajadzētu novērtēt savu risku un noteikt prioritāti, kur, mūsuprāt, vajadzētu būt ieguldījumam drošības jomā.
Prom no tvertnes
LOS: Drošība turpinās attālināties no tā, ka uzņēmumā darbojas kā balva. Tas ir kaut kas būtisks, vītne caur audumu. Jēdziens par atsevišķu drošības komandu noteikti kļūst novecojis. Tas ir modelis, kas nedarbojas. Mēs pierādījām, ka tas nedarbojas.
Tā nevar būt pēcpārdoma un visas jautrās klišejas, kas tai pievienotas. Tas, ko jūs sāksit redzēt arvien vairāk, ir netradicionālās drošības lietas. Tie ietver, kā jau teicu, kā jau teicu izmaiņu pārvaldību, žurnālu apkopošanu, iesaistīšanos ikdienas darbā un faktisko izpratni.
Es nevaru pateikt, ar cik daudziem drošības darbiniekiem es runāju, un es uzdevu jautājumu: "Ko tad dara jūsu uzņēmums?" Un es uztveru šo īso tukša skatiena mirkli. Ja nevarat man pastāstīt, kā jūsu uzņēmums izdzīvo, saglabā konkurētspēju un pelna naudu, tad īsti ko jūs darāt un ko aizsargājat, un vēl svarīgāk, kāpēc?
Tas turpinās attīstīties, tas tikai nošķirs patiešām labos cilvēkus, piemēram, Džonu, kas to saprot no tiem, kuri vienkārši spiež pogas un cer uz labāko.
Gardner: Es baidos, ka mums tas būs jāatstāj tur. Lūdzu, pievienojieties man, lai pateiktos mūsu līdzsaimniekam Rafam Losam, HP Software galvenajam drošības evaņģēlistam un mūsu īpašajam viesim. Džons Makenna, viceprezidents un CISO for Liberty Mutual. Jūs varat iegūt plašāku ieskatu un informāciju par labāko IT veiktspējas pārvaldību vietnē http://www.hp.com/go/discoverperformance.