Делайте эти ошибки, и захватчики могут задерживаться в ваших системах годами.
Хотя технологии кибербезопасности продолжают развиваться, чтобы противостоять текущим угрозам, многие утечки данных остаются не обнаруженными в течение месяцев или даже лет. Например, в одном из крупнейших нарушений данных, обнаруженных в 2018 году, которые затронули 500 миллионов клиентов Марриотт Отель ГруппХакеры оставались незамеченными в течение четырех лет.
Как ваша организация может быстрее обнаруживать угрозы и снизить вероятность взлома? К сожалению, единого решения нет. Но мы можем проанализировать первопричины известных нарушений и извлечь из них уроки. В этой колонке мы рассмотрим пять распространенных ошибок, которые помогают злоумышленникам оставаться в ИТ-сети незамеченными, и дадим советы о том, как снизить риски.
Ошибка 1: Siled системы безопасности
В ходе своей эволюции крупные компании часто подвергаются множественным слияниям и поглощениям. Эта стратегия может повысить цены на акции, но она также может увеличить как сложность ИТ-системы, так и риски для безопасности данных. Примечательно, что нарушение данных Marriott первоначально произошло в системе бронирования Starwood, сети, которую гостиничный гигант приобрел в 2016 году. Вместо того, чтобы объединять средства контроля безопасности и улучшать возможности обнаружения недавно приобретенного бизнеса сразу после сделки, Marriott, похоже, пренебрегла принять меры, потратив два года, пока не обнаружили утечку данных в ноябре 2018 года.
Чтобы избежать этой ошибки, организациям следует регулярно проверять свои ИТ-системы и ИТ-риски, особенно во время и после слияния или приобретения. В частности, им следует обнаруживать и классифицировать все конфиденциальные данные в своих локальных и облачных хранилищах и предпринимать шаги для обеспечения того, чтобы эти файлы не переэкспонировались и располагались только в выделенных безопасных местах с надлежащими средствами контроля доступа. Организации также должны обновить свои политики безопасности, унифицировать их и применять их во всей ИТ-инфраструктуре. Межсистемные программные решения могут упростить этот мониторинг безопасности.
Ошибка 2: Отсутствие ответственности
Многие корпорации имеют сложную структуру управления, которая ведет к плохой подотчетности и отсутствию видимости при разработке и реализации политики безопасности ИТ. Печально известный Эквифаксное нарушение данных, который оставался незамеченным в течение 76 дней, стало возможным благодаря просроченному сертификату безопасности. Расследование Конгресса показало, что отсутствие четких линий ответственности в структуре управления ИТ Equifax не позволяет компании своевременно реализовывать инициативы по обеспечению безопасности, что привело к истечению срока действия более 300 сертификатов безопасности.
Лучший способ избежать этой ошибки - назначить одного человека ответственным за разработку и внедрение политик информационной безопасности. В большинстве случаев это главный специалист по информационной безопасности (CISO). CISO должен разработать четкие политики с зонами ответственности и предоставить ИТ-командам четкие рабочие процессы для вопросов безопасности, за которые они несут ответственность. Другой совет - автоматизировать исправления, что снижает риск того, что перегруженные ИТ-команды не смогут своевременно обновлять вручную. Многие эксперты считают, что эта стратегия могла бы предотвратить взлом данных Equifax.
Ошибка 3: Отсутствие поддержки со стороны генерального директора
Если руководитель компании не считает безопасность своей бизнес-целью, командам ИТ-безопасности, скорее всего, не хватит жизненно важного стратегического направления и ресурсов, включая адекватный персонал и современные технологии. В результате они не могут приоритизировать усилия по обеспечению безопасности и активно реагировать на возникающие угрозы; вместо этого они перегружены рутинным поиском и устранением неисправностей.
Каждый генеральный директор должен признать, что защита данных является важнейшей бизнес-целью, и установить руководящий подход к обеспечению безопасности. Регулярные встречи с CISO являются обязательными, так же как и показатели, которые оценивают эффективность стратегии кибербезопасности. Не менее важно дать возможность ИТ-команде сосредоточиться на вопросах, которые имеют решающее значение для безопасности бизнеса, инвестируя в современные решения, которые автоматизируют большинство процессов безопасности и могут легко масштабироваться по мере роста бизнеса.
Ошибка 4: Неэффективная стратегия кибербезопасности
Некоторые организации тратят огромные суммы денег на технологии, чтобы покрыть все ИТ-риски. Однако, если они не проведут тщательную оценку риска, они вполне могли бы потратить свои деньги напрасно. Например, компания может потратить много денег на хранение и защиту своих данных, включая устаревшие данные, но пропустить несанкционированный доступ к своей базе данных клиентов.
Усилия по обеспечению безопасности должны быть приоритетными. Начните с инвентаризации ИТ-активов, которая поможет вам идентифицировать и классифицировать ваши наиболее важные информационные активы, такие как данные, подпадающие под действие Общего регламента защиты данных (GDPR). Используя эту информацию, разработайте политики безопасности для надлежащей защиты данных с каждым уровнем чувствительности и эффективный план реагирования на инциденты. И последнее, но не менее важное: важно настроить оповещения, чтобы вы могли быстро реагировать на подозрительную активность.
Ошибка 5: План реагирования на инциденты не подлежит выполнению
Недавнее исследование Netwrix показывает, что только 17% организаций проверяют свои планы реагирования на инциденты. Остальные 83% не имеют никаких гарантий, что их план сработает в реальной жизни; в случае инцидента они могут потратить драгоценное время и не уведомить клиентов и органы власти надлежащим образом.
Хорошей идеей является инициирование псевдо-кибератаки как части тестирования на проникновение. Это поможет определить, эффективен ли ваш проект плана, и убедиться, что все точно знают, что делать в случае инцидента. Результаты теста должны быть использованы для улучшения плана и разработки регулярных тренировочных заездов для сотрудников.
Заключение
Единственный способ избежать длительных утечек данных для организаций - это сделать так, чтобы их стратегия кибербезопасности находилась в постоянном фокусе, а не на разовых мероприятиях, о которых вскоре забывают. Дальновидный бизнес-лидер должен управлять рисками кибербезопасности наравне со всеми другими бизнес-рисками и относиться к кибербезопасности как к проблеме всей организации. Создание культуры, ориентированной на безопасность, требует совместных усилий различных отделов, в которых задействованы технологии, процессы и люди. Благодаря централизованному управлению ИТ и обзору ИТ-инфраструктуры с высоты птичьего полета предприятия могут быть гораздо более уверены в том, что несанкционированные действия будут обнаружены и быстро прекращены.
Похожий контент:
Мэтт Миддлтон-Лил, генеральный менеджер и главный специалист по стратегии безопасности, работает в Netwrix, компании-разработчике программного обеспечения, которая позволяет специалистам по информационной безопасности и управлению восстановить контроль над конфиденциальными, регулируемыми и критически важными для бизнеса данными, независимо от того, где они находятся. Мэтт… Просмотр полной биографии
Больше информации
