Construindo um Novo Time de Defesa (Building A New Defense Team) – ARTIGO TRADUZIDO – LP Magazine
Construindo um Novo Time de Defesa – (Building A New Defense Team)
Written by Jacque Brittain, LPC
Jul 29, 2014
Como a tecnologia nos leva mais fundo em uma nova era de empresa, estamos constantemente bombardeados com ondas de desafios e oportunidades que envolvem as pessoas com intenções maliciosas. Esses ataques vêm até nós de todas as direções, como a ingenuidade dessas mentes criminosas buscam maneiras novas e criativas para se infiltrar nossos recursos de informação e se envolvem em guerra cibernética contra os nossos negócios.
A fim de sobreviver a estas invasões condenáveis, os varejistas devem lutar para trás. Temos que defender a nossa terra e tomar as medidas necessárias para combater a ameaça. Isso exige construir e recrutar os recursos que nos ajudarão a vencer as batalhas. Devemos nos tornar guerreiros cibernéticos em nosso próprio direito; defender nossos sistemas de computação e informação contra aqueles que procuram aproveitar e explorar a linha de vida do nosso negócio.
Hackers e mercenários que pensam como uma guerra usando a tecnologia da informação para assaltar os nossos computadores e sistemas de informação por meio de estratégias cibernéticas. No cyberespaço do varejo, temos principalmente os ladrões à procura de informações de identificação pessoal que pode ser explorado e transformado em dinheiro. Mas existem também outros grupos. Há grupos que visam organizações para seus ativos de pesquisa e desenvolvimento, propriedade intelectual, e estratégias corporativas. Também pode haver outros motivos.
Para vencer essas guerras, temos de encontrar formas melhores de proteger os nossos sistemas através da construção de consciência, educar as nossas equipas, encontrar e fechar as vulnerabilidades e desenvolver estratégias de colaboração para proteger nossos recursos e defender os nossos clientes e empresas.
Nossa maior oportunidade para superar essas intrusões é através de uma abordagem abrangente que inclui compartilhamento de informações e protocolos de melhores práticas que suportam a equipe de defesa conjunta. Esta é uma responsabilidade compartilhada, que não só exigirá um pensamento inovador, mas a cooperação conjunta em toda a organização … e da indústria. Para prevalecer sobre esta ameaça imponente para o negócio, nós temos que trabalhar juntos.
A equipe geralmente é melhor contra o crime quando ataque e defesa trabalham bem juntos. LP Magazine pretende levar essa luta para a ofensiva, fornecendo informações e recursos que podem ser utilizados para apoiar os nossos esforços e fortalecer a nossa sentinela. No processo que já participou de vários seminários e entrevistou vários líderes líderes da indústria e especialistas de segurança cibernética para fornecer uma perspectiva mais abrangente sobre o assunto.
A Influência do Varejo
“O varejo é a força vital da economia americana”, comentou Michael Chertoff na NRF LP. “Ter um espaço seguro para operar é fundamental para o bom funcionamento do negócio.”
Segundo o Departamento do Trabalho dos EUA, o comércio varejista é o maior empregador do país, com cerca de 15,3 milhões de empregos até maio de 2014 Novos estudos mostram que o total de vendas no varejo em os EUA superou 4.530 bilhão de dólares em 2013 (EMarketer.com), representando 27 por cento do produto interno bruto nominal US, ou PIB. Enquanto nenhuma surpresa para aqueles que levam a indústria, esses números deixam bem claro que as ameaças cibernéticas não só pode afetar o setor de varejo, mas também pode ter uma influência significativa sobre o crescimento ea estabilidade da nossa economia como um todo.
Chertoff, o ex-secretário do Departamento de Segurança Interna dos EUA e agora o presidente-executivo e co-fundador da empresa de consultoria de segurança global The Chertoff Group, sente-se que as questões de segurança cibernética não recebeu o tipo de linha de frente atenção que alguns dos mais visíveis e riscos óbvios obtiveram. Com alguns dos incidentes mais recentes que trouxeram a questão da frente e no centro, está se tornando cada vez mais claro que esses tipos de ameaças deve se tornar uma prioridade de negócio.
“Nós vimos uma ampla exposição de vulnerabilidades sistêmicas em nossas infra-estruturas da empresa”, disse Chertoff. “As empresas estão coletando mais informações pessoais sobre as preferências dos clientes, locais e comportamentos, para não mencionar números de cartões de crédito. Grupos organizados tornaram-se muito sofisticada em seus esforços, utilizando estratégias que são complexos e bem planejado.”
Alguma vez você pensou que algo tão simples como um termostato pode deixar sua empresa vulnerável a um ataque cibernético? Para ajudar a manter os clientes confortáveis e compras em uma loja, é comum que os varejistas a monitorar rotineiramente temperaturas e consumo de energia nas lojas para economizar em custos e para alertar os gerentes de loja, se as temperaturas nas lojas flutuar fora de uma faixa aceitável. Muitas vezes, esse processo é concluído com a ajuda de um prestador de serviço externo com conhecimentos específicos para manter o sistema eficiente e eficaz em termos de custos. No entanto, este, processo despretensioso aparentemente banais abriu a porta para acesso ao banco de dados da empresa, levando a uma das maiores violações de dados, mais prejudiciais na história do varejo.
As vulnerabilidades são introduzidos por erros de funcionários ou negligência, funcionários descontentes, empresas parceiras, ou algum outro elo fraco em nossos sistemas ou procedimentos, os riscos são formidáveis, as possibilidades são apenas vinculado à criatividade do elemento criminal, e nenhum negócio é isentar das ameaças.
“A segurança dos dados é de cerca de gestão de risco, não correr o risco de eliminação”, disse Chertoff. “Tem que haver uma estratégia de gestão do risco construído em expectativas realistas. Você tem que entender o que você está enfrentando para que você possa tomar decisões inteligentes. Deve haver um entendimento completo da ameaça, as consequências, e uma avaliação das fraquezas e vulnerabilidades da empresa e como eles se encaixam dentro da empresa. “
Armar-nos com Experts
Muitas empresas estão investindo agressivamente diferentes caminhos para melhorar as estratégias cibernéticas e proporcionar oportunidades de formação e sensibilização para a liderança da empresa. Conferências da indústria deram passos significativos para oferecer sessões de qualidade que fornecem informações, orientação e direção sobre questões relacionadas com cibernéticos. As empresas estão trazendo os melhores especialistas para consultar com suas equipes, realizar avaliações de vulnerabilidade, e educar os funcionários e liderança da empresa.
Há também várias conferências realizadas em todo o país que se concentram especificamente em questões de segurança da informação, alguns destinados a especialistas do setor, enquanto outros se concentram na formação e educação de líderes empresariais em diferentes níveis e áreas de responsabilidade. Eventos maiores incluem as Conferências RSA, que atraem alguns dos melhores e mais brilhantes no campo através de conferências anuais em os EUA, Europa e Ásia. Outras conferências podem se concentrar em públicos específicos ou mais íntimos para aumentar a consciência e maximizar a experiência de aprendizagem, como o Cyber Security Summit. Todos esses esforços são destinados a melhorar nossas habilidades, manter nossos profissionais conectados, e aumentar a conscientização sobre estas preocupações críticas de negócios.
“De muitas maneiras, temos sido short-handed quando se trata de guerreiros cibernéticos”, afirma Ken Fuller, vice-presidente executivo da Cyber Security Summit. “Nós tivemos um tremendo sucesso protegendo a lacuna, trazendo especialistas e educando a liderança sobre o que está acontecendo e como podemos melhor nos defender. Ao identificar e proteger líderes que podem se comunicar com êxito a mensagem, educá-los sobre o que procurar, e ajudar a determinar o elo mais fraco, podemos ajudar as nossas empresas abordam as questões de tecnologia com uma perspectiva mais ampla e um foco mais preciso. “
Fuller acrescenta: “Este é um problema real, e toda a indústria é suscetível. Cada líder da indústria tem a responsabilidade de estar atento e educado, para que possam melhor proteger tanto os consumidores ea empresa.”
A noiva de véu
Como muitos de nós sabemos que o casal em que um parceiro apenas parece despertar tanto no relacionamento?
A pessoa é divertida, charmosa e simpática, tem essa qualidade especial que atrai outros. Eles fazem amigos com facilidade. Eles podem levar uma conversa, ou ouvir com interesse real ou assumido mesmo quando o assunto é tão seco e chato que iria conduzir a maioria de nós insano. Encontramo-las interessantes e atraentes de diferentes maneiras e em diferentes níveis. Nós rapidamente confio neles e acredito que a sua sinceridade. O outro sócio pode parecer cordial e amigável, mais reservado ou retirado, ou ainda mais negativo ou hostil. Mas essa pessoa nos une e nos faz querer estabelecer uma amizade.
Quando se trata de questões de segurança de dados, a violação de dados tem que sócio-aquele que nos atrai e busca a nossa confiança e amizade. De muitas maneiras, este colega íntimo é fundamental para o sucesso de ambos o casamento e as relações que atraem pessoas novas e inocentes em uma base diária estendida. Nesta parceria a noiva com véu é mídia social.
O poder da mídia social
Usando tecnologias de Web e móveis para transformar a comunicação em diálogo interativo, mídias sociais cria um canal eficaz para indivíduos e grupos de pessoas se conectam, interagem, criar e compartilhar.
Com as empresas constantemente posicionando para fazer notícia, construir suas marcas, melhorar a comunicação, e crescer sua base de clientes, as empresas estão usando explosões e-mail e uma infinidade de plataformas para incluir Facebook, Twitter, LinkedIn e YouTube para comercializar os seus produtos e serviços. Estas poderosas ferramentas de comunicação podem ter influência significativa na consciência, aceitação e comportamento. Eles desempenham um papel importante em muitas estratégias de marketing e são também um veículo comum usado por muitos de nossos funcionários para a rede e se comunicar uns com os outros. Infelizmente, estes mesmos recursos estão abrindo as portas para muitos dos nossos problemas de segurança de dados.
Encontrando-se o elo mais fraco
“Quando os cibercriminosos estão procurando maneiras de violar o nosso sistema, o ponto de partida para penetrar nossa informação geralmente não tem nada a ver com o uso de cartões de crédito, mesmo quando essa é a informação que eles estão tentando obter”, diz James Foster, fundador e CEO da ZeroFOX em uma conversa com LP Magazine. “Mas eles têm que entrar em algum lugar. Então, qual é o melhor caminho? Atacantes irão procurar o elo mais fraco e uma maneira em que explora ou manipula o sistema em um ponto de vulnerabilidade. Eles muitas vezes vai usar as ferramentas que têm a adoção em massa -mesmo se não milhares de vezes, a um tempo que não trabalho recebe-los. Eles estão à procura de uma forma mais secreta para entrar no sistema e um onde eles podem se alimentar de confiança e atraso de detecção do usuário. Quando você colocá-lo juntos, o local mais fácil de alavancagem é mídia social. “
Em nosso esforço para chegar à frente no mundo altamente competitivo dos negócios, Foster comentou que as tecnologias de informação devem colher os benefícios imediatos. Como resultado, a tecnologia pode ser significativamente antes dos controlos. “As medidas de segurança pode ficar para trás três a cinco anos”, acrescentou. “Número um ativo de uma empresa são as pessoas. Este é um ponto em comum, e uma excelente oportunidade para o acesso. Noventa por cento ou mais do que o malware está recebendo através da mídia social.”
Foster passou a descrever um cenário simples como um exemplo. Se um hacker quer invadir Empresa XYZ, eles podem criar uma persona online que espelha logotipo, palavreado e estilo de marketing da marca. Eles constroem o conteúdo falso usando uma das muitas plataformas de mídia social, juntamente com um link que diz “Rochas XYZ Companhia.” Se um funcionário foram para abrir o link, ele pode abrir a porta para o hacker para quebrar a empresa.
Enquanto isso pode soar como uma estratégia simples, os hackers se tornaram especialistas em disfarçar suas intenções e que só pode ter um funcionário desavisado para ser bem sucedido. Infelizmente, este é apenas um exemplo, básico de um problema com perspectivas limitadas apenas pela imaginação e criatividade do hacker. Este é o desafio, e apenas um dos muitos problemas que podemos enfrentar.
Defesa em Profundidade
Então, como é que vamos combater esses problemas?
“Infelizmente, os planos existentes são noventa por cento reativa, que é como remendar rachaduras em uma barragem com chiclete.” Foster diz. “Tem que haver um plano, uma estratégia de defesa em profundidade, que aborda de forma proativa a segurança dos dados.” No mundo da informação, é sobre firewalls, sistemas de detecção de intrusão, autenticação de dois fatores e criptografia. Essas defesas são em camadas para torná-los mais resistentes. Mas tem de haver mais. Nossas defesas deve incluir um plano e uma parceria que efetivamente cria uma equipe unificada para combater essas ameaças. Trata-se de uma abordagem abrangente, que inclua o seguinte:
■ Uma equipe experiente e educado que se comunica bem e trabalha em conjunto.
■ Uma equipe diversificada, que pode fornecer diferentes perspectivas e oferecer o valor integral.
■ Opiniões de especialistas externos que prestam orientação e objetiva revisar o plano.
■ De um orçamento adequado.
■ Privacidade e conformidade políticas.
■ Um quadro e base de governação.
“À medida que os varejistas expandir suas ofertas e empurrar serviços on-line, as políticas internas e externas, os papéis e as sinergias devem ser reavaliados, e uma estratégia de segurança de colaboração que inclui prevenção de perdas absolutamente deve fazer parte da conversa,” Foster estados. “O sucesso da organização simplesmente depende disso.”
Construindo Pontes
“Quando se trata de lidar com as questões de segurança de dados no mundo dos negócios, existem basicamente dois tipos de empresas: aqueles que descobriram que eles foram violados, e aqueles que não foram cumpridas e não sabem disso.”
Enquanto esta pode ser uma afirmação forte, que oferece uma mensagem igualmente poderosa para a comunidade de varejo. Nós recentemente sentou-se com Brian White, que lidera o negócio global de serviços de segurança do grupo Chertoff. Como mencionado anteriormente, o The Chertoff Group é uma empresa de consultoria de segurança global que oferece aos clientes estratégias de segurança de alto nível, que são projetados para ajudar a gerenciar riscos e proteger contra um amplo espectro de ameaças de negócios. Branco trabalha com uma ampla gama de clientes que estão buscando uma nova direção estratégica para atender seus objetivos de crescimento. Ele se concentra principalmente em cibersegurança e tecnologia inovadora.
O setor de varejo tornou-se um alvo principal para a atividade cibernética malicioso, com os indivíduos e as redes criminosas que tenta roubar informações financeiras, informações de identidade e informações de cartão de crédito. Mas as questões têm o potencial de ir ainda mais fundo. Como demonstrado por recentes acusações dos EUA contra oficiais militares chineses acusados de roubar segredos comerciais de empresas norte-americanas, há ainda a possibilidade de estratégias de negócios, processos, produtos e outras informações de valor para ser alvo de Estados-nação em busca de piratear propriedade intelectual e negócios relacionados ativos.
“Há também muitas maneiras que essas violações podem ocorrer”, afirma White. “Isso é parte do que faz com que seja uma questão tão complexa. Alguns métodos são bastante sofisticado, explorando inclinação natural das pessoas para confiar nos outros, por exemplo. Mails falsos podem ser enviadas para os funcionários da empresa, estimulando o funcionário a abrir um arquivo ou baixar um link que permite que o criminoso para fazer o seu caminho para a rede e, finalmente, expõe o negócio para o intrusivo-a malwares processo comumente referido como “spear phishing”. Outros métodos podem ser muito mais sofisticado, com os cibercriminosos investem em qualquer número de ferramentas complexas que permitirá que você para invadir o sistema. “
Embora essas ameaças nunca poderá ser eliminada por completo, um aspecto fundamental de qualquer política de protecção está a gerir os riscos potenciais. Isso envolve a compreensão, onde podem ocorrer as suas vulnerabilidades, o que as potenciais consequências poderiam ser, e trabalhar juntos como uma equipe interna para minimizar essas vulnerabilidades. Este é o lugar onde varejo deve continuar a construir as pontes dentro da nossa infra-estrutura existente.
Durante todo o ambiente de varejo, o LP e os departamentos de TI têm normalmente muito diferentes papéis e responsabilidades. As suas funções dentro da organização são esculpidos em pedras distintas, diferentes em sua origem, estrutura, equilíbrio e propósito. Em muitos aspectos, eles ainda falam línguas diferentes. No entanto, há também um terreno comum e uma relação de trabalho com base em tarefas e responsabilidades compartilhadas. É esta relação que deve continuar a evoluir.
“Ao lidar com os riscos de dados no ambiente de varejo, há cada vez mais um link para as equipes LP. A função de investigação é particularmente valioso, e uma estratégia unificada só faz sentido. Para as nossas funções de segurança para ser mais eficaz, os nossos profissionais devem ser um empreendimento coletivo “, diz White. Isso requer uma abordagem abrangente, tal como descrito aqui:
■ Reconhecendo nossas vulnerabilidades para mitigar os riscos. Isso também pode incluir a consulta com profissionais especializados para estabelecer controles, verificar papéis e responsabilidades, e determinar protocolos eficazes e eficientes. ■ Reforço da comunicação e da cooperação reforçada. Esta é uma responsabilidade compartilhada, e deve fluir nos dois sentidos. Deve haver perspectivas comuns e canais abertos para construir essas pontes.
■ Treinamento adicional. Todos os responsáveis por proteger essas informações devem ter uma forte consciência das ferramentas e do poder dos dados, juntamente com os conhecimentos e habilidades para gerenciar os riscos.
Com a profundidade, magnitude e alcance global de várias violações recentes, bem como as repercussões sobre as empresas e suas marcas, há claramente uma maior consciência a tal ponto que as empresas se tornaram muito mais sensíveis à ameaça. Mas essa consciência deve ser conjugada com a educação continuada, controles proativos e planos viáveis.
“Toda empresa deve começar com a suposição de pró-ativa que seus perímetros pode e vai ser quebrado”, afirma White. Deve haver uma defesa em camadas que incluem o seguinte:
■ Marcação e classificação de dados com base na importância e sensibilidade adequada.
■ Políticas e procedimentos eficazes que identificam claramente as expectativas de segurança.
■ Políticas de senhas fortes, controles de rede e controles de acesso para incluir controles de terceiros.
■ Protocolos de manutenção e software Keeping Up-to-date.
■ Educação e conscientização adequada para manter as nossas equipas atual e informado.
■ Um plano de resposta e recuperação rápida e diligente em caso de uma invasão.
■ Continuando e avaliação persistente e atualizações, conforme necessário e apropriado.
Cada organização deve avaliar seus riscos e exposições e estabelecer as melhores práticas com base em suas necessidades comerciais específicas. No entanto, essa abordagem não deve se concentrar apenas sobre a conformidade. O que você realmente tem que fazer é tomar uma atitude activa e funcional para o negócio, determinar os riscos e tomar decisões informadas e inteligentes com base nas necessidades, vulnerabilidades e recursos disponíveis para a organização.
Percepção versus realidade
Recentes ataques contra os varejistas, incluindo Target, Neiman Marcus, Michaels, PF Chang e outros, têm focado a atenção de toda a comunidade de varejo nesses ciber-incidentes nos últimos meses, e todos têm uma importante ligação em especialista de segurança cibernética e observou blogueiro Brian Krebs. A jornalista e repórter investigativo que deu a notícia sobre essas e várias outras violações de destaque, Krebs é mais conhecido por sua cobertura dos cibercriminosos em busca de lucros. No entanto, além de sua experiência, é seus instintos afiados e abordagem perspicaz que o ajudam a se destacar. Recentemente, ele fez uma apresentação na conferência de prevenção de perdas NRF 2014 e compartilhou alguns pensamentos que devem fazer todos nós tomar conhecimento.
Quando se trata de proteger a nossa informação crítica, Krebs ressaltou o conceito de percepção versus realidade-how garantir que você realmente é contra como seguro que você pensa que é.
“A maioria das empresas pensam que as ferramentas automatizadas que têm fazer um bom trabalho em protegê-los contra esses ataques”, diz ele. “Mas onde eles realmente precisa se concentrar mais de seus orçamentos de segurança está nas pessoas para ajudá-los a interpretar todo o material que está sendo posto para fora, e como responder a ele. Muitas organizações gastam demasiada ênfase nas ferramentas e não o suficiente sobre as pessoas. “
Refletindo sobre vários dos incidentes que têm recebido a sua energia e atenção, Krebs sente que as empresas normalmente têm todas as informações que eles precisam para descobrir o que eles tiveram uma violação, mas ninguém está olhando e interpretar essas informações. Ele enfatizou a importância da comunicação, trabalho em equipe e talento. Ele, então, propôs o seguinte modelo para orientar esses esforços:
■ Identificar e proteger seus suaves manchas-Determinar que a informação que você sente é vital para proteger.
■ Conheça seu inimigo descobrir quem você é susceptível de ser alvo e que as informações que eles querem.
■ Investir em talento Muitas organizações contam com automação para a segurança, em vez de talento. Obter mais inteligentes sobre como gastar seus dólares de segurança. Por exemplo, algumas empresas têm um oficial de segurança da informação chefe (CISO). Investir nas pessoas e liderança.
■ Olhe além do cumprimento-A principal oportunidade encontra-se em uma omissão por informações que já tenham sido recolhidas.
“Para muitas organizações, é preciso uma grande falha para obter a religião”, diz ele. Será que realmente precisamos de experimentar outro incidente para encontrar um credo comum?
Ao descrever a si mesmo em seu blog, Krebs revela: “Grande parte do meu conhecimento sobre computadores e segurança na Internet vem de ter cultivado acesso regular e direta a alguns dos nerds mais inteligentes e clueful do planeta.”
Talvez todos nós devemos assumir a liderança.
Seguindo em Frente
A segurança dos dados é vital para o sucesso de nossos negócios de muitas maneiras, e todos os profissionais de varejo tem a responsabilidade de permanecer educado e informado. Como os especialistas são rápidos para nos lembrar, isso significa que devemos tomar as medidas para ouvir, bem como para ser ouvido. Temos que construir parcerias, bem como oportunidades de aprendizado, e trabalhar em conjunto para encontrar soluções. Devemos armar-nos com a informação, e fazer rápido e decisões racionais quando chamados. Temos que esperar as batalhas e ganhar a guerra.
Para muitos de nós este é um novo território. Para outros, é uma oportunidade para reorientar e nos lembrar da importância da comunicação, cooperação e trabalho em equipe. Para todos nós, é uma mensagem essencial que deve sempre se esforçar para aprender, flexível e se adaptar. Temos que olhar para as nossas equipes e nossos negócios de uma maneira nova. Há um novo paradigma no varejo, e que seria melhor etapa até a placa.
Para saber mais sobre este tópico, consulte nosso artigo “Os desafios para o tratamento das violações de dados-A Segurança Cibernética Painel de Discussão” (The Challenges in Dealing with Data Breaches—A Cybersecurity Panel Discussion”) do Retail Industry Leaders Association (RILA).
Fonte: LP Magazine (http://lpportal.com/feature-articles/item/3202-building-a-new-defense-team.html)