Perisian Unik Cybernance Cepat Mengenalpasti Risiko Siber Orang, Dasar dan Proses adalah Kunci


Syarikat hari ini menghabiskan banyak wang untuk teknologi dan peranti untuk memastikan maklumat mereka selamat dari pelaku buruk yang berniat merosakkan reputasi atau kewangan. Tetapi tidak kira betapa baiknya teknologi yang ada, adalah mustahak bahawa syarikat menetapkan dasar memastikan bahawa tidak ada amalan mereka secara tidak sengaja membuka pintu dan membebaskan data sensitif. Perisian Cybernance membantu syarikat mengenali dengan mudah amalan berbahaya dan kurangnya dasar penting sambil mencadangkan cara untuk membetulkan risiko siber ini.

Sila beritahu kami sedikit tentang latar belakang dan kedudukan semasa anda di Cybernance.

Saya telah berada dalam dunia teknologi untuk semua kehidupan dewasa saya. Pada masa itu, saya memulakan dan menjual rangkaian syarikat, yang terkini ialah Perisian Infoglide. Selepas penjualan, atas cadangan isteri saya, saya mula melihat dengan teliti risiko cyber dalam perniagaan dan kerajaan dan menyedari ini akan menjadi isu utama yang mereka tidak dilengkapi dengan baik. Terdapat banyak wang yang dilaburkan dalam penyelesaian teknikal di perimeter (menggali parit lebih dalam, membina tembok yang lebih tinggi), tetapi sepertinya saya pengurusan risiko siber yang berkaitan dengan tadbir urus, dasar, dan proses adalah sangat kurang.

Syarikat yang saya lari sebelum Cybernance telah membangunkan semua algoritma yang mendasari program skrining pengganas TSA. Saya menjadi sangat mahir dalam pengurusan risiko, pengurusan identiti dan semua perkara yang berjalan dengan perkembangan perisian yang sangat canggih, jadi ia adalah peralihan semula jadi dalam perniagaan ini

Saya "Aha Moment" adalah ketika saya mendengar Luis Aguilar, yang pada masa itu adalah ketua SEC, bercakap di Boston. Dia percaya lembaga pengarah boleh dan harus bertanggungjawab secara peribadi untuk pelanggaran siber apabila mereka tidak melindungi perusahaan mereka dengan secukupnya.

Dengan syarikat-syarikat besar seperti Verizon dan Equifax membelanjakan sejumlah besar wang untuk keselamatan dalam talian, bagaimana mereka masih dapat dilanggar?

Equifax adalah kanak-kanak poster hari ini untuk pasukan pengurusan dan papan. Mereka dibebaskan 147 juta rekod individu dengan maklumat peribadi ke pasaran dalam pelanggaran siber yang bukan pelanggaran teknologi, tetapi pelanggaran dasar dan proses. Apa yang berlaku ialah mereka menggunakan teknologi pelayan web tertentu untuk melancarkan penawaran produk baru ke pasaran. Bagaimanapun, produk itu dibebaskan tanpa menampal dan melindungi perkhidmatan web secara secukupnya. Oleh itu, ia bukanlah Marvel Masked dan pasukan penyamunnya dari beberapa negara asing yang berpecah kepada Equifax; itu Equifax meninggalkan pintu terbuka lebar.

Equifax memberi keterangan sebelum Kongres bahawa mereka mendapati orang yang bertanggungjawab dan menembaknya. Izinkan saya memberitahu anda bahawa ini bukan satu-satunya orang yang tersekat - itu tidak mustahil. Ia adalah satu dasar yang mudah dan persoalan proses, dan untuk kehidupan saya, saya tidak dapat membayangkan sesiapa yang pernah melakukannya. Saya sangat kritikal terhadap pengurusan Equifax, dan saya yakin bahawa mereka mahu mereka boleh melakukannya, tetapi perkara-perkara ini tidak bermula di bahagian bawah, ia datang dari atas. Ia berpunca daripada kepimpinan yang tidak mencukupi dan kekurangan dasar mudah yang menyatakan bahawa tiada apa pun yang akan dibebaskan ke pasaran terbuka sebelum ia telah melalui analisis yang ketat mengenai keselamatan keberkesanan sistem. Itulah sebabnya kita mempunyai dasar dan prosedur dalam syarikat.

Apakah Standard NIST itu?

Semasa pentadbiran Obama apabila menjadi jelas bahawa titik paling lemah perlindungan tanah air akan menjadi siber, ada satu arahan eksekutif untuk membangunkan piawaian kebangsaan untuk membantu terutamanya perusahaan komersial membangunkan amalan pengurusan risiko.  Oleh itu, kerajaan telah mencipta National Sayanstitute Standa dan Technologies cybersecurity framework (NIST), yang merupakan jenis produk kerajaan yang sangat luar biasa. Biasanya, apabila kerajaan meluluskan peraturan dan membuat wang, mereka mengembangkan satu set "Anda harus melakukan ini" dan "Jangan lakukan itu." Apa yang mereka usahakan dengan NIST bukan satu set peraturan preskriptif untuk bagaimana anda harus berkelakuan dan set hukuman jika anda tidak, tetapi sebaliknya satu set idea yang baik untuk amalan terbaik dan pertimbangan, yang menjadikannya sangat mudah bagi perniagaan untuk mula memohon.

Bagaimana syarikat membantu Cybernance mematuhi NIST?

Rahsia kejayaan NIST adalah bahawa piawaian ini tidak wajib tetapi sangat disyorkan. Fleksibiliti ini membolehkan anda menjalankan perniagaan anda dengan cara anda menjalankan perniagaan anda sambil memahami di mana risiko cyber anda berbohong dan bagaimana menanganinya. Daripada harus mematuhi semua peraturan, anda hanya perlu memberi tumpuan kepada risiko siber yang mempengaruhi perniagaan anda.

Kami memilih untuk membina perniagaan kami berdasarkan standard NIST dengan kepercayaan bahawa ia akan menjadi rangka kerja perlindungan keselamatan siber / cyber dominan di dunia perniagaan. Ternyata kami benar kerana sekarang ini digunakan oleh lebih dari 40 persen perusahaan di AS dan di seluruh dunia.

Kami berasaskan syarikat kami untuk mengautomasikan rangka kerja NIST melalui perisian. Ia terdiri daripada kira-kira 80+ soalan yang menghasilkan kira-kira 400 titik kawalan dalam organisasi. Kami mengambil semua soalan ini dan memecahkannya ke dalam sepuluh domain, jadi jenis soalan sesuai dengan kumpulan orang yang sangat terfokus. Sememangnya, kami mempunyai soalan menangani risiko dan teknologi dan piawaian siber, tetapi terdapat juga banyak soalan mengenai kebimbangan bukan teknologi. Ingat, sejumlah besar risiko siber diperkenalkan ke dalam perniagaan oleh jabatan pembelian mereka apabila mereka membeli produk dari vendor luar. Terdapat juga soalan mengenai proses HR, vendor pihak ketiga, dan isu organisasi umum. Idea ini adalah untuk melibatkan orang yang mempunyai pengetahuan dan kepakaran tertentu sekitar kawasan asas ini. Sebaik sahaja mereka menerima pertanyaan-pertanyaan dari sistem, mereka boleh menjawabnya atau meneruskannya kepada orang lain yang mereka rasa lebih baik untuk dijawab. Dan, seperti air terjun, soalan-soalan ini pergi ke tempat dalam organisasi di mana seseorang yang paling mungkin tahu boleh menjawabnya.

Kami bertanya perkara seperti: Adakah anda mempunyai dasar untuk ini? Adakah polisi itu dikaji semula setiap suku tahun, setiap tahun? Adakah terdapat proses kelulusan? Adakah anda mempunyai respons berikut? Dan sebagainya. Soalan-soalan dijawab dengan nilai sifar melalui empat, dari "kita tidak melakukannya sama sekali" kepada "kita benar-benar melakukannya sepanjang masa."

Perisian Unik Cybernance Cepat Mengenalpasti Risiko Siber Orang, Dasar dan Proses adalah Kunci

Oleh itu, kami telah mengambil semua piawaian ini, semua titik kawalan ini, dengan semua pertanyaan dan proses itu automatik sebuah organisasi boleh dengan cepat menganalisis kematangan dan daya tahan mereka berdasarkan piawaian NIST. Sebenarnya, apabila pertanyaan telah menemui orang yang betul di dalam organisasi, proses menjawab dan mengumpul respons mengambil masa 12 jam sehari.

Adakah keputusan memberi cadangan untuk meningkatkan pematuhan?

Ya, kami melancarkan semua keputusan ke dalam papan pemuka yang menggunakan bahasa perniagaan yang sama (berbanding dengan bahasa teknologi), supaya organisasi, termasuk pengurusan kanan dan lembaga pengarah, boleh menyemak dan memahami dengan cepatnya.  Seiring dengan penyenaraian risiko yang ditemui berbanding dengan standard NIST, kami mencadangkan tindakan pembetulan mengikut keutamaan. Proses pemetaan kami dalam masa nyata, jadi jurang keselamatan dan cadangan selalu berubah apabila jawapan kepada soalan dikemas kini.

Perisian Unik Cybernance Cepat Mengenalpasti Risiko Siber Orang, Dasar dan Proses adalah Kunci

Perisian kami juga menjana apa yang anda boleh panggil skor. Walau bagaimanapun, ia tidak semestinya menunjukkan risiko keselamatan siber tertentu anda. Skor syarikat boleh menjadi sangat tinggi jika mereka sangat kuat di satu kawasan manakala kawasan lain meninggalkan lubang menganga yang cukup besar untuk memacu 18 roda. Dan mereka tidak akan pernah melihat bahawa datang kerana "skor tinggi" mereka. Sementara di sisi lain, sebuah syarikat dengan "skor rendah" sebenarnya mungkin mempunyai risiko yang kurang, jika banyak pertanyaan pematuhan dinilai pada sifar hanya kerana mereka hanya tidak berkaitan kepada organisasi mereka.

Kami juga mempunyai ciri dalam sistem di mana anda boleh tentukan penerimaan risiko anda dan buat matlamat untuk titik kawalan tertentu yang mungkin anda mahu bekerja untuk menaikkan. Oleh itu, skor itu benar-benar lebih banyak digunakan sebagai tolok ukur di mana anda berada hari ini dan di mana anda mahu menjadi esok.

Skor ini juga membantu jika anda ingin tahu di mana syarikat anda berdiri berbanding rakan sebaya anda. Kami anonymize data ini, jadi pelanggan kami boleh menanda aras diri mereka terhadap kumpulan rakan sebaya mereka menggunakan kod SIC, saiz, dan lain-lain, memberi mereka gambaran yang baik tentang bagaimana mereka melakukan dalam industri mereka. Itu selalu penting untuk pengurusan kerana, dengan baik, anda tahu bagaimana ini berfungsi; anda meletakkan bola di atas lantai dengan bilik yang penuh dengan anak-anak dan tidak lama lagi anda mempunyai permainan bola. Sangat berguna untuk memahami bagaimana anda melihat di dalam industri anda untuk melihat sama ada anda baik (atau lebih baik!) Atau jika anda perlu melakukan lebih banyak kerja.

Perisian Unik Cybernance Cepat Mengenalpasti Risiko Siber Orang, Dasar dan Proses adalah Kunci

April Cybernance lepas telah ditetapkan sebagai Teknologi Anti-Keganasan Berkelayakan (QATT). Apa sebutan itu?

Kami mengemukakan produk kami untuk semakan oleh pejabat Jabatan Keselamatan Dalam Negeri Jabatan Keselamatan. Kami telah melalui kira-kira satu tahun kajian dan analisis oleh Homeland Security dan kontraktor bebas yang mengambil teknologi dan syarikat kami. Mereka memandangnya dan mempersoalkan - adakah ia melakukan apa yang kita katakan ia akan dilakukan, adakah ia melakukannya dengan betul, adakah ia nilai, dan adakah ia mungkin melindungi tanah air? Dan pada akhirnya, produk kami dinamakan Qdisahkan Anti-Tkesilapan Technology, yang dikenali sebagai Akta KESELAMATAN, yang bermaksud bahawa jika sesebuah organisasi menggunakan perisian kami seperti yang sepatutnya digunakan dan terdapat pelanggaran siber berdasarkan pengganas, organisasi mempunyai perlindungan liabiliti yang besar sehingga dan termasuk 100% imuniti untuk tindakan pihak ketiga.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me