A Cybernance egyedi szoftvere gyorsan azonosítja a kiberbiztonsági embereket, a politika és a folyamat kulcsfontosságú


A mai vállalatok sok pénzt költenek technológiára és eszközökre, hogy adataikat biztonságban megvédjék a rossz szereplőktől, akik reputációs vagy pénzügyi károkat szándékoznak okozni. De függetlenül attól, hogy milyen jó a beépített technológia, elengedhetetlen, hogy a vállalatok olyan politikákat alakítsanak ki, amelyek biztosítják, hogy egyik gyakorlatuk sem véletlenül nyitja meg az ajtót, és bizalmas adatokat bocsát ki.. A cybernance szoftvere segíti a vállalatokat a veszélyes gyakorlatok és a fontos irányelvek hiányának azonosításában, miközben javasolja ezen kiberkockázatok orvoslását..

Mondja meg nekünk egy kicsit a hátteréről és a Cybernance jelenlegi helyzetéről.

Az egész felnőtt életemben a technológiai világban voltam. Ez idő alatt egy sor vállalkozást indítottam és eladtam, ezek közül a legújabb az Infoglide Software volt. Az eladás után, a feleségem ajánlására, nagyon óvatosan elkezdtem megvizsgálni a vállalkozások és a kormányzat kibernetikus kockázatait, és rájöttem, hogy ez egy olyan fő kérdés, amelynek kezelésére nem voltak megfelelő felszereltségük. Már nagyon sok pénzt fektettek be a kerület műszaki megoldásaiba (mélyebben ásni a várárokba, magasabbra építni a falat), de számomra úgy tűnt, hogy Hiányosan hiányzott a kormányzáshoz, politikákhoz és folyamatokhoz kapcsolódó kiber-kockázatkezelés.

Az a társaság, amelyet a Cybernance előtt vezettem, kidolgozta az összes alapvető algoritmust a TSA terrorista szűrőprogramjára. Nagyon ismerem a kockázatkezelést, az identitásmenedzsmentet és mindazokat a dolgokat, amelyek ehhez a nagyon fejlett szoftverfejlesztéshez kapcsolódnak, tehát ez egy természetes áttérés erre az üzletre.

Az „Aha pillanatom” az volt, amikor hallottam Luis Aguilar-t, aki akkoriban a SEC vezetője volt Bostonban. Hiszi az igazgatóságokat személyesen felelősségre kell vonni és ki kellene terjeszteni a számítógépes megsértésekért, ha nem vállalkozásuk megfelelő védelme.

Mivel a nagyobb cégek, mint például a Verizon és az Equifax nagy összegeket költenek az online biztonságra, hogyan lehet őket még megsérteni??

Az Equifax ma a poszter gyermeke a vezetõ csapatoknak és az igazgatóságoknak. Engedték szabadon 147 millió a személyes adatokkal rendelkező személyek nyilvántartása a piacon olyan számítógépes jogsértés során, amely nem technológiai, hanem a politika és a folyamat megsértése volt. Ami történt, az volt egy adott webszerver technológiát alkalmaztak egy új termékkínálat bevezetésére a piacon. A terméket azonban a webszolgáltatás megfelelő javítása és védelme nélkül bocsátották ki. Tehát nem az Álarcos Marvel és az ő kíméletlen banditáinak csapata valamilyen idegen országból törte meg az Equifaxot; az Equifax nyitva hagyta az ajtót.

Az Equifax a kongresszus előtt tanúsította, hogy megtalálták a felelős személyt és elbocsátották. Hadd mondjam el, hogy ez nem volt egyszemélyes csavarás - ez nem lehetséges. Ez egy egyszerű politika és folyamat kérdése, és az életemben el sem tudom képzelni senkit, aki ezt valaha is megtenné. Nagyon kritikusak vagyok az Equifax vezetésével kapcsolatban, és biztos vagyok benne, hogy ők azt akarják, hogy meg is tudják csinálni. De ezek a dolgok nem az alján kezdődnek, hanem fentről származnak. Ennek eredményeként a nem megfelelő vezetés és az egyszerű politika hiánya állítja, hogy semmit sem szabadítanak a nyílt piacra, mielőtt a rendszer biztonságának és hatékonyságának szigorú elemzését elvégezték.. Ez az oka annak, hogy irányelveink és eljárásaink vannak a vállalatokon belül.

Mi a NIST szabvány??

Az Obama-kormányzat során, amikor egyértelművé vált, hogy a szülőföld védelme leggyengébb pontja kibernetikus lesz, ott volt egy végrehajtó irányelv egy nemzeti szabvány kidolgozására, amely elsősorban a kereskedelmi vállalkozások számára segíti a kockázatkezelési gyakorlatok kialakítását.  Tehát a kormány létrehozta a National énnstitute Sszabványok és Technologies kiberbiztonsági keretrendszer (NIST), amely egy igazán szokatlan típusú kormányzati termék. Jellemzően, amikor a kormány szabályokat fogad el, és pénzt köteles elkötelezetten kidolgozni egy teljes sorozatot: "Csináld ezt" és "Ne csináld ezt." A NIST-rel kifejlesztett cikkek nem előíró szabályok, amelyekkel kell viselkednie és hogyan kell viselkedniük. büntetések, ha nem, hanem inkább a bevált gyakorlatokra és megfontolásokra vonatkozó jó ötletek sorozata, amely nagyon egyszerűvé tette a vállalkozások számára az alkalmazás megkezdését.

Hogyan segíti a Cybernance a vállalatokat a NIST betartásában??

A NIST sikerének titka az, hogy ezek a szabványok nem kötelezőek, de erősen ajánlottak. Ez a rugalmasság lehetővé teszi, hogy vállalkozását úgy működtesse, ahogyan vállalkozását irányítja, miközben megérti, hol helyezkednek el a számítógépes kockázatok, és hogyan kezelheti azokat. Ahelyett, hogy teljesítenie kellene összes A szabályok, csak azokra a számítógépes kockázatokra kell összpontosítania, amelyek befolyásolják vállalkozását.

Úgy döntöttünk, hogy üzleti tevékenységünket a NIST-szabvány alapján építjük fel azzal a hittekkel, hogy ez lesz az üzleti világ domináns kiberbiztonsági / kibervédelmi keretrendszere. Kiderül, hogy igazuk volt, mivel most az Egyesült Államokban és a világ minden táján működő vállalkozások kevésbé több mint 40% -a használja.

Cégünk arra alapult, hogy a NIST keretrendszert automatizálja szoftverrel. Körülbelül 80+ kérdésből áll, amelyek körülbelül 400 ellenőrző pontot eredményeznek egy szervezeten belül. Ezeket a kérdéseket felvesszük és tíz területre bontjuk, tehát az ilyen típusú kérdések beleférnek egy nagyon szorosan összpontosított embercsoportba. Természetesen, kérdéseink vannak a számítógépes kockázatokkal, a technológiával és a szabványokkal, de vannak egész kérdéskészlet a nem technológiai problémákkal kapcsolatban. Ne felejtse el, hogy jelentős számú kibernetikai kockázatot vezet be a vállalkozásokba a beszerzési osztály, amikor termékeket vásárolnak külső szállítóktól. Kérdések vannak továbbá a HR folyamatokkal, a harmadik fél gyártóival és az általános szervezeti kérdésekkel kapcsolatban is. Az ötlet az, hogy bevonjuk azt a személyt, akinek speciális ismerete és szaktudása van ezen alapterületek körül. Miután megkapta ezeket a kérdéseket a rendszertől, megválaszolhatja vagy továbbíthatja azokat valakinek, akik úgy érzik, hogy jobban felkészültek a válaszadásra. És így, mint egy vízesés, ezek a kérdések arra a helyre kerülnek a szervezeten belül, ahol a legvalószínűbb ismerettel rendelkező személy megválaszolhatja őket.

Olyan kérdéseket teszünk fel, mint: Van-e politikád erre? Ezt a politikát évente negyedévente felülvizsgálják? Van jóváhagyási folyamat? Van a következő válasz? Stb. A kérdésekre nullától négyig érkezik válasz, kezdve: „egyáltalán nem csináljuk” és „egész idő alatt abszolút csináljuk”.

A Cybernance egyedi szoftvere gyorsan azonosítja a kiberbiztonsági embereket, a politika és a folyamat kulcsfontosságú

Tehát mindezeket a szabványokat, az összes vezérlőpontot átvetjük mindezen lekérdezésekkel és automatizáljuk ezt a folyamatot, tehát egy szervezet nagyon gyorsan képes elemezni érettségüket és ellenálló képességüket a NIST szabványok alapján. Valójában, amint a kérdések megkeresik a megfelelő személyt a szervezeten belül, a válaszadás és a válaszok összegyűjtése mindössze 12 fős órát vesz igénybe..

Adjon-e az eredmények ajánlásokat a megfelelés javítása érdekében?

Igen, az összes eredményt egy olyan irányítópultba tesszük, amely közös üzleti nyelvet használ (ellentétben a technológiai nyelvvel), hogy a szervezet, beleértve a felső vezetést és az igazgatótanácsot, nagyon gyorsan áttekinthesse és megértse azokat..  A felfedezett kockázatoknak a NIST szabványhoz viszonyított felsorolása mellett javasoljuk a prioritások szerint rangsorolt ​​korrekciós intézkedéseket is. Az irányítópult valós időben zajlik, így a biztonsági rések és az ajánlások folyamatosan változnak, amikor a kérdésekre adott válaszok frissülnek.

A Cybernance egyedi szoftvere gyorsan azonosítja a kiberbiztonsági embereket, a politika és a folyamat kulcsfontosságú

Szoftverünk generálja azt is, amit pontszámnak nevezhet. Lehet, hogy nem igazán jelzi a kiberbiztonsági kockázatot. A társaság pontszáma nagyon magas lehet, ha az egyik területen nagyon erős, míg egy másik területen egy elég nagy tátongó lyukat hagyunk el ahhoz, hogy egy 18 kerekes motoros áthaladjon. És soha nem fogják látni, hogy „magas pontszámuk” miatt jönnek. Míg viszont az „alacsonyabb pontszámú” társaságok valójában kevesebb kockázatot hordoznak, ha sok megfelelési kérdést nullára értékelnek egyszerűen azért, mert egyszerűen nem a szervezetükhöz.

A rendszerben van egy olyan szolgáltatás, amellyel lehetősége van határozza meg a kockázat elfogadhatóságát, és célokat fogalmaz meg azokra az ellenőrzési pontokra, amelyek növelésére érdemes lehet. Tehát a pontszámot valóban inkább arra használják, hogy felmérjék, hol vagy ma, és hol szeretnél holnap lenni.

A pontszám akkor is hasznos, ha meg akarja tudni, hogy hol áll a társaság a társaival összehasonlítva. Anonimizáljuk ezeket az adatokat, tehát ügyfeleink összehasonlíthatják magukat társaikkal szemben SIC-kód, méret, stb. felhasználásával jó ötlet adni számukra arról, hogy jól teljesítenek az iparban. Ez mindig fontos a vezetőség számára, mert Nos, tudod, hogy működik; felad egy labdát a padlóra egy gyerekekkel teli szobával, és hamarosan megkapod a labdát. Nagyon hasznos megérteni, hogyan néz ki az iparágába, hogy megtudja, mennyire jó (vagy jobb!), Vagy ha még több munkát kell tennie.

A Cybernance egyedi szoftvere gyorsan azonosítja a kiberbiztonsági embereket, a politika és a folyamat kulcsfontosságú

Tavaly áprilisban a kibernáziumot minősített terrorizmusellenes technológiának (QATT) nevezték ki. Mit jelent ez a jelölés??

Termékünket felülvizsgálat céljából benyújtottuk a Belbiztonsági Minisztérium Biztonsági törvényének irodájába. Körülbelül egy éven keresztül áttekintettük és elemeztük mind a belbiztonságot, mind pedig egy független vállalkozót, aki elválasztotta a technológiát és a társaságunkat. Megnézték és megkérdezték - vajon azt csinálja-e, amit mondunk, azt fogja csinálni, helyesen csinálja-e, értéket jelent-e, és valószínűleg megvédi-e a haza? És végül a termékünket nevezték el Qualified ANTI-Terrorism Ta technológiát, az úgynevezett BIZTONSÁG törvényt, amely azt jelenti ha egy szervezet a szoftverünket úgy használja, ahogyan azt feltételezték, és a terroron alapuló számítógépes megsértés történik, akkor a szervezet jelentős felelősségvédelemmel rendelkezik akár 100% -os mentességgel együtt, harmadik fél fellépése esetén.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me