Cybernance unikālā programmatūra ātri identificē kiberdraudus, politika un process ir galvenie

Mūsdienu uzņēmumi tērē daudz naudas tehnoloģijām un ierīcēm, lai pasargātu savu informāciju no sliktiem dalībniekiem, kuri paredz reputācijas vai finansiālu kaitējumu. Bet neatkarīgi no tā, cik laba ir ieviestā tehnoloģija, uzņēmumiem noteikti ir jāizstrādā politika, nodrošinot, ka neviena no viņu praksēm netīšām neatver durvis un neizpauž slepenus datus.. Kibernoziegumu programmatūra palīdz uzņēmumiem viegli noteikt bīstamu praksi un svarīgu politiku trūkumu, vienlaikus iesakot veidus, kā koriģēt šos kiberriskus.

Lūdzu, pastāstiet mums mazliet par savu pieredzi un pašreizējo stāvokli Cybernance.

Visu savu pieaugušo dzīvi esmu bijis tehnoloģiju pasaulē. Šajā laikā es dibināju un pārdevu virkni uzņēmumu, no kuriem jaunākais bija Infoglide Software. Pēc pārdošanas pēc sievas ieteikuma es ļoti uzmanīgi sāku aplūkot kiberuzņēmumus uzņēmumos un valdībā un sapratu, ka šī būs galvenā problēma, ar kuru viņi nebija pietiekami labi nokārtoti. Perimetra tehniskajos risinājumos jau tika ieguldīts daudz naudas (izrakt grāvi dziļāk, uzcelt sienu augstāk), bet man šķita, ka kiberriska pārvaldībai, kas saistīta ar pārvaldību, politikām un procesiem, ļoti trūka.

Uzņēmums, kuru vadīju pirms Cybernance, izstrādāja visus TSA teroristu skrīninga programmas pamatā esošos algoritmus. Es ļoti labi pārzinu riska pārvaldību, identitātes pārvaldību un visas lietas, kas notiek kopā ar šo ļoti moderno programmatūras izstrādi, tāpēc tā bija dabiska pāreja uz šo biznesu.

Mans “Aha mirklis” bija, kad dzirdēju Luisu Aguilaru, kurš tajā laikā bija SEC vadītājs, runājam Bostonā. Viņš tic direktoru padomes varētu un tām vajadzētu būt personīgi atbildīgām par kiberpārkāpumiem, ja tās nepietiekami aizsargā savu uzņēmumu.

Tā kā lielie uzņēmumi, piemēram, Verizon un Equifax, tērē lielas naudas summas tiešsaistes drošībai, kā viņi joprojām tiek pārkāpti??

Equifax ir šodien plakātu bērns vadības grupām un padomēm. Viņi atbrīvoja 147 miljoni personu reģistri ar privātu informāciju tirgū ar kibernoziegumiem, kas nebija tehnoloģijas pārkāpums, bet gan politikas un procesa pārkāpums. Notika tas, kas notika viņi izmantoja noteiktu tīmekļa servera tehnoloģiju, lai tirgū ieviestu jaunu produktu piedāvājumu. Tomēr produkts tika izlaists, nepietiekami uzlabojot un aizsargājot tīmekļa pakalpojumu. Tas, ka maskētais brīnums un viņa drausmīgā bandītu komanda no kādas ārvalsts nebija ielauzies Equifax; tas bija Equifax, atstājot durvis plaši atvērtas.

Equifax pirms Kongresa liecināja, ka viņi atrada atbildīgo personu un atlaida viņu. Ļaujiet man jums pateikt, ka šī nebija individuāla vienas personas piespiešana – tas nav iespējams. Tas ir vienkāršs politikas un procesa jautājums, un es visu mūžu nevaru iedomāties nevienu, kurš to darītu. Es ļoti kritiski vērtēju Equifax pārvaldību, un es esmu pārliecināts, ka viņi vēlas, lai viņi to paveiktu, bet šīs lietas nesākas no apakšas, tas nāk no augšas. Tas izriet no nepietiekamas vadības un vienkāršas politikas trūkuma, kurā teikts, ka nekas nekad netiek izlaists atklātā tirgū, pirms nav veikta stingra sistēmas drošības un efektivitātes analīze.. Tāpēc uzņēmumos mums ir politika un procedūras.

Kas ir NIST standarts?

Obama administrācijas laikā, kad kļuva skaidrs, ka dzimtenes aizsardzības vājākais punkts būs kibernoziegums, bija izpilddirektīva, lai izstrādātu valsts standartu, lai palīdzētu galvenokārt komerciāliem uzņēmumiem attīstīt riska pārvaldības praksi.  Tātad valdība izveidoja Nnacionālais Esnstitūts Sstandartiem un Technologies kiberdrošības satvars (NIST), kas ir patiešām neparasts valdības izstrādājuma veids. Parasti, kad valdība pieņem noteikumus un izdod naudu, viņi izstrādā visu komplektu “Tu to dari” un “Tu to nedarīsi.” Tas, ko viņi izstrādāja ar NIST, nebija priekšrakstu kopums tam, kā jums vajadzētu izturēties un sodu komplekti, ja jums tas nav, bet drīzāk labu ideju kopums paraugpraksei un apsvērumiem, kas ļāva uzņēmumiem sākt piemērot.

Kā kibernance palīdz uzņēmumiem ievērot NIST?

NIST panākumu noslēpums ir tas, ka šie standarti nav obligāti, bet ļoti ieteicami. Šī elastība ļauj jums vadīt savu biznesu tā, kā jūs vadāt savu uzņēmējdarbību, vienlaikus saprotot, kur atrodas jūsu kiberriski un kā tos novērst. Nevis jāievēro visiem noteikumi, jums jākoncentrējas tikai uz tiem kiberdraudiem, kas ietekmē jūsu biznesu.

Mēs izvēlējāmies veidot savu biznesu, pamatojoties uz NIST standartu, ar pārliecību, ka tas kļūs par dominējošo kiberdrošības / kiberaizsardzības ietvaru biznesa pasaulē. Izrādās, ka mums bija taisnība, jo to tagad izmanto mazliet vairāk nekā 40 procenti uzņēmumu ASV un visā pasaulē.

Mēs balstījām savu uzņēmumu uz NIST ietvara automatizāciju, izmantojot programmatūru. Tas sastāv no apmēram 80 jautājumiem, kuru rezultātā organizācijā ir aptuveni 400 kontroles punktu. Mēs ņemsim vērā visus šos jautājumus un sadalām tos desmit jomās, tāpēc dažāda veida jautājumi ietilpst ļoti cieši koncentrētā cilvēku kopumā. Dabiski, mums ir jautājumi, kas attiecas uz kiber risku, tehnoloģijām un standartiem, bet ir arī daudz jautājumu kopumu, kas attiecas uz problēmām, kas nav saistītas ar tehnoloģiju. Atcerieties, ka ievērojamu kibernoziegumu risku uzņēmumos ievieš to pirkšanas nodaļa, kad viņi pērk produktus no ārējiem pārdevējiem. Ir arī jautājumi par cilvēkresursu procesiem, trešo pušu pārdevējiem un vispārīgiem organizatoriskiem jautājumiem. Ideja ir iesaistīt personu, kurai ir īpašas zināšanas un zināšanas ap šīm pamata jomām. Kad viņi no sistēmas saņem šos jautājumus, viņi var uz tiem atbildēt vai pārsūtīt tos kādam citam, kas, viņuprāt, ir labāk sagatavoti atbildēšanai. Un līdzīgi kā ūdenskritums, šie jautājumi nonāk organizācijā, kur tiem, visticamāk, zināmais var atbildēt uz tiem.

Mēs uzdodam šādus jautājumus: vai jums ir šāda politika? Vai šī politika tiek pārskatīta reizi ceturksnī, katru gadu? Vai pastāv apstiprināšanas process? Vai jums ir šādas atbildes? Un tā tālāk. Uz jautājumiem tiek atbildēts ar vērtību no nulles līdz četrām, sākot no “mēs to nemaz nedarām” līdz “mēs to visu darām visu laiku”.

Mēs esam pārņēmuši visus šos standartus, visus šos kontrolpunktus ar visiem šiem jautājumiem un automatizējuši šo procesu, tāpēc organizācija var ļoti ātri analizēt viņu briedumu un noturību, pamatojoties uz NIST standartiem. Faktiski, kad vaicājumi ir atraduši ceļu pie pareizā cilvēka organizācijā, atbildēšanas un atbilžu vākšanas process prasa tikai 12 cilvēku stundas.

Vai rezultāti dod ieteikumus, kā uzlabot atbilstību?

Jā, visus rezultātus apkopojam informācijas panelī, kurā tiek izmantota kopīga biznesa valoda (pretstatā tehnoloģiju valodai), lai organizācija, ieskaitot augstāko vadību un direktoru padomi, varētu tos ļoti ātri pārskatīt un saprast..  Vienlaicīgi ar atklāto risku uzskaitījumu attiecībā uz NIST standartu, mēs iesakām veikt koriģējošas darbības, kas sakārtotas pēc prioritātes. Mūsu informācijas panelis tiek apstrādāts reālā laikā, tāpēc, atjaunojot atbildes uz jautājumiem, drošības nepilnības un ieteikumi pastāvīgi mainās.

Mūsu programmatūra ģenerē arī to, ko jūs varētu nosaukt par punktu skaitu. Tomēr tas, iespējams, īsti nenorāda uz jūsu konkrēto kiberdrošības risku. Uzņēmuma vērtējums var būt ļoti augsts, ja vienā apgabalā tie ir ļoti spēcīgi, bet citā apgabalā ir pietiekami liela sprauga, lai varētu izbraukt ar 18 riteņu automašīnu. Un viņi nekad neredzēs, ka viņi ierodas sava “augstā rezultāta” dēļ. Lai gan, no otras puses, uzņēmumam ar “zemāku rezultātu” faktiski var būt mazāks risks, ja daudziem atbilstības pieprasījumiem tiek piešķirta nulle vienkārši tāpēc, ka viņi vienkārši neattiecas viņu organizācijai.

Mums sistēmā ir arī funkcija, kurā varat nosakiet sava riska uzņemšanos un izveidojiet mērķus konkrētiem kontroles punktiem, kurus, iespējams, vēlēsities paaugstināt. Rezultāts tiešām ir vairāk izmantojams, lai noteiktu, kur atrodaties šodien un kur vēlaties atrasties rīt.

Rezultāts ir noderīgs arī tad, ja vēlaties uzzināt, kur atrodas jūsu uzņēmums, salīdzinot ar vienaudžiem. Mēs šos datus anonimizējam mūsu klienti var sevi salīdzināt ar savu vienaudžu grupu izmantojot SIC kodu, izmēru utt., dodot viņiem labu priekšstatu par to, kā viņiem veicas savā nozarē. Tas vienmēr ir svarīgi vadībai, jo, labi, jūs zināt, kā tas darbojas; jūs novietojat bumbiņu uz grīdas ar istabu, kas pilna ar bērniem, un diezgan drīz esat ieguvis bumbu spēli. Ir ļoti noderīgi saprast, kā jūs skatāties savā nozarē, lai redzētu, vai jūs esat tik labs (vai labāks!) Vai arī jums jādara vairāk darba.

Pagājušā gada aprīlī kibernance tika izraudzīta par kvalificētu pretterorisma tehnoloģiju (QATT). Ko nozīmē tas apzīmējums?

Mēs iesniedzām savu produktu pārskatīšanai Iekšzemes drošības departamenta Drošības likuma birojā. Apmēram gadu tika veikts pārskats un analīze, ko veica gan Homeland Security, gan neatkarīgs darbuzņēmējs, kurš nošķīra tehnoloģiju un mūsu uzņēmumu. Viņi to apskatīja un apvaicājās – vai tas dara to, ko mēs sakām, ka darīs, vai to dara pareizi, vai tā ir vērtība un vai tas, iespējams, aizsargā dzimteni? Un galu galā mūsu produkts tika nosaukts Qualified Anti-Tkļūdainisms Ttehnoloģija, kas pazīstama kā DROŠĪBAS ATS, kas to nozīmē ja organizācija izmanto mūsu programmatūru tā, kā to paredzēts izmantot, un notiek terorisma izraisīti kiberpārkāpumi, organizācijai ir ievērojama atbildības aizsardzība līdz 100% (ieskaitot) imunitāti trešo personu darbībām.