Softueri unik i Cybernance Identifikon Shpejt Njerëzit e Rreziqeve Kibernetike Njerëzit, Politika dhe Procesi janë Thelbësore


Kompanitë e sotme shpenzojnë shumë para për teknologji dhe pajisje për të mbajtur informacionin e tyre të sigurt nga aktorët e këqij që synojnë dëmin e reputacionit ose financiar. Por, pavarësisht se sa e mirë mund të jetë teknologjia në vend, është e domosdoshme që kompanitë të vendosin politika duke siguruar që asnjë nga praktikat e tyre pa dashje të hapë një derë dhe të lëshojë të dhëna të ndjeshme. Softueri i Cybernance ndihmon kompanitë të identifikojnë lehtësisht praktikat e rrezikshme dhe mungesën e politikave të rëndësishme, ndërsa rekomandojnë mënyra për të korrigjuar këto rreziqe në internet.

Ju lutemi na tregoni pak për prejardhjen tuaj dhe pozicionin aktual në Cybernance.

Unë kam qenë në botën e teknologjisë për tërë jetën time të rritur. Gjatë asaj kohe, unë fillova dhe shita një sërë ndërmarrjesh, më e fundit prej të cilave ishte Infoglide Software. Pas shitjes, me rekomandimin e gruas sime, fillova të shikoj me shumë kujdes rrezikun kibernetik brenda bizneseve dhe qeverisë dhe kuptova se kjo do të ishte një çështje madhore me të cilën ata nuk ishin të pajisur mirë për t’u marrë. Tashmë kishte shumë para duke u investuar në zgjidhje teknike në perimetër (gërmoni gërvishtjen më thellë, ndërtoni murin më lart), por më dukej se menaxhimi i rrezikut kibernetik lidhur me qeverisjen, politikat dhe proceset mungonte jashtëzakonisht shumë.

Kompania që unë drejtova përpara Cybernance zhvilloi të gjitha algoritmet themelore për programin e kontrollit terrorist të TSA-së. Unë u bëra shumë i aftë në menaxhimin e rrezikut, menaxhimin e identitetit dhe të gjitha gjërat që shkojnë së bashku me atë zhvillimin e programeve shumë të përparuara, kështu që ishte një tranzicion natyror në këtë biznes

“Momenti im” Aha ishte kur dëgjova Luis Aguilar, i cili në atë kohë ishte kryetar i KSHZ-së, të fliste në Boston. Ai beson bordet e drejtorëve mund dhe duhet të mbanin përgjegjës personalisht për shkeljet në internet kur nuk e mbrojnë si duhet ndërmarrjen e tyre.

Me kompanitë e mëdha si Verizon dhe Equifax shpenzojnë shuma të mëdha parash për sigurinë në internet, si janë ende në gjendje të shkelen?

Equifax është fëmija i sotëm poster për ekipet e menaxhimit dhe bordet. Ata lëshuan 147 milion regjistrime të individëve me informacion privat në treg në një shkelje në internet e cila nuk ishte një shkelje e teknologjisë, por një shkelje e politikave dhe procesit. Ajo që ndodhi ishte ata përdorën një teknologji të veçantë të serverëve të internetit për të hedhur një produkt të ri duke ofruar në treg. Sidoqoftë, produkti u lëshua pa patch dhe mbrojtjen e duhur të shërbimit në internet. Pra, nuk ishin Masked Marvel dhe ekipi i tij i palodhur i banditëve nga ndonjë vend i huaj që hynë në Equifax; ishte Equifax duke e lënë derën e hapur.

Equifax dëshmoi para Kongresit se ata e gjetën personin përgjegjës dhe e pushuan. Më lejoni t’ju them se kjo nuk ishte një vidhosje individuale me një person – kjo nuk është e mundur. Shtë një çështje e thjeshtë e politikës dhe e procesit, dhe për jetën time, unë nuk mund ta imagjinoj askënd kurrë, ndonjëherë duke e bërë atë. Unë jam shumë kritik ndaj menaxhimit të Equifax, dhe jam i sigurt që ata dëshirojnë që të mund ta bënin këtë gjë, por këto gjëra nuk fillojnë në fund, ato vijnë nga lart. Ajo rezulton nga udhëheqja jo adekuate dhe mungesa e një politike të thjeshtë duke deklaruar se asgjë nuk lëshohet kurrë në tregun e hapur para se të kalojë përmes një analize rigoroze të sigurisë efikasitetin e sistemit.. Kjo është arsyeja pse kemi politika dhe procedura brenda ndërmarrjeve.

Cili është Standardi NIST?

Gjatë administratës së Obamës kur u bë e qartë se pika më e dobët mbrojtja e atdheut do të ishte në internet, kishte një Direktiva ekzekutive për të zhvilluar një standard kombëtar për të ndihmuar ndërmarrjet kryesisht tregtare të zhvillojnë praktikat e administrimit të rrezikut.  Pra, qeveria krijoi Noperative unënstitute Standardët dhe Tkorniza e sigurisë së kibernetikës echnologies (NIST), e cila është një lloj produkti qeveritar me të vërtetë i pazakontë. Në mënyrë tipike, kur qeveria miraton rregulla dhe merr para, ata zhvillojnë një seri të tërë “Do ta bësh këtë” dhe “Nuk do ta bësh atë”. Ajo që ata zhvilluan me NIST nuk ishte një sërë rregullash të përshkruara për mënyrën sesi duhet të silleni dhe masa ndëshkimesh nëse nuk bëni, por përkundrazi një grup idesh të mira për praktikat dhe konsideratat më të mira, të cilat e bënë shumë të lehtë që bizneset të fillojnë të aplikojnë.

Si i ndihmon kompanitë Cybernance të pajtohen me NIST?

Sekreti i suksesit të NIST është se këto standarde nuk janë të detyrueshme, por rekomandohen shumë. Kjo fleksibilitet ju lejon të drejtoni biznesin tuaj në mënyrën si drejtoni biznesin tuaj ndërsa të kuptoni se ku qëndrojnë rreziqet tuaja në internet dhe si t’i adresoni ato. Në vend që të pajtohet të gjithë rregullat, ju duhet vetëm të përqendroheni në ato rreziqe në internet që ndikojnë në biznesin tuaj.

Ne kemi zgjedhur të ndërtojmë biznesin tonë bazuar në standardin NIST me besimin se ai do të bëhet kornizë mbizotëruese e sigurisë në internet / mbrojtjes kibernetike në botën e biznesit. Rezulton se kishim të drejtë pasi tani është përdorur nga pak më shumë se 40 përqind e ndërmarrjeve në SH.B.A. dhe në të gjithë botën.

Ne e bazuam kompaninë tonë në automatizimin e kornizës NIST përmes softuerit. ’Shtë i përbërë nga rreth 80+ pyetje që rezultojnë në rreth 400 pika kontrolli brenda një organizate. Ne i marrim të gjitha këto pyetje dhe i copëtojmë në dhjetë fusha, kështu që llojet e pyetjeve përshtaten në një grup njerëzish shumë të përqendruar. natyrisht, ne kemi pyetje që adresojnë rrezikun kibernetik dhe teknologjinë dhe standardet, por ka edhe grupe të tëra pyetjesh rreth shqetësimeve jo-teknologjike. Mos harroni, një sasi e konsiderueshme e rrezikut në internet futet në biznes nga departamenti i blerjeve kur ata blejnë produkte nga shitësit e jashtëm. Ekzistojnë gjithashtu pyetje rreth proceseve HR, shitësit e palëve të treta dhe çështje të përgjithshme organizative. Ideja është që të përfshihet personi që ka njohuri dhe ekspertizë specifike rreth këtyre zonave themelore. Pasi të marrin ato pyetje nga sistemi, ata mund t’i përgjigjen ose t’i përcjellin dikujt tjetër që ata mendojnë se janë të pajisur më mirë për t’iu përgjigjur. Dhe kështu, si një ujëvarë, këto pyetje shkojnë në vendin brenda organizatës ku një person që ka shumë të ngjarë të dijë mund t’u përgjigjet atyre.

Ne pyesim gjëra si: A keni një politikë për këtë? A po rishikohet ajo politikë tremujore, çdo vit? A ka një proces aprovimi? A keni përgjigjet e mëposhtme? Etj. Pyetjeve u përgjigjen me një vlerë zero deri në katër, duke filluar nga “ne nuk e bëjmë atë fare” deri në “ne e bëjmë atë absolutisht gjatë gjithë kohës”.

Pra, ne kemi marrë të gjitha këto standarde, të gjitha këto pika kontrolli, me të gjitha këto pyetje dhe të automatizuar atë proces, kështu që një organizatë mund të analizojë shumë shpejt pjekurinë dhe rezistencën e tyre bazuar në standardet NIST. Në fakt, pasi pyetjet të kenë gjetur rrugën e duhur te personi i duhur brenda organizatës, procesi i përgjigjes dhe mbledhjes së përgjigjeve zgjat aq pak sa orët e 12 personave.

A japin rezultatet rekomandime për të përmirësuar pajtueshmërinë?

po, ne i rrokullisim të gjitha rezultatet në një pult, i cili përdor gjuhën e zakonshme të biznesit (në krahasim me gjuhën e teknologjisë), në mënyrë që organizata, përfshirë menaxhimin e lartë dhe bordin e drejtorëve, të mund t’i rishikojë dhe kuptojë ato shumë shpejt.  Së bashku me renditjen e rreziqeve të zbuluara në lidhje me standardin NIST, ne rekomandojmë veprime korrigjuese të renditura sipas përparësisë. Proceset e panelit tonë në kohë reale, kështu që boshllëqet e sigurisë dhe rekomandimet po ndryshojnë vazhdimisht pasi përgjigjet e pyetjeve azhurnohen.

Softueri ynë gjithashtu gjeneron atë që ju mund ta quani një rezultat. Sidoqoftë, në të vërtetë nuk mund të jetë tregues i rrezikut tuaj të veçantë ndaj sigurisë në internet. Rezultati i një kompanie mund të jetë shumë i lartë nëse ato janë shumë të forta në një zonë, ndërsa një zonë tjetër lë një vrimë hendeku aq të madhe sa për të drejtuar një makine me 18 rrota. Dhe ata kurrë nuk do ta shohin atë që vjen për shkak të “rezultatit të lartë” të tyre. Ndërsa nga ana tjetër, një kompani me një “rezultat më të ulët” në të vërtetë mund të ketë më pak rrezik, nëse shumë pyetje të pajtueshmërisë vlerësohen në zero thjesht sepse thjesht nuk i përkasin organizatës së tyre.

Ne gjithashtu kemi një veçori në sistemin ku mundeni përcaktoni pranimin tuaj të rrezikut dhe krijoni synime për pika kontrolli të veçanta për të cilat mund të dëshironi të punoni në ngritjen. Kështu që rezultati është me të vërtetë më shumë për tu përdorur si matës i vendit ku je sot dhe ku dëshiron të jesh nesër.

Rezultati është gjithashtu i dobishëm nëse doni të dini se ku qëndron ndërmarrja juaj në krahasim me bashkëmoshatarët tuaj. Ne anonimizojmë këto të dhëna, kështu klientët tanë mund të krahasojnë veten kundër grupit të tyre duke përdorur kodin SIC, madhësinë, etj., duke u dhënë atyre një ide të mirë se si po veprojnë brenda industrisë së tyre. Kjo është gjithmonë e rëndësishme për menaxhimin sepse, mirë, ju e dini se si funksionon kjo; ju vendosni një top në dysheme me një dhomë plot fëmijë dhe shumë shpejt ju keni një lojë me top. Shtë shumë e dobishme për të kuptuar se si shikoni brenda industrisë tuaj për të parë nëse jeni aq i mirë (ose më mirë!) Ose nëse keni nevojë të bëni më shumë punë.

Prillin e kaluar Cybernance u përcaktua si një Teknologji e Kualifikuar Anti-Terrorizme (QATT). Doesfarë bën ai përcaktim?

Ne dorëzuam produktin tonë për rishikim nga zyra e Aktit të Sigurisë së Departamentit të Sigurisë së Brendshme. Kemi kaluar rreth një vit rishikim dhe analizë nga Homeland Security dhe një kontraktues i pavarur i cili e mori teknologjinë dhe kompaninë tonë veç e veç. Ata e shikuan dhe e pyetën – a e bën atë që ne themi se do të bëjmë, a e bën atë siç duhet, a ka vlerë dhe a ka të ngjarë të mbrojë atdheun? Dhe në fund, produkti ynë u emërua Qualified Anti-Terrorism Teknologji, e njohur si Akti i SIGURIS,, që do të thotë se nëse një organizatë përdor softuerin tonë siç supozohet të përdoret dhe ka një shkelje në internet të bazuar në terror, organizata ka mbrojtje të konsiderueshme nga përgjegjësia deri në dhe përfshirë imunitet 100% për veprimet e palëve të treta.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map