1. ΥπολογιστέςComputer Δικτύωση Ασφάλεια δικτύων Τι είναι το CISO;

Από τον Joseph Steinberg

Η CISO είναι υπεύθυνη για την ασφάλεια πληροφοριών. Η CISO αντιπροσωπεύει τη λειτουργία ασφάλειας πληροφοριών σε μια επιχείρηση. Αυτό το άτομο είναι υπεύθυνο για τη διασφάλιση ότι οι πρωτοβουλίες στον τομέα της ασφάλειας στον κυβερνοχώρο διεξάγονται σε έναν οργανισμό.

Ενώ όλες οι επιχειρήσεις χρειάζονται κάποιον εντός αυτών για να φέρουν τελικά την ευθύνη για την ασφάλεια των πληροφοριών, οι μεγαλύτερες επιχειρήσεις συχνά έχουν μεγάλες ομάδες που ασχολούνται με την ασφάλεια των πληροφοριών και χρειάζονται κάποιον που μπορεί να επιβλέπει όλες τις πτυχές της διαχείρισης της ασφάλειας της πληροφορίας και να διαχειρίζεται όλο το προσωπικό που εμπλέκεται να το πράξει. Αυτό το πρόσωπο αντιπροσωπεύει επίσης την λειτουργία της ασφάλειας πληροφοριών στην ανώτερη διοίκηση - και μερικές φορές στο διοικητικό συμβούλιο. Συνήθως αυτό το πρόσωπο είναι το CISO.

Ενώ οι ακριβείς ευθύνες των CISO ποικίλλουν ανάλογα με τη βιομηχανία, τη γεωγραφία, το μέγεθος της εταιρείας, την εταιρική δομή και τους σχετικούς κανονισμούς, οι περισσότεροι ρόλοι της CISO μοιράζονται βασικές κοινότητες.

Γενικά, ο ρόλος της CISO περιλαμβάνει την επίβλεψη και ανάληψη ευθύνης για όλους τους τομείς της ασφάλειας των πληροφοριών. Συνεχίστε να διαβάζετε για να κατανοήσετε καλύτερα κάθε μία από αυτές τις περιοχές.

Συνολική διαχείριση του προγράμματος για τον κυβερνοχώρο

Η CISO είναι υπεύθυνη για την επίβλεψη του προγράμματος ασφαλείας της εταιρείας από το Α έως το Ζ. Ο ρόλος αυτός περιλαμβάνει όχι μόνο την καθιέρωση πολιτικών ασφάλειας της επιχείρησης αλλά και όλα όσα απαιτούνται για να εξασφαλιστεί ότι οι επιχειρηματικοί στόχοι μπορούν να επιτευχθούν με το επιθυμητό επίπεδο διαχείρισης κινδύνου απαιτεί την εκπόνηση αξιολογήσεων κινδύνου, για παράδειγμα, σε τακτική βάση.

Ενώ, θεωρητικά, οι μικρές επιχειρήσεις έχουν επίσης κάποιον υπεύθυνο για ολόκληρα τα προγράμματα για την ασφάλεια του κυβερνοχώρου, στην περίπτωση των μεγάλων επιχειρήσεων, τα προγράμματα είναι συνήθως πολύ πιο επίσημα, με τάξεις μεγέθους κινούμενα μέρη. Τέτοιου είδους προγράμματα συνεχίζονται επίσης για πάντα.

Δοκιμή και μέτρηση του προγράμματος για την ασφάλεια στον κυβερνοχώρο

Η CISO είναι υπεύθυνη για τη θέσπιση κατάλληλων διαδικασιών δοκιμών και μετρικών επιτυχίας κατά των οποίων θα μετρηθεί η αποτελεσματικότητα του σχεδίου ασφάλειας πληροφοριών και θα γίνουν αναλόγως οι προσαρμογές.

Η θέσπιση κατάλληλων μετρητών ασφαλείας είναι συχνά πολύ πιο πολύπλοκη από αυτή που αρχικά θα μπορούσε να υποθέσει, καθώς ο καθορισμός της "επιτυχημένης απόδοσης" όταν πρόκειται για την ασφάλεια των πληροφοριών δεν είναι απλό θέμα.

Διαχείριση του ανθρώπινου κινδύνου στην ασφάλεια του κυβερνοχώρου

Η CISO είναι υπεύθυνη και για την αντιμετώπιση διαφόρων κινδύνων για τον άνθρωπο. Έλεγχος των εργαζομένων πριν από την πρόσληψη τους, καθορισμός ρόλων και ευθυνών, κατάρτιση υπαλλήλων, παροχή κατάλληλων οδηγών για τους εργαζόμενους και οδηγούς υπαλλήλων, παροχή προσομοιώσεων και ανατροφοδοτήσεων για την ασφάλεια πληροφοριών, δημιουργία προγραμμάτων παροχής κινήτρων και ούτω καθεξής, συμμετοχή των οργανώσεων της CISO .

Πληροφόρηση και έλεγχος στοιχείων ενεργητικού

Αυτή η λειτουργία της CISO περιλαμβάνει την απογραφή των πληροφοριακών στοιχείων, την κατάρτιση κατάλληλου συστήματος ταξινόμησης, την ταξινόμηση των περιουσιακών στοιχείων και στη συνέχεια την επιλογή των τύπων ελέγχων (σε επιχειρησιακό επίπεδο) για την ασφαλή διασφάλιση των διαφόρων κατηγοριών και περιουσιακών στοιχείων. Ο έλεγχος και η λογοδοσία πρέπει να περιλαμβάνονται και στους ελέγχους.

Ασφάλεια

Οι λειτουργίες ασφαλείας σημαίνουν ακριβώς αυτό που ακούγεται. Είναι η επιχειρησιακή λειτουργία που περιλαμβάνει την διαχείριση σε πραγματικό χρόνο της ασφάλειας του κυβερνοχώρου, συμπεριλαμβανομένης της ανάλυσης των απειλών, της παρακολούθησης των τεχνολογικών περιουσιακών στοιχείων μιας επιχείρησης (συστήματα, δίκτυα, βάσεις δεδομένων κ.ο.κ.) και αντιμέτρων ασφάλειας της πληροφορίας, εσωτερικά ή εξωτερικά, για οτιδήποτε μπορεί να είναι άδικο.

Το επιχειρησιακό προσωπικό είναι επίσης οι άνθρωποι που απαντούν αρχικά αν διαπιστώσουν ότι κάτι μπορεί να πάει στραβά.

Στρατηγική ασφάλειας πληροφοριών

Αυτός ο ρόλος περιλαμβάνει την επινόηση της στρατηγικής ασφάλειας της επιχείρησης για το μέλλον, για να διατηρήσει την επιχείρηση ασφαλή καθώς κατευθύνεται στο μέλλον. Προληπτικός προγραμματισμός και δράση είναι πολύ πιο παρήγορο για τους μετόχους από το να αντιδράσουν στις επιθέσεις.

Διαχείριση ταυτότητας και πρόσβασης

Ο ρόλος αυτός αφορά τον έλεγχο της πρόσβασης σε πληροφοριακά στοιχεία βάσει επιχειρηματικών απαιτήσεων και περιλαμβάνει τη διαχείριση ταυτότητας, την πιστοποίηση ταυτότητας, την εξουσιοδότηση και τη σχετική παρακολούθηση. Περιλαμβάνει όλες τις πτυχές των πολιτικών και τεχνολογιών διαχείρισης κωδικού πρόσβασης της εταιρείας, οποιωνδήποτε πολιτικών και συστημάτων ελέγχου ταυτότητας πολλών παραγόντων και οποιωνδήποτε συστημάτων καταλόγων που αποθηκεύουν λίστες ατόμων και ομάδων και των αδειών τους.

Οι ομάδες διαχείρισης ταυτότητας και πρόσβασης της CISO είναι υπεύθυνες για να παρέχουν στους εργαζομένους πρόσβαση στα συστήματα που απαιτούνται για την εκτέλεση των θέσεων εργασίας των εργαζομένων και να ανακαλούν κάθε τέτοια πρόσβαση όταν ο εργαζόμενος αποχωρεί. Παρομοίως, διαχειρίζονται την πρόσβαση συνεργατών και κάθε άλλη εξωτερική πρόσβαση.

Οι μεγάλες εταιρείες σχεδόν πάντοτε χρησιμοποιούν τυπικά συστήματα τύπου υπηρεσιών καταλόγου - για παράδειγμα, η υπηρεσία Active Directory είναι αρκετά δημοφιλής.

Ασφάλεια στον κυβερνοχώρο και απώλεια δεδομένων

Η πρόληψη της απώλειας δεδομένων περιλαμβάνει πολιτικές, διαδικασίες και τεχνολογίες που εμποδίζουν τη διαρροή ιδιόκτητων πληροφοριών.

Οι διαρροές μπορούν να συμβούν κατά λάθος - για παράδειγμα, ένας χρήστης μπορεί να επισυνάψει κατά λάθος ένα λάθος έγγραφο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου πριν από την αποστολή του μηνύματος - ή μέσω κακίας (π.χ. ένας δυσαρεστημένος υπάλληλος κλέβει πολύτιμη πνευματική ιδιοκτησία αντιγράφοντάς τον σε μια μονάδα USB και πριν από την παραίτηση).

Τα τελευταία χρόνια, ορισμένες λειτουργίες διαχείρισης κοινωνικών μέσων έχουν μεταφερθεί στην ομάδα πρόληψης απώλειας δεδομένων. Εξάλλου, η υπερπήδηση στα κοινωνικά μέσα ενημέρωσης περιλαμβάνει συχνά την de facto ανταλλαγή από τους υπαλλήλους των πληροφοριών που οι επιχειρήσεις δεν θέλουν να βγουν σε δημόσια προσβάσιμα κοινωνικά δίκτυα.

Πρόληψη της απάτης

Ορισμένες μορφές πρόληψης της απάτης συχνά εμπίπτουν στον τομέα της CISO. Για παράδειγμα, εάν μια εταιρεία εκμεταλλεύεται ιστότοπους που απευθύνονται σε καταναλωτές που πωλούν προϊόντα, αποτελεί συχνά μέρος της ευθύνης της CISO για την ελαχιστοποίηση του αριθμού των δόλιων συναλλαγών που πραγματοποιούνται στους ιστότοπους.

Ακόμη και όταν η ευθύνη αυτή δεν εμπίπτει στην αρμοδιότητα της CISO, η CISO ενδέχεται να συμμετάσχει στη διαδικασία, καθώς τα συστήματα καταπολέμησης της απάτης και τα συστήματα ασφάλειας πληροφοριών συχνά επωφελούνται αμοιβαία από την ανταλλαγή πληροφοριών σχετικά με ύποπτους χρήστες.

Εκτός από την αντιμετώπιση της καταπολέμησης δόλιων συναλλαγών, η CISO μπορεί να είναι υπεύθυνη για την εφαρμογή τεχνολογιών για να αποτρέψει τους αδίστακτους εργαζόμενους από το να κλέβουν χρήματα από την εταιρεία μέσω ενός ή περισσοτέρων από τους πολλούς τύπους προγραμμάτων - με το CISO να επικεντρώνεται κυρίως σε μέσα που αφορούν υπολογιστές.

Σχέδιο αντιμετώπισης περιστατικών στον κυβερνοχώρο

Η CISO είναι υπεύθυνη για την ανάπτυξη και τη διατήρηση του σχεδίου αντιμετώπισης περιστατικών της εταιρείας. Το σχέδιο θα πρέπει να περιγράφει λεπτομερώς ποιος μιλάει στα μέσα μαζικής ενημέρωσης, ο οποίος καθαρίζει τα μηνύματα με τα μέσα ενημέρωσης, ο οποίος ενημερώνει το κοινό, ο οποίος ενημερώνει τους ρυθμιστές, που συμβουλεύεται την επιβολή του νόμου κ.ο.κ.

Θα πρέπει επίσης να αναφέρει λεπτομερώς τις ταυτότητες (που καθορίζονται από την περιγραφή θέσεων εργασίας) και τους ρόλους όλων των άλλων υπευθύνων για τη λήψη αποφάσεων στο πλαίσιο της διαδικασίας αντίδρασης σε περιστατικά στον κυβερνοχώρο.

Ανάκτηση καταστροφών και προγραμματισμός συνέχειας της επιχείρησης

Αυτή η λειτουργία περιλαμβάνει τη διαχείριση των διακοπών των κανονικών λειτουργιών μέσω του προγραμματισμού έκτακτης ανάγκης και τη δοκιμή όλων αυτών των σχεδίων.

Ενώ οι μεγάλες επιχειρήσεις έχουν συχνά μια ξεχωριστή ομάδα DR και BCP, η CISO παίζει σχεδόν πάντα σημαντικό ρόλο σε αυτές τις λειτουργίες - αν δεν τις κατέχει εξ ολοκλήρου - για πολλούς λόγους:

  • Η διατήρηση των συστημάτων και των δεδομένων αποτελεί μέρος της ευθύνης της CISO. Ως εκ τούτου, υπάρχει μικρή διαφορά από την πρακτική προοπτική εάν ένα σύστημα πέσει κάτω επειδή ένα σχέδιο DR και BC είναι αναποτελεσματικό ή επειδή μια επίθεση DDoS χτυπήσει - αν τα συστήματα και τα δεδομένα δεν είναι διαθέσιμα, είναι το πρόβλημα της CISO. Οι CISOs πρέπει να διασφαλίσουν ότι τα σχέδια BCP και DR προβλέπουν ανάκτηση με τέτοιο τρόπο ώστε να διασφαλίζεται η ασφάλεια. Αυτό ισχύει ιδιαίτερα επειδή είναι συχνά προφανές από τις μεγάλες ειδήσεις των μέσων μαζικής ενημέρωσης όταν μεγάλες εταιρείες μπορεί να χρειαστεί να ενεργοποιήσουν τα σχέδιά τους συνέχειας και οι χάκερ γνωρίζουν ότι οι εταιρείες που βρίσκονται σε κατάσταση αποκατάστασης αποτελούν ιδανικούς στόχους.

Συμμόρφωση συμμόρφωσης με τον κυβερνοχώρο

Η CISO είναι υπεύθυνη να διασφαλίσει ότι η εταιρεία συμμορφώνεται με όλες τις νομικές και κανονιστικές απαιτήσεις, τις συμβατικές υποχρεώσεις και τις βέλτιστες πρακτικές που έχει αποδεχθεί η εταιρεία ως προς την ασφάλεια των πληροφοριών. Φυσικά, οι εμπειρογνώμονες συμμόρφωσης και οι δικηγόροι μπορούν να συμβουλεύουν την CISO σχετικά με τέτοια θέματα στον τομέα της ασφάλειας στον κυβερνοχώρο, αλλά, τελικά, είναι ευθύνη της CISO να διασφαλίσει ότι πληρούνται όλες οι απαιτήσεις.

Διερεύνηση περιστατικών στον κυβερνοχώρο

Εάν (και πότε) συμβαίνει ένα περιστατικό ασφάλειας της πληροφορίας, οι λαοί που εργάζονται για την CISO υπό την ιδιότητα αυτή διερευνούν τι συνέβη. Σε πολλές περιπτώσεις, θα είναι οι άνθρωποι που συντονίζουν τις έρευνες με υπηρεσίες επιβολής του νόμου, συμβουλευτικές εταιρείες, ρυθμιστικές αρχές ή εταιρείες ασφάλειας τρίτων. Αυτές οι ομάδες πρέπει να είναι ειδικευμένες στην εγκληματολογία και στη διατήρηση αποδεικτικών στοιχείων.

Δεν είναι πολύ καλό να γνωρίζουμε ότι κάποιοι απατεώνες έκλεψαν χρήματα ή στοιχεία αν, ως αποτέλεσμα κακής χρήσης ψηφιακών στοιχείων, δεν μπορείτε να αποδείξετε σε ένα δικαστήριο ότι αυτό συμβαίνει.

Σωματική ασφάλεια

Η διασφάλιση ότι τα εταιρικά πληροφοριακά στοιχεία είναι φυσικά ασφαλή είναι μέρος της εργασίας της CISO. Αυτό περιλαμβάνει όχι μόνο συστήματα και εξοπλισμό δικτύωσης, αλλά μεταφορά και αποθήκευση αντιγράφων ασφαλείας, διάθεση παροπλισμένων υπολογιστών κ.ο.κ.

Σε μερικούς οργανισμούς, η CISO είναι επίσης υπεύθυνη για τη φυσική ασφάλεια των κτιρίων τεχνολογίας στέγασης και για τους ανθρώπους μέσα τους. Ανεξάρτητα από το αν αυτό συμβαίνει, η CISO είναι πάντοτε υπεύθυνη για να συνεργαστεί με τους υπευθύνους για την εξασφάλιση της προστασίας των συστημάτων πληροφοριών και των αποθηκευτικών χώρων με κατάλληλα εξασφαλισμένες εγκαταστάσεις, παρέχοντας επαρκή περιμετρικά σημεία ασφαλείας και κατάλληλους ελέγχους πρόσβασης σε ευαίσθητες περιοχές, πρόσβαση.

Αρχιτεκτονική ασφαλείας

Η CISO και η ομάδα της / της είναι υπεύθυνες για το σχεδιασμό και την επίβλεψη της κατασκευής και της συντήρησης της αρχιτεκτονικής ασφάλειας της εταιρείας. Μερικές φορές, φυσικά, οι CISOs κληρονομούν κομμάτια της υποδομής, οπότε ο βαθμός στον οποίο μπορούν να σχεδιάσουν και να οικοδομήσουν μπορεί να διαφέρει.

Η CISO αποφασίζει πραγματικά τι, πού, πώς και γιατί χρησιμοποιούνται διάφορα αντίμετρα, πώς να σχεδιάσει τοπολογία δικτύου, DMZ και τμήματα κ.ο.κ.

Εξασφάλιση της ελεγξιμότητας των διαχειριστών συστημάτων

Είναι ευθύνη της CISO να διασφαλίζει ότι όλοι οι διαχειριστές συστημάτων έχουν καταγράψει τις ενέργειές τους κατά τέτοιο τρόπο ώστε οι πράξεις τους να ελέγχονται και να αποδίδονται στα μέρη που τα έλαβαν.

Υποχρέωση συμμόρφωσης με την ασφάλεια του κυβερνοχώρου

Οι περισσότερες μεγάλες εταιρείες έχουν ασφάλεια ασφάλισης στον κυβερνοχώρο. Είναι έργο της CISO να βεβαιωθεί ότι η εταιρεία πληροί όλες τις απαιτήσεις ασφάλειας για κάλυψη βάσει των ισχυουσών πολιτικών, έτσι ώστε αν κάτι να πάει άστοχο και να γίνει αξίωση, η επιχείρηση θα καλυφθεί.

Ενώ ο ρόλος της CISO μπορεί να καλύψει πολλές από αυτές τις ευθύνες, η λειτουργία συνεχώς εξελίσσεται και μπορεί να αναλάβει νέες υποχρεώσεις.


Διαχείριση Δικτύου: Πρόσβαση και Δικαιώματα Χρήστη