TAGS
¿Existe un plan de respuesta a incidentes actual? Si es así, ¿cuándo fue la última actualización del plan? Que preparó el plan? Que aprobó el plan? ¿Cuál es el enfoque general y cuáles son los principios generales del plan? La empresa ha jamás ejecutar cualquier ejercicios de simulación o de la mesa para probar la eficacia y la eficiencia del plan? ¿Hay un diagrama de topología de la red actual y precisa que se documenta adecuadamente, y si es así, es que periódicamente re-evaluarse y revisarse en los sistemas internos y factores externos cambian?
la empresa ha evaluado adecuadamente la eficacia de su plan de continuidad de negocio en el contexto de un ataque cibernético? ¿Necesita ser reconsiderada y refrescado con estas consideraciones adicionales en cuenta el plan de continuidad del negocio?
En relación con esto, cuando una empresa pierde el personal de seguridad de TI de alto nivel clave, no sólo es una señal de alerta, pero también una oportunidad para un tablero para examinar los planes de sucesión y para obtener un imparcial, aunque posiblemente contrariedad, habida cuenta de las fallas de seguridad cibernética. El arte y el beneficio de la entrevista de salida se pierde en lo que muchas empresas hoy en día, muy a menudo porque los empleados que salen son descartadas como resentido y poco fiable. En el caso de un ejecutivo de TI de renunciar, una entrevista de salida adecuada puede revelar debilidades de seguridad cibernética críticos.
¿Hay amenazas o riesgos conocidos que están contribuyendo a la decisión de abandonar? Es la salida de un potencial "bandera roja"? Quién está en mejor posición para asumir (incluso en forma provisional) las responsabilidades de seguridad de TI del día a día? ¿Hay un plan de sucesión? ¿Qué medidas se han establecido para reducir la rotación y retener el talento?
¿Qué medidas se comprometen a la compañía en el campo de la ciencia de seguridad para mantenerse al día sobre las últimas ciberseguridad intrusión modus operandi, parches de software relacionados con la seguridad cibernética, las tendencias de violación de datos, etc.? ¿La empresa tiene cualquier problema de cumplimiento de PCI y si es así, ¿cómo se abordan las preocupaciones de las ICP?
En todo el mundo, las empresas están descubriendo que las violaciones de datos se han vuelto tan comunes como un resfriado, pero mucho más costosas de tratar. Con la excepción de Alemania, las empresas tuvieron que gastar más en sus investigaciones, la notificación y la respuesta cuando su información sensible y confidencial se pierde o es robado. . . . el costo promedio de una empresa fue de $ 3,5 millones en dólares estadounidenses y el 15 por ciento más de lo que cuesta [en 2013].
¿Cómo funciona el presupuesto de seguridad cibernética? ¿Cómo se identifican y financiados artículos de emergencia? ¿El presupuesto de proporcionar adecuadamente para contingencias en caso de un ataque cibernético o necesidad de seguridad cibernética?
¿Con qué frecuencia y cuán efectivos son los programas de formación de seguridad cibernética de las empresas? ¿Quién participa en la formación y cómo manejar la empresa violaciónes de política, especialmente violaciónes por los ejecutivos de alto nivel, que han demostrado los estudios suelen ser los menos compatible con las políticas de seguridad cibernética?
¿Cómo será la empresa frente a los grupos que compiten? Por un lado, hay el FBI, el Servicio Secreto y otras agencias de seguridad que quieren ayudar a encontrar a los intrusos, y por otro lado, están los miles de abogados agencias reguladoras del estado general y otros que será la emisión de solicitudes y respuestas exigentes por la seguridad de la información de identificación personal de sus respectivas ciudadanías? la empresa ha considerado las normas, prácticas y procedimientos que rigen el intercambio de inteligencia con agencias gubernamentales?
Pero la cuestión de cómo diseñar una póliza de seguro cibernético autónomo es difícil. Los retos actuariales de predicción / medir tanto la probabilidad y el impacto de un ataque cibernético pueden, a su vez, hacer que sea difícil para que coincida con una póliza de seguro cibernético con los perfiles de riesgo de las compañías globales únicas y tecnológicamente sofisticados de hoy en día; estas son las dificultades que enfrentan no sólo por los analistas de seguros, sino también incluso por los equipos ejecutivos más experimentados. daños de ataque cibernético son tan multifacético y único - mucho más que un incendio, inundación, la salud y otros escenarios y modelos de seguros más tradicionales - que no hay una distribución normal de ataque cibernético resultados sobre la que basar las probabilidades de efectos futuros. Como resultado, ahora hay una increíble variedad de productos de seguro cibernético en el mercado, cada uno con sus propios términos asegurador-elaborado y condiciones, que pueden variar drásticamente de la aseguradora a la aseguradora - algunos eficaz e integral y otros repleta delagunas, exclusiones y otras características preocupantes.
Incluso el Departamento de Seguridad Nacional de EE.UU. ha reconocido oficialmente que el mercado de seguros cibernético sigue siendo confuso para la mayoría de las empresas y puede ser pasado por alto por todas las razones equivocadas:
seguro de la seguridad cibernética está diseñado para mitigar las pérdidas de una variedad de incidentes cibernéticos, incluyendo las violaciones de datos, interrupción del negocio, y el daño a la red. Un mercado de seguros de la seguridad cibernética robusta podría ayudar a reducir el número de ataques cibernéticos exitosos por: (1) promover la adopción de medidas preventivas, a cambio de una mayor cobertura; y (2) fomentar la aplicación de las mejores prácticas al basar las primas en un nivel del asegurado de autoprotección. Muchas empresas renuncian a las políticas disponibles, sin embargo, citando como razones fundamentales el alto costo percibido de dichas políticas, confusión acerca de lo que cubren, y la incertidumbre de que sus organizaciones van a sufrir un ataque cibernético.
Para empeorar las cosas, en contraposición a los desastres como incendios, inundaciones, tornados, etc., las empresas de hoy en día que experimentan un ataque cibernético no debe esperar ninguna ayuda o incluso la compasión del gobierno. De hecho, las empresas deben esperar todo lo contrario, por varias razones: 1) el gobierno de EE.UU. está abrumado con la protección de la propia infraestructura de la nación y no tiene un equipo SWAT, o un equipo de rescate de pie por ayudar a las empresas de Estados Unidos después de un ataque cibernético; 2) teniendo en cuenta los regímenes de cuarenta y siete años más o menos separada de privacidad estado estatutarias y una gama cada vez mayor de la jurisdicción agencia federal (cada uno manejando su propio conjunto único de normas, reglamentos, estatutos y herramientas de aplicación), en lugar de una mano de ayuda, las víctimas de ataque cibernético debe esperar citaciones, las acciones de aplicación y una avalancha de litigios; y 3) el (y el Congreso ') vista de las víctimas de ataque cibernético del público no se ha convertido rápidamente en una vista de la comprensión o la empatía, sino más bien una visión de la sospecha, el escepticismo e incluso la difamación.
Tradicionalmente, la compra de la cobertura del seguro comienza con una revisión de la política, un desglose de riesgos y una serie de otras analíticas relacionadas con el riesgo. Los directorios deben, sin embargo, asegúrese de que la dirección también considera un enfoque diferente hacia ese cálculo.
miembros de la junta deben preguntar si sus ejecutivos de alto nivel han examinado la posibilidad de ataques cibernéticos reales, analizar y examinar el flujo de trabajo típico respuesta ciberincidentes y los llamados "flujos de trabajo" que siguen la mayoría de los ataques cibernéticos. Mediante el análisis y volver a los aspectos económicos de las realidades y estas líneas de trabajo, una empresa puede colaborar con sus representantes de ventas de seguros y los originadores para asignar el riesgo de forma responsable y determinar, antes de que ocurra cualquier ataque cibernético, que Workstream costes activarán la cobertura; el cual Workstream costos serán fuera de la cobertura; y el que Workstream costes podrían ser asegurables.
También es crucial que los consejos de administración llevan a cabo la debida diligencia necesaria para estar seguros de que la compañía de seguros cibernético utiliza su compañía tiene un buen pago de reclamaciones y gestión de siniestros historia y tiene un historial probado de respuesta rápida y de apoyo. Cuando se produce un ataque cibernético, demasiado a menudo existen dudas en cuanto a la cobertura, que pueden afectar la respuesta a incidentes.
Cualquiera que sea el tipo de seguro en manos de una empresa, una demanda de seguro, sin duda, seguir, y los ajustadores de seguros va a examinar todas las facturas relativas a los flujos de trabajo enumerados en este artículo y requerirá sesiones de información y documentación relativa a todos los esfuerzos de investigación. Para máxima objetividad, credibilidad y capacidad defensiva, en lugar de la propia empresa, la firma digital de forense independiente que investiga la violación, bajo la dirección de un abogado, debe conducir ningún sesiones de información con las compañías de seguros.
Como acotación al margen, los consejos de administración deben asegurarse de que, durante cualquier tipo de respuesta violación de datos, un profesional en el equipo de respuesta a incidentes, preferentemente un abogado, mantendrá documentación cuidadosamente escrito de todos los esfuerzos de la respuesta. Esto ayudará más adelante, cuando la recolección de la "paquete de documentación" para presentar a un ajustador de seguros curiosos, al solicitar el reembolso del seguro por el costo de la infracción.
La externalización de servicios (tales como TI, nóminas, contabilidad, pensiones y otros servicios financieros), que por lo general implican la transferencia de, o permitir el acceso a la información de identificación personal de una compañía a su proveedor, se ha convertido cada vez más común para las empresas de hoy en día.
Sin embargo, la ingeniería inversa de malware es costoso, con precios por hora más afines al lugar de los especialistas en tecnología de la información de una empresa de pareja de hecho. Incluso encontrar un especialista con conocimientos de ingeniería de software malicioso inversa puede convertirse rápidamente en un desafío - instituciones educativas están sólo comenzando a graduarse individuos con habilidades de malware y los especialistas más malware son autodidactas o están dentro de las empresas forenses digitales "de cosecha propia". Por lo tanto, las juntas deben tener en cuenta que sin una competente firma de análisis forense digital, dotada con los examinadores forenses digitales que están especializados en el malware de ingeniería inversa, sus directivos pueden llegar a sentirse como un dueño de una casa con un sótano rápidamente inundando - aún sin plomero para ayudar a encontrar la fuga y taparla.
Casi todo el flujo de trabajo de respuesta a incidentes de navegación requiere legal cuidado porque, entre otras cosas, las ramificaciones legales de cualquier fallo puede ser calamitoso o incluso mortal para cualquier empresa pública o privada. Claramente, el abogado o asesoría externa en el interior deben conducir el flujo de trabajo de investigación, quarterbacking la investigación y remediación de la alta dirección y compartir con la alta dirección la responsabilidad última de las decisiones clave. Al igual que cualquier otra investigación independiente y exhaustiva, la labor relativa a un ataque cibernético implicará un equipo de abogados con diferentes conjuntos de habilidades y conocimientos especializados (por ejemplo, regulador; respuesta de violación de datos;; ediscovery privacidad, la defensa de cuello blanco; litigios; policiales de enlace; Y la lista continúa).
Además de las investigaciones gubernamentales y litigios, la lista de las responsabilidades civiles después de un ataque cibernético es casi interminable, incluyendo demandas de accionistas para los fallos de seguridad cibernética; descensos en una empresa de precio de las acciones; y la negligencia de gestión. También puede haber impulsado demandas de los clientes de consumo / acción de clase contra las empresas sean víctimas de ataques cibernéticos, basado en la falta de adherirse a la seguridad cibernética "mejores prácticas".
Aún más importante, con respecto a las investigaciones de ataque cibernético, el privilegio abogado-cliente podría decirse que aplicar al producto del trabajo de los investigadores forenses digitales contratados por los abogados externos. La protección de las comunicaciones con el privilegio abogado-cliente no se hace nada para ocultar la información. Por el contrario, el privilegio ayuda a proteger contra la información inexacta que se publique de forma incontrolada y permite una contemplación más cuidado y preparación para casos de litigio o de Gobierno de investigación / procesamiento, dos escenarios cada vez más probable que ocurra.
Los miembros del Consejo deben consultar gestión y asegurar que dentro de la legión de bufetes de abogados en su lista de contactos, un bufete de abogados con experiencia en seguridad cibernética es también sobre la marcación rápida.
Después de una violación de datos, además de los sistemas de los usuarios (como ordenadores portátiles y de escritorio), servidores, etc., los registros de otros sistemas, como los firewalls y sistemas de detección de intrusos serán también requieren análisis. Exactamente lo que se dispone en relación con un ataque cibernético registros depende de las políticas de seguridad cibernética general de la empresa y prácticas. la retención de registro puede variar dramáticamente entre las empresas - y algunas empresas no pueden tener cualquier sistema de gestión de registros que agrega la información de registro, lo que significa que su información de registro se dispersa y desorganizada. Además, algunas empresas sólo pueden conservar los registros por un período corto, como de treinta días, antes de "rodar sobre ellos" y por lo tanto la eliminación de los registros de forma permanente.
La información de registro puede incluir registros relacionados con eventos que ocurren con los cortafuegos, sistemas operativos, aplicaciones, software antivirus, LANDesk, servidores web, servidores proxy web, VPN, auditores cambio, DHCPS y una amplia gama de otros archivos de auditoría.
La mayoría de los sistemas operativos libres y comerciales, servicios de red y tecnologías de firewall ofrecen registro de capacidades y pueden contener un tesoro de pruebas pertinentes que requieran análisis de investigación y recursos (como una tarjeta SIM / SEM), así como los recursos humanos en forma de forense digital especialmente cualificado examinadores.
La información de registro puede ser de uso crítico durante una respuesta ataque cibernético, y es demasiado a menudo da a la gestión de algo como una prioridad; por lo tanto, las juntas deben pedir a la administración, al menos, un par de preguntas en cuanto a sus prácticas y procedimientos de conexión.
Estas duras realidades, junto con la serie de gran escala y titulares, los ataques cibernéticos experimentados en el último año (y que la mayoría de los expertos creen que este es sólo el comienzo de una nueva era en la defensa cibernética), significa que los miembros de los consejos de administración se convertirán mucho participar más activamente en asegurar las organizaciones que supervisan están abordando de manera adecuada la seguridad cibernética. Para las empresas, este es el amanecer de una nueva era de la violación de los datos y la respuesta a incidentes, donde tratando de evitar un ataque cibernético es como tratar de evitar que un estudiante de kindergarten de contraer un resfriado durante el año escolar.
Anteriormente considerado como el problema del director de TI, la seguridad cibernética ha evolucionado rápidamente en un número de la placa y la responsabilidad, que la placa tiene un deber fiduciario para entender y supervisar. En las consecuencias de un ataque cibernético corporativa, las juntas y las empresas para las que gobiernan son sometidos a escrutinio público inmediato y, en muchos casos, las críticas injustificadas. Esta nueva ciberrealidad ha eliminado la distinción entre esencia miembro del directorio y ejecutivo de TI.
Pero el compromiso de ciberseguridad para los miembros del consejo de administración no significa que los miembros deben obtener titulaciones universitarias de informática o personalmente supervisar despliegues de aplicación y del sistema de detección de intrusos firewall. Los consejos de administración pueden llevar a cabo la supervisión de la seguridad cibernética de dos maneras. En primer lugar, mediante el uso de las preocupaciones señaladas en este artículo para involucrado activamente en asegurar las organizaciones que supervisan están abordando de manera adecuada la seguridad cibernética. En segundo lugar, y lo más importante, por abordar el tema de la misma manera que un comité de auditoría sondea los estados e informes financieros de una empresa: con una investigación vigorosa, escéptico, inteligente y metódico.
* John Reed Stark es Presidente de John Reed Stark Consulting LLC, una respuesta a incidentes de violación de los datos y la firma digital de cumplimiento. El Sr. Stark ha dirigido proyectos de seguridad cibernética y las investigaciones de respuesta a incidentes durante dos décadas, incluyendo 11 años como fundador y director de la Oficina de Internet de Cumplimiento de la SEC. También se desempeñó durante 15 años como Profesor Adjunto de la Facultad de Derecho de la Universidad de Georgetown enseñanza de un curso de derecho y la tecnología. David R. Fontaine es vicepresidente ejecutivo, Jefe Legal y Oficial Administrativo y Secretario Corporativo de Altegrity, una compañía privada que, entre otras entidades posee servicios de respuesta de violación de datos de Kroll.
Grupos que pueden requerir notificación, sesiones de información, y otra información incluyen a los clientes, socios, empleados, afiliados, compañías de seguros y una serie de otras partes interesadas.
Economist Intelligence Unit Informe, "La reputación de Riesgos: Riesgo de Riesgos", disponible en.
Los accionistas no son los únicos grupos que esperan los consejos de administración para supervisar las cuestiones de seguridad cibernética; el gobierno federal toma una postura similar. Por ejemplo, Andrew Ozment, secretario adjunto de la Oficina de Seguridad Cibernética y Comunicaciones en el DHS, dijo recientemente DHS hizo suyos los principios enunciados en la "Guía de Administración de NACD de Supervisión Cyber-Riesgo", publicado por la Asociación Nacional de Directores Corporativos, que cuenta con más de 14.000 miembros que son directores de organizaciones públicas, privadas y sin fines de lucro. El DHS incluirá el manual de la NACD en el sitio web EE.UU. CERT como fuente de información para las empresas. En cualquier organización, el consejo de administración está allí para supervisar su dirección general, incluyendo lo bien que la alta dirección se está realizando. "Seguridad Nacional quiere junta directiva corporativa más involucrados en la seguridad cibernética," por Ellen Messmer, NetworkWorld.com (29 de julio de 2014), disponible en
Como han señalado los expertos de seguridad cibernética, "Hay un dicho en la industria de la seguridad cibernética que hay dos tipos de empresas de hoy:. Aquellos que han sido incumplidas y conocerla y aquellas que han sido objeto de infracción y simplemente no lo saben" "¿Qué sigue para Seguros cibernético? "Por Andrea Wells, Seguros Diario (21 de abril de 2014) disponible en.
"Más CISO necesarios para Batalla de seguridad cibernética Amenazas en 2015", de Clint Boulton, Wall Street Journal (18 de diciembre de 2014) disponible en.
Por supuesto, la necesidad de actualizar el software cuando un parche se emitió para hacer frente a los fallos de seguridad de software expuestos parece tan básico como la necesidad de sacar la basura al final del día - y no puede, a primera vista, parecería digno de supervisión de la junta específica . Sin embargo, muchas violaciones de seguridad se siguen produciendo porque el software no se ha actualizado en el momento oportuno. En otras palabras, las versiones de software con vulnerabilidades de seguridad conocidas se siguen utilizando a pesar de su riesgo. Los procedimientos básicos para actualizar el software con los parches que ofrecen la protección más reciente son una necesidad y expectativa básica de todos los agentes de la empresa - por lo que vale la pena, al menos, el sondeo de gestión sobre sus prácticas de parches de software.
Cuando un objetivos de ataque cibernético transmiten por vía electrónica, la información recopilada o almacenada tarjetas de pago, llamado PCI DSS ( "PCI-DSS") el cumplimiento es a menudo uno de los primeros aspectos investigados. La Tarjeta de Pago Industria Security Standards Council es la organización internacional fundada por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. en 2006, que desarrolla y gestiona determinados estándares de la industria de tarjetas de crédito, incluido el PCI-DSS. PCI-DSS es un conjunto de requisitos creados para ayudar a proteger la seguridad de las transacciones con tarjetas de pago electrónicos que incluyen información de identificación personal de los titulares de tarjetas, y operar como un estándar de la industria para la seguridad de las organizaciones que utilizan la información de tarjetas de crédito. PCI-DSS se aplican a todas las organizaciones que mantienen, proceso o pasan la información de tarjeta de crédito titular e impone requisitos a esas entidades de gestión de seguridad, políticas, procedimientos, arquitectura de red, softwarediseño y otras medidas críticas que ayudan a proteger los datos de crédito del cliente y la cuenta de tarjeta de débito. Si un ataque cibernético contra una compañía de tarjetas de crédito implica u otros modos de pago similares y desencadena el cumplimiento de PCI-DSS, el flujo de trabajo que implica la PCI-DSS puede ser extremadamente costoso, engorroso y poco ágil. Por ejemplo, los comerciantes son responsables de todos los costos asociados con las modificaciones del sistema necesarios para lograr el cumplimiento de PCI-DSS y las marcas de tarjetas podrá aplicar multas y sanciones significativas a los comerciantes que no están en cumplimiento con PCI-DSS. Tales sanciones y multas impuestas por separado por cada asociación de tarjetas, pueden incluir:
"Ponemon Institute presenta la versión 2014 Costo de violación de datos: Análisis Global", disponible en.
Un "borrado de archivos recuperables" es un archivo que normalmente se recupera fácilmente con el software forense, tal como un documento de Microsoft Word, PowerPoint, archivos PDF, u otros datos, donde, tal vez sin el conocimiento del usuario, todavía existe un registro del archivo para que los datos dentro del sistema de archivos.
El espacio no asignado y el archivo de holgura de escritorio o computadoras personales portátiles suelen proporcionar pistas importantes para los examinadores forenses digitales. He aquí por qué: Los archivos guardados en el disco duro de un ordenador se describen típicamente como residente en '' espacio asignado '', es decir, el espacio en el disco duro asignado por el sistema de archivos. Cuando un usuario elimina estos llamados '' archivos activos, '' los archivos por lo general no desaparecen de la unidad de disco duro. Por el contrario, el sistema operativo ya no asigna o guarda que el espacio en disco duro para el archivo y simplemente designa esa zona del disco duro como espacio no asignado (es decir, sin usar). Los datos realmente permanecen todavía el sistema de archivos simplemente marca la parte de la unidad como utilizable para otros archivos. Dentro de un espacio no asignado, un médico forense digital puede generalmente extraer artefactos de archivo, como archivos borrados, archivos temporales (que se crea cuando un usuario abre un archivo), fragmentos de archivos, borrar el historial de Internet y otros, aunque de manera desorganizada, pero legibles, bits de datos. De hecho, la evidenciaobtenida desde el espacio no asignado se ha vuelto tan importante en el contexto de un litigio que el uso de un "programa que limpia '' 'para render irrecuperable los artefactos del espacio no asignado pueden incluso dibujar una sanción descubrimiento de un juez. Ver también TR Investors LLC v. Genger, Nº 3994-VCS (Del. Ch 9. De diciembre, 2009) (encontrando demandada Arie Genger en desacato al tribunal para '' limpiar '' la '' espacio no asignado '' del disco duro de su equipo de trabajo y el servidor de archivos en la cara de un orden que le prohíbe a '' la manipulación, destrucción o eliminación de cualquier forma de los documentos relacionados con la compañía, libros-registros o ''). Este enfoque se aplica de manera similar a los llamados '' el espacio de holgura '' (la parte de un clúster no utilizada por un archivo activo), que también puede contener información similar.
Un sector de arranque es un pequeño pedazo de disco duro o dispositivo de almacenamiento externo espacio y el primer archivo de un sistema básico de entrada / salida ( "BIOS") se carga cuando un ordenador está encendido. Hay dos tipos principales de los sectores: el registro de inicio maestro ( "MBR") y Volume Boot Record ( "VBR"). El sector de arranque puede contener virus informáticos, que son más comúnmente se propagan usando medios físicos. Una unidad de disco o disquete USB infectada conectado a un ordenador transferirá cuando se lee VBR de la unidad, a continuación, modificar o sustituir el código de arranque existente. La próxima vez que un usuario intenta arrancar su escritorio, el virus se carga y se ejecuta inmediatamente como parte del registro de inicio maestro. También es posible que los archivos adjuntos de correo electrónico para contener código del virus de arranque. Tras la apertura de estos archivos adjuntos infectan el ordenador central y pueden contener instrucciones para enviar más lotes de correo electrónico a la lista de contactos de un usuario. Las mejoras en la arquitectura del BIOS han reducido la propagación del virus de arranque. Kaspersky Lab, "¿Qué es un virus de sector de arranque", disponiblea .
La protección de información de identificación personal relativos a las personas contra el robo de identidad se ha convertido en un foco importante de las agencias estatales y federales de Estados Unidos, y de nuevas leyes y reglamentos estatales y federales. En los EE.UU., las leyes y regulaciones varían de estado a estado, y entre la ley estatal y federal, en cuanto a exactamente qué tipo de información comprende información de identificación personal. Generalmente, la definición requiere tanto un nombre y algún elemento adicional de información que podría ser utilizado para robar la identidad de una persona o acceder a sus cuentas financieras (o, en algunos casos, la información de la salud) sin autorización. nótese bien que para efectos de este artículo, se refieren en general a la información protegida de un individuo como PII, a pesar de que algunas leyes estatales o federales pueden utilizar una nomenclatura o categorizaciones diferente. Ver infra "Workstream: Notificaciones individuales / servicios de supervisión."
La investigación ciberataque puede haber brotado de un cliente que se quejaron de que sus datos se utilizaron para un fraude; a partir de un informe en el que se encontró un sistema informático que se comunica con una dirección de Internet sin escrúpulos; desde el FBI, la Oficina de la Fuerza Aérea EE.UU. de Investigaciones Especiales (OSI ""); Servicio Secreto de Estados Unidos u otra agencia de aplicación de la ley notificar a una empresa de un posible ataque cibernético en sus sistemas; o un montón de otras fuentes. Bajo ninguna circunstancia, los investigadores primero analizar toda la información que la primera declaración y utilizar la evidencia preliminar para ayudar a identificar las ubicaciones probables de pruebas adicionales. Un investigador tendrá en cuenta todos los dispositivos informáticos como lugares posibilidades de dirigirse para su investigación. Estos dispositivos suelen incluyen: portátiles de la empresa y estaciones de trabajo; servidores de almacenamiento en red; cortafuegos; sistema de deteccion de intrusos; servidores web; bases de datos de clientes; y servidores de correo electrónico.
Véase, por ejemplo "Al cabo de seis años, vamos a estar bien en nuestra manera de que todos tengan un seguro cibernético tan sólo un conjunto básico de seguro, al igual que los seguros de propiedad," dijo Ari Schwartz, director de seguridad cibernética en el Consejo de Seguridad Nacional de la Casa Blanca, durante un 8 de septiembre, 2014 panel de discusión en la conferencia Nextgov Prime. "La cobertura de Cyber será una póliza de seguro básico para el año 2020," por Aliya Sternstein 8 de septiembre de 2014 disponible en; ( "Cyber Pérdida de ciberataques Seguros-atenuantes", de René L. Siemens, David L. Beck, Perspectivas de Pillsbury en el Seguro de Recuperación Newsletter (verano 2012) ( "El mercado está creciendo rápidamente para el seguro que está destinado específicamente para cubrir las pérdidas derivadas de ataques cibernéticos y otras violaciones a la privacidad y seguridad de datos. Estas pólizas de seguro se comercializan bajo nombres como "seguro cibernético responsabilidad '', seguro de violación de la privacidad" y "seguro de seguridad de la red." Muchas empresas y otras instituciones que manejan legalmente protegidos información ahoraver este tipo de seguro como parte esencial de sus programas de cobertura. ").
"Ponemon Institute presenta la versión 2014 Costo de violación de datos: Análisis Global", disponible en.
"La demanda de Ciber Seguros Se dispara," por Corey Bennett (15 de enero de 2015) a. Ver también "¿Por Cyber-seguro será la próxima gran cosa" de Mary Thompson (1 de julio de 2014) disponible en; "En caso de que su compañía de seguros Obtener ciberseguridad?" Will Yakowicz, (17 de diciembre de 2014) disponible en.
Basándose en una póliza de seguro de propiedad general para la cobertura ataque cibernético es arriesgado y directores no debe basarse en una política de responsabilidad general para cubrir una violación de datos, ya que muy probablemente no lo hará. Por ejemplo, en la violación de datos que implica Sony, según los informes, la violación expuso la información personal de decenas de millones de usuarios, y Zurich American indicó en documentos judiciales que, como resultado, Sony era el acusado en más de 50 demandas colectivas. Debido a que la política de Sony requiere el tomador (Sony) para perpetrar o cometer el acto de publicación de la información personal, el juez declaró: "El apartado E (oral o publicación escrita en cualquier clase de material que viole el derecho de una persona a la intimidad) requiere algún tipo de acción o conducta por el tomador para que la cobertura hasta la actualidad. "Esta decisión pone de relieve los peligros de depender de las políticas tradicionales de cobertura CGL para la cobertura potencial violación de datos. Véase, Zurich American Insurance Co. v. Sony Corp. deAmérica, et al (Tribunal Supremo, Estado de Nueva York 651982/2011) Pero véase Hartford Casualty Insurance Company v. Corcino & Associates et al, donde el Tribunal de Distrito del Distrito Central de California dictaminó que no hay cobertura bajo una política de GCL una violación de datos que involucra algunos registros hospitalarios de los pacientes 2,00. Véase, también, por ejemplo, la Protección de Servicios Generales, Inc. v. Los empleadores fuego Ins. Co., 114 Cal.App.4th 548, 556-57 (2003 Cal.App 4 Dist..); Sudeste de Salud Mental Center, Inc. v Pacific Insurance Company, LTD, 439 F.Supp.2d 831, 838-839 (2006 W. D. Tenn.).; America Online, Inc. v. St. Paul Mercurio Ins. Co., 347 F. 3d 89, 93-98 (4ª Cir.2003); Estado de la propiedad y Cas automático. Ins. Co. v. Midwest Computers & More, 147 F.Supp.2d 1113 (W.D.Okla. 2001). Tribunales llegar a una conclusión diferente lo han hecho, donde los datos se pierden de forma permanente a su propietario, no se accede simplemente de manera incorrecta. Ver Corner Computer, Inc. v. Del bombero Fondo Ins. Co., 46 P.3D 1264 (N.M. 2002) (sostiene que la pérdida de laelectrónico de datos preexistente era daños a la propiedad tangible cubierta por la política de CGL en tienda de reparación de equipo informático del cliente perdido permanentemente todos los datos); Guar americano. Y LIAB. Ins. Co. v. Ingram Micro, Inc., 2000 WL 726789, 2000 EE.UU. Dist. LEXIS 7299 (D. Ariz Apr. 18 de., 2000) (sosteniendo que los datos informáticos perdidos de forma permanente durante un corte de energía constituía una "pérdida física o daño por cualquier causa" cubierto por la póliza de seguro de primera parte); NMS Services Inc. v. Hartford, 62 Fed.Appx. 511 (4th Cir. 2003) (caracterizando el borrado de archivos informáticos y bases de datos vitales como la pérdida física o daño a la propiedad con fines de cobertura de ingresos de negocios).
"Muchos 'lagunas' en las Políticas de Cyber Seguros, L'Oreal CISO dice," por Clint Boulton, Wall Street Journal: Revista CIO (3 de octubre de 2014) disponible en; "Cyber Seguros: Merece la pena, pero ten cuidado de los exclusiones", por Taylor Armerding (20 de octubre de 2014) disponible en.
Testimonio de Robert Anderson, Jr., Subdirector Ejecutivo, Criminal, cibernético, respuesta y la Oficina de Servicios Oficina Federal de Investigaciones, declaración ante el Comité del Senado sobre Seguridad Nacional y Asuntos Gubernamentales, Washington, DC, 10 de Septiembre, 2014 a.
En concreto, cuarenta y siete estados, el Distrito de Columbia, Guam, Puerto Rico y las Islas Vírgenes han promulgado legislación que obliga a las entidades privadas o del gobierno para notificar a las personas de violaciones de la seguridad de la información relativa PII. leyes de notificación de violación de la seguridad en general también tienen disposiciones relativas que deben cumplir con la ley (por ejemplo, las empresas, los datos / agentes de información, entidades gubernamentales); las definiciones de información de identificación personal (por ejemplo, nombre combinado con SSN, licencia de conducir o tarjeta de identificación, números de cuenta, etc.); lo que constituye una violación (por ejemplo, la adquisición no autorizada de datos); requisitos para la notificación (por ejemplo, el calendario o método de notificación, que deberán ser notificadas); y las excepciones (por ejemplo, para obtener información encriptada). Véase, por ejemplo .
"Las deficiencias en el registro y análisis de seguridad pueden permitir a los atacantes para ocultar su ubicación, malware y actividades en los ordenadores cautivos. Incluso si las víctimas saben que sus sistemas han sido comprometidos, sin registros de explotación forestal protegida y completa, las víctimas pueden permanecer ciegos a los detalles del ataque y las posteriores acciones tomadas por los atacantes. A veces los registros de tala son la única evidencia de un ataque con éxito y sin registros de auditoría sólidos, un ataque pueden pasar desapercibidos por tiempo indefinido y los daños particulares realizadas pueden ser irreversibles. Muchas organizaciones mantienen registros útiles para propósitos de cumplimiento, pero los atacantes se basan en el hecho de que tales organizaciones podrían sólo en raras ocasiones revisar sus registros, y nunca descubren que que sus sistemas han sido comprometidos. Debido a los procesos de análisis de registros pobres o inexistentes, los atacantes veces controlan las máquinas víctimas durante meses o años sin que nadie en la organización de destino sabiendo, a pesar de la evidencia de que el ataque haya sido registrado ensin examinar los archivos de registro. ".
"LANDesk es un sistema de software de gestión de activos se utiliza para gestionar de forma remota el inventario y las computadoras de escritorio. Tiene la capacidad de informar sobre el software y el hardware instalado, permitir la asistencia remota, e instalar los parches de seguridad del sistema operativo. "Oficina de Tecnología de la Información de la Universidad Americana Preguntas frecuentes acerca de LANDesk.
A las redes privadas virtuales ( "VPN") es una red que se construye mediante el uso de cables públicos - por lo general - Internet para conectarse a una red privada, como por ejemplo la red interna de una empresa.
Protocolo de configuración dinámica de host ( "DHCP") es un protocolo de red que permite a un servidor asignar automáticamente una dirección IP a un equipo de un rango definido de números (es decir, un ámbito de aplicación) configurado para una red dada.
Para obtener los mejores resultados, como el registro se activa, con registros enviados a los servidores del registro centralizado. Cortafuegos, servidores proxy y los sistemas de acceso remoto (VPN, de acceso telefónico, etc.) todos deben ser configurados para el registro detallado, almacenar toda la información disponible para el registro en caso se requiere una investigación de seguimiento. sistemas, especialmente los de los servidores de funcionamiento, debe ser configurado para crear registros de control de acceso cuando un usuario intenta acceder a los recursos sin los privilegios apropiados. Para evaluar si tal registro está en su lugar, una organización debe analizar con regularidad a través de sus registros y compararlos con el inventario de activos reunidos con el fin de asegurar que cada elemento gestionado activamente conectada a la red está generando periódicamente registros.
programas analíticos tales como SIM / SEM soluciones para la revisión de los registros sólo puede proporcionar un valor, cuando el experto adecuado está llevando a cabo el análisis ( "Gestión de Incidentes de Seguridad" o "Gestión de Eventos de Seguridad"). herramientas de correlación reales pueden hacer registros de auditoría mucho más útil para su posterior inspección manual y puede ser muy útil en la identificación de los ataques sutiles. Sin embargo, estas herramientas son una panacea ni un reemplazo para el personal de seguridad de la información especializada y administradores de sistemas. Incluso con herramientas automatizadas de análisis de registro, la experiencia y la intuición humana se requieren a menudo para identificar y entender lo que se obtiene de los archivos de registro.
No existe ninguna estandarización sobre las pruebas de penetración (como una especie de prueba de emisiones o ADN) y algunos comentaristas tienen opiniones muy fuertes acerca de la utilidad y el valor de las pruebas de penetración. Véase, por ejemplo "Pruebas de penetración no debe ser una pérdida de tiempo," por Jim Bird (4 de octubre de 2014) disponible en. Por lo tanto, la consideración cuidadosa se debe dar a cómo y quién debe, realizar pruebas de penetración de una empresa y cómo se deben interpretar los resultados. "Las pruebas de penetración" La realización de una prueba de penetración en una organización, "Sans Instituto de InfoSec sala de lectura, disponible en.
El Instituto Nacional del Marco de Estándares y Tecnología para mejorar la ciberseguridad en infraestructuras críticas (12 de febrero, 2014) (el "NIST Ciberseguridad Marco"), disponible en, fue lanzado en respuesta al presidente Obama emitió la Orden Ejecutiva 13636, titulado "Mejora de la ciberseguridad en infraestructuras críticas ", de fecha 12 de febrero de 2013. el NIST marco de ciberseguridad establece cinco funciones básicas y categorías de actividades para las empresas para poner en práctica que se refieren en general a la gestión de riesgo cibernético y supervisión, que el NIST se desnuda hasta cinco funciones básicas del marco: identificar, proteger , detectar, responder y recuperarse. Este núcleo fundamentalmente significa lo siguiente: las empresas deben (i) identificar los riesgos de seguridad cibernética conocidos en su infraestructura; (Ii) el desarrollo de medidas de seguridad para proteger el suministro y el mantenimiento de los servicios de infraestructura; (Iii) aplicar los métodos para detectar la ocurrencia de un evento de seguridad cibernética; (Iv) el desarrollo de métodos para responder a un evento detectado seguridad cibernética; y (v)desarrollar planes para recuperar y regenerar la capacidad de las empresas que fueron perjudicadas como consecuencia de un evento de seguridad cibernética. Véase en la pág. 8.
NIST hoja de ruta para mejorar la ciberseguridad en infraestructuras críticas (12 de febrero de 2015).
"Consejos de Administración, Gobierno Corporativo y Cyber-Riesgos: Afilado de la Focus," Discurso del Comisario SEC Luis Aguilar disponible en (10 de junio de 2013).
"ataques DDoS en 2014: Más inteligente, más grande, más rápido, más fuerte," por Gur Shatz, (20 de abril de 2014) disponible en.
"Negro de Humo, dentro de la solución de Carbono Negro Bit9, ofrece la primera solución verdadera respuesta continua. El objetivo principal de Negro de Humo es reducir el costo y la complejidad de la respuesta a incidentes, proporcionando capacidades de detección de punto final de visibilidad continua y la firma-less para entregar contexto completo, clasificación ataque y conocimiento de la situación de las amenazas que atacan a su empresa. Negro de carbono puede automatizar el proceso de adquisición de datos tedioso y requiere mucho tiempo mediante el registro y la comprensión de las relaciones de los datos críticos necesarios para desentrañar el ciclo de vida completo y matar a la cadena de un ataque continuo ". Véase.
"Firewalls Palo Alto son parte de la gran gama de aparatos de seguridad cibernética Palo Alto diseñado para gestionar, ejecutar y optimizar nuevos sistemas de cortafuegos para permitir la edad de forma segura las aplicaciones, y hacer frente a la amenaza de los modernos programas maliciosos día." Ver.
Entre otras cosas, MIR, propiedad de fuego de los ojos, está diseñado para detectar malware y otros signos de compromiso en los puntos finales en toda la empresa y: 1) barrer miles de puntos finales para la evidencia de compromiso, incluyendo malware y actividades irregulares; 2) permitir a distancia investigar segura a través de cualquier red, sin requerir autorización de acceso; y 3) recopilar datos forenses específicos, con filtrado inteligente para devolver sólo los datos necesarios. Ver .
"Consejos de Administración, Gobierno Corporativo y Cyber-Riesgos: Afilado de la Focus," Discurso del Comisario SEC Luis Aguilar disponible en (10 de junio de 2013).
"Los ejecutivos en Davos expreso Las preocupaciones sobre más ataques cibernéticos disruptiva", de David Gilles, New York Times (22 de enero de 2015) ( "Usted recibirá una violación de datos, y punto... Si usted piensa que no ha sido atacado, se 're mintiendo a ti mismo. ") disponible en.
"Consejos de administración Race to Shore-up Ciberseguridad: Administración enfrentar temas de vez en consignación a Tech expertos, por Danny Hadrones, Wall Street Journal (29 de junio de 2014) disponible en. Ver también, "Seguridad Nacional quiere junta directiva corporativa más involucrados en la seguridad cibernética," por Ellen Messmer, NetworkWorld.com (29 de julio de 2014) disponible en ( "Configuración de la política de seguridad cibernética corporativa y tomar acciones en torno a que debe ser una la principal preocupación para el consejo de administración en cualquier empresa, no sólo la división de tecnología de la información, el Departamento de Seguridad Nacional (DHS) indicó que un funcionario de alto nivel se respaldó un esfuerzo del sector privado para dar a conocer a nivel del consejo ". ).
.
