close

SalesLogix Runtime Error 217 A

Podcast: | |

Esta semana en CIO Playbook con Jeffrey Hurley estoy hablando de las 10 prácticas de seguridad esenciales para todas las organizaciones. Esta charla se basa en el trabajo realizado por IBM en el ámbito de la seguridad de la información y la seguridad cibernética.

Los diez peores violaciones de datos como del 6 de febrero el año 2015

    Sistemas de Heartland de pago: (2008 - 2009) de 130 millones de registros comprometidos Target Stores: (2013) 110 millones de registros comprometidos Sony Online Entertainment: (2011) 102 millones de registros comprometidos Archivo Nacionales y Administración: (2008) 76 millones de discos en peligro la salud de Anthem: (2015) 69 - 80 millones de registros comprometidos Epsilon comercialización: (2011) 60 - 250 millones de registros comprometidos Home Depot: (2014) 56 millones de registros comprometidos Evernote: (2013) 50 millones de registros comprometidos estar Social: (2013) 50 millones registros comprometidos TJX Companies (2006-2007): 46 millones de discos comprendido

Seguridad está a punto de realizar el siguiente

  • Identificar: ¿Qué está tratando de proteger
  • Evaluar / Prevent: Evaluar los activos y considerar el riesgo potencial asociado a cada componente
  • Proteger: Configurar los sistemas y actualizar la política de seguridad o mitigar las vulnerabilidades
  • Monitor / Detectar: ​​cumplimiento, verificación, observación de los activos y el cumplimiento de la política de seguridad (tanto en sistemas nuevos y existentes)
  • Actuar: Utilizar la correlación de eventos, la continuidad del negocio y recuperación de desastres. Incluir respuesta a incidentes que puede manejar las infracciones a terceros.

Definir su seguridad apetito por el riesgo

Cuando se trata de definir el apetito de riesgo en torno a las prácticas esenciales de seguridad que lo mejor es utilizar un enfoque basado en la madurez

Los Diez Prácticas de seguridad Esenciales

    Construir una cultura consciente del riesgo Manejo de incidentes de seguridad Defender el lugar de trabajo seguro mediante sistemas de diseño higiénico y de la red de control de la infraestructura de acceso Dirección nube y la virtualización de gestionar el cumplimiento de terceros los datos seguros y proteger la privacidad de Gestión del ciclo de vida de identidad digital

Práctica Número 1: Construir una cultura consciente del riesgo

Que hace su empresa vista cultura de la información como un activo crítico?

Todo el mundo tiene el potencial de contaminar la organización a través de enlace de clic, el phishing, la ingeniería social, o en su defecto para parchear.

El Consejo y la alta dirección tienen que ver la conciencia del riesgo como una compañía imprescindible y supervisar la organización.

Visualización de la información como un activo crítico requiere una organización constantemente vigilantes.

Acciones a tomar:

  • Ampliar la misión de seguridad de TI para administrar riesgos de la información en toda la empresa.
  • Jefe de la oficina de seguridad de la información (CISO) un líder estratégico en toda la empresa
  • Comunicar, educar y crear conciencia de los riesgos de seguridad de información
  • Construir políticas digeribles, medidas y herramientas para su uso en toda la organización
  • Diseño de arquitectura empresarial con arquitectura de seguridad

Práctica Número 2: Manejo de Incidentes de Seguridad

La gestión eficaz de los incidentes de seguridad debe ser una prioridad de la contención y erradicación de la comunicación interna y externa.

Lo que se hace cuando se pierde la información privada, que está bajo un ataque de denegación de servicio, un empleado aceros de propiedad intelectual, etc.?

¿Cómo se comunicará con el público, prensa, reguladores, etc.

¿Cuál es el protocolo de notificación de incidentes de seguridad? ¿Quién determina qué nivel de amenaza se asigna el incidente?

Acciones a tomar:

  • Establecer una gestión de incidentes de seguridad y equipo de respuesta
  • Incorporar el manejo de incidentes y procedimientos de emergencia el aprovechamiento de herramientas coherentes e inteligencia en toda la organización.
  • Entrenar equipo en medicina forense y retener equipo de forenses de tecnología externa
  • La información de seguridad y gestión de eventos (SIEM)
  • Incorporar la política de seguridad de la empresa en la política de uso personal

Práctica Número 3: Defender el lugar de trabajo

¿Cómo se puede asegurar que el lugar de trabajo?

Traer su propio dispositivo crea oportunidades para la facilidad de uso en comparación con sujeción información de la empresa

¿Cuál es el equilibrio adecuado entre la apertura y la mitigación de riesgos?

Todos los dispositivos dentro de su organización que se conecta a la red es un punto final y que tiene el potencial de ser comprometida

Acciones a tomar:

  • plataformas de usuario final segura a base de papel empleado y el perfil de riesgo
  • Aislar negocio, cliente, y los datos personales dentro de la organización
  • Establecer la política de uso de medios sociales de los empleados
  • Establecer traer su propio dispositivo y hacer cumplir la política de gestión de políticas centralizada de dispositivos móviles

Práctica Número 4: Secure by Design

¿Qué es "seguro por diseño"

La construcción de la seguridad en la solución desde el principio.

La implementación de la solución primero y luego añadir seguridad es el escollo más común que es explotada por los agentes de amenaza.

A medida que su cultura conscientes del riesgo mejora la organización comenzará a asegurar que las soluciones son seguras desde el principio

Acciones a tomar:

  • Establecer vallas de seguridad como parte de la práctica compuerta de control de calidad
  • Proactivamente evaluar los sistemas y entornos con hacking ético, pruebas de penetración, y la ingeniería social

Práctica Número 5: Higiene Sistemas e Infraestructura

La comprensión de lo que se está ejecutando en su entorno y si es vulnerable.

software antiguo puede llevar consuelo a los empleados de la organización, sin embargo, las versiones más antiguas tienden a tener una mayor vulnerabilidad a los ataques

Garantizar que cualquier software introducido en su entorno está vetado para el cumplimiento de la política de seguridad de la organización

herramientas y soluciones automatizadas proporcionan la red en tiempo real y monitoreo del medio ambiente y un beneficio adicional de mejorar el rendimiento ya que se eliminan los obstáculos.

Acciones a tomar:

  • Establecer El seguimiento de inventario de todos los sistemas, dispositivos y la infraestructura.
  • Establecer una política de puesta de sol para todos los sistemas y servicios para asegurar que se mantienen al día con el mercado actual y las condiciones vector de amenazas
  • Automatizar la administración de parches, instalar sistemas de monitoreo algorítmicos, y segregar la red

Práctica Número 6: Control de Acceso a la Red

Asegúrese de que las personas adecuadas tengan el acceso adecuado en el momento adecuado.

Su organización está llena de múltiples directorios de archivos y sistemas que tienen todos los controles de acceso individuales. Haciendo prácticamente imposible garantizar que el acceso y el uso corporativo aceptable están ejecutadas en forma constante en toda la organización.

Cada partida tiene que ser eliminado de todos los sistemas que acceden.

Cada nuevo empleado debe ser añadido a los sistemas adecuados y no se da ningún acceso innecesario a otros sistemas

Acciones a tomar:

  • Invertir para vigilar y proteger contra las amenazas
  • el registro de apalancamiento, monitoreo y análisis para detectar y bloquear la actividad maliciosa
  • Optimizar la gestión del riesgo y el rendimiento, aprovechando la calidad de servicio (QoS)
  • La gestión activa de protección contra intrusiones, cortafuegos, puertas de enlace, correo electrónico e Internet.
  • Establecer solución de gestión unificada de amenazas / gobierno

Práctica Número 7: Dirección de nube y virtualización

Nube y la virtualización se proporcionan tiempo más rápido de soluciones de mercado, sin embargo, las cuestiones de seguridad y los cortes siguen sin respuesta.

contratos con terceros / proveedores tienden a limitar la capacidad de auditoría, indemnización, y la alineación de la política

¿Cuál es el riesgo de la colocación de activos de propiedad intelectual en una solución basada en la nube.

En un entorno virtual es lo que el aumento de las capas de software relacionados con el riesgo, la segregación, fusión y fugas?

Acciones a tomar:

  • Desarrollar una estrategia de servicios en la nube y la seguridad de virtualización
  • Entender los controles de seguridad de los proveedores de nube y alojado sistemas de terceros
  • Asegurar que las soluciones se mantienen al día con la aplicación de parches y control de versiones.
  • Se fundamenta en los sistemas de explotación y la capa de hardware mantengan al día.

Práctica Número 8: Administración de Cumplimiento de terceros

Son sus políticas de seguridad hasta a la fecha y tienes cláusulas de cumplimiento con capacidad de auditoría en todos los contratos de terceros?

proveedores de terceros buscan su negocio, intentando limitar su responsabilidad. Mientras que usted no quiere que se queden sin trabajo si un evento llegara a suceder te quieren hacerlos responsables de hacer su mejor esfuerzo para mantenerse al día en materia de seguridad y políticas.

Acciones a tomar:

  • Evaluar las políticas de seguridad y de riesgo de los proveedores y garantizar el cumplimiento de su estándar de seguridad de la información
  • Considere las regulaciones y requisitos de la industria: PCI, GLBA, HIPAA, SOX, NERC-CIP.
  • Evaluar las consideraciones de seguridad como parte de las fusiones y adquisiciones
  • Establecer prácticas de seguridad regulares proveedor de revisión y presentación de informes de gestión, incluyendo, padre, y sus respectivas directivas.

Práctica Número 9: Datos asegurar y proteger la privacidad

¿Tiene sus datos e información basada en la privacidad clasifican y asegurados?

Cada compañía tiene información que cae bajo las leyes de privacidad; como mínimo la información de su empleado debe ser considerada confidencial.

las estrategias de su empresa, desarrollo de productos, planes de expansión / contracción, nuevos productos, etc., son todos valiosos activos de propiedad intelectual.

La información crítica se debe dar tratamiento y protección cuidadosa al igual que lo bloquee un archivador detrás de una puerta de la oficina cerrada por lo que debe tratar sus datos valiosos en línea.

Acciones a tomar:

  • Poner en marcha una robusta arquitectura de sensibilidad de los datos de categorización de gestión de datos
  • Determinación de los requisitos gubernamentales y de protección de datos de clientes y notificación
  • información sobre el valor por el riesgo de impacto en el negocio
  • bienes de alto valor Cifrar

Práctica Número 10: Manejo de la Vida Digital Identificar Ciclo

La identidad y el acceso plantea uno de los mayores riesgos para su organización.

Gestionar el acceso a los sistemas y datos es un componente crucial de la seguridad de la información.

El problema más común es la eliminación oportuna de los empleados, contratistas o proveedores que se han apartado de la organización. Esto le deja vulnerables a la intrusión.

La plétora de procesos manuales utilizados para gestionar la identidad y el acceso a crear oportunidades para las pausas en el proceso y, finalmente, coloca a la organización en riesgo de compromiso.

Acciones a tomar:

  • Mejorar las políticas de gestión de identidad y acceso
  • Utilice el control de la política sistematizada y soluciones de monitorización
  • Garantizar la separación de funciones en toda la organización
  • Utilizar inicio de sesión único en las soluciones para los controles y un seguimiento más estricto
  • Llevar a cabo la analítica de funciones normales

Una batalla en evolución con creciente sofisticación en ambas caras

Amenaza Actor:

  • Movido desde el oportunista a la amenaza persistente avanzada y Mercenario
  • ataques patrocinados por el Estado contra los sistemas de gobierno y las principales compañías consideradas críticas para el país
  • Internet-de-Things crea
  • Los mercados negros de datos robados están aumentando en tamaño y complejidad

Corporate Defense

  • Aumento de la concienciación de los empleados
  • El cifrado de datos cuando está en reposo
  • algorítmica de detección de código malicioso Automatizado
  • de eventos de seguridad de correlación más allá de la organización individual
  • información de seguridad y gestión de eventos tecnologías (SIEM)
  • Aumento de la colaboración del gobierno y la industria privada

Próximos pasos

  • Contratar a un Jefe de Información Oficial de Seguridad (CISO) si usted no tiene uno
  • Activar el liderazgo de seguridad para tener una voz estratégica en la organización
  • la seguridad garantizar se discute a nivel Altos Ejecutivos y Juntas
  • Crear un programa de educación y formación de la conciencia constante y persistente
  • Asegúrese de que su comité de seguridad / riesgo ha aprobado su respuesta de información de seguridad de gestión de incidencias
  • Establecer métricas de seguridad para seguir el progreso en contra de las diez prácticas esenciales

notas:

    Lovejoy, Kris. "10 Fundamentos de seguridad Cada CIO debe saber." La inteligencia de seguridad. N. P. 04 de septiembre de 2013. Web. 11 de febrero de 2015. Cawthray, Stewart. "IBM Aumenta Servicios de Internet." Seguridad de la red 1995.4 (1995): 4. www.ibm.com. IBM, septiembre de 2012. Web. 11 de febrero de 2015. Pfau, Robert. "Documento de Certificación Global de Seguridad de la Información." Certificación Global de Seguridad de la Información. Certificación Global Information Assurance 2 de agosto de 2003. Web. 11 de febrero de 2015. Palermo, Elizabeth. "10 peores violaciones de datos de todos los tiempos." Guía de Tom. Guía de Tom 06 de febrero de 2015. Web. 12 de febrero de 2015. "Encuesta Global de Seguridad de la Información: 2015 resultados por la industria." PwC. PwC, 30 de septiembre de 2014. Web. 15 de de febrero de 2015. Crédito de la imagen a través de flickr.com: Morris, David. "0710 Old Lock." Flickr. Yahoo !, 14 de julio de 2007. Web. 15 de de febrero de 2015.

es un podcast dedicado al desarrollo de la tecnología de liderazgo organizado por, un experimentado líder global de tecnología que ha ocupado cargos en las compañías Fortune 500 en todo el mundo, incluyendo diversos países: Japón, Hong Kong, Singapur, India, Reino Unido y Estados Unidos. Actualmente, reside en Nueva York.

Relacionado

Previous Post     Next Post

TAGS

CATEGORIES

.