பொருளடக்கம்:
- ஒரு CISO என்ன செய்கிறது
- பாதுகாப்பு நிபுணர்களுக்கான நிலப்பரப்பு
- SME க்களுக்கான பிற பட்ஜெட்டுகள் மற்றும் பாதுகாப்பு
வணிகங்கள் ஆபத்தான விகிதத்தில் சைபராடாக்ஸால் குறிவைக்கப்படுகின்றன. 2013 டிசம்பரில் இலக்கு மற்றும் 2014 ஜனவரியில் நெய்மன் மார்கஸ் ஆகியோரின் பெரிய மீறல்கள், ஏராளமான சில்லறை விற்பனை நிலையங்கள் அவற்றின் பாதுகாப்பு உள்கட்டமைப்பில் உள்ள போதாமைகள் குறித்து ஒரு பெரிய கவனத்தை ஈர்த்தன. இதன் விளைவாக, பெரிய மற்றும் சிறிய இரு நிறுவனங்களும் தங்கள் முயற்சிகளை விரைவுபடுத்த வேண்டிய அவசியத்தை உணர்கின்றன மற்றும் ஒரு பிரத்யேக பாதுகாப்புக் குழுவைக் கொண்டிருக்கின்றன.
மே 2014 இல் ராய்ட்டர்ஸ் வெளியிட்டுள்ள அறிக்கையின்படி, பெப்சி மற்றும் ஜேபி மோர்கன் சேஸ் அண்ட் கோ போன்ற பல பெரிய நிறுவனங்கள் பாதுகாப்பு நடைமுறைகளை மேம்படுத்தும் முயற்சியில் புதிய தலைமை தகவல் பாதுகாப்பு அதிகாரிகளை (சிஐஎஸ்ஓ) வேட்டையாடுகின்றன. இது பிரதிபலிப்பது பாதுகாப்பு பற்றிய அதிக விழிப்புணர்வு மற்றும் வணிகத்தின் நிர்வாக மட்டத்தில் அதன் முக்கியத்துவம்.
சி.ஐ.எஸ்.ஓக்கள் மற்றும் தலைமை இணைய பாதுகாப்பு அதிகாரிகள், தங்கள் தொழில்நுட்பத்தின் பாதுகாப்பில், முதலாளி மற்றும் வாடிக்கையாளருக்காக மூழ்கியிருக்கிறார்கள், ஆனால் அவர்களின் பாத்திரங்களும் பொறுப்புகளும் பாதுகாப்பு சமூகத்தினரிடையே மட்டுமல்லாமல், பொது மக்களின் பார்வையில் மிகவும் வெளிப்படையாகவும் கட்டாயமாகவும் மாறி வருகின்றன.
"ஐந்து ஆண்டுகளுக்கு முன்பு, தகவல் பாதுகாப்பு என்பது பலகைகளின் முதல் 10 கவலைகளைத் தகர்த்துவிட்டது. ஒரு வருடம் முன்பு இது நம்பர் 2 ஆக இருந்தது. சுவாரஸ்யமாக இது இப்போது தரவு பாதுகாப்பு மற்றும் தகவல் பாதுகாப்பு மட்டுமல்ல" என்று ஆட்சேர்ப்பு நிறுவனமான ஹைட்ரிக் & இன் பிராந்திய நிர்வாக பங்குதாரர் டேவிட் போஹ்மர் கூறுகிறார் போராட்டங்கள், நிறுவனம் தயாரித்த YouTube வீடியோவில்.)
ஒரு CISO என்ன செய்கிறது
ஒரு CISO இன் பங்கு மிகவும் பரந்ததாக இருக்கும், மேலும் அவர்கள் பெரும்பாலும் பலவிதமான தொப்பிகளை அணிந்திருப்பதைக் காணலாம். அறிவுசார் சொத்தின் பாதுகாப்பை நிர்வகிப்பது, வாடிக்கையாளர் பாதுகாப்பிற்கு பொறுப்பாக இருப்பது போன்ற உள் பாதுகாப்பு முதல் எல்லாவற்றையும் இந்த வேலை உள்ளடக்கியது.
"பாதுகாப்பு வாங்குபவர்களுக்கு சுவாரஸ்யமான தயாரிப்புகளில் அம்சங்களை செயல்படுத்த எங்கள் தயாரிப்பு குழு மற்றும் பொறியியல் குழுவுடன் நான் பணியாற்றுகிறேன்" என்று சுமோ லாஜிக்கின் சிஐஎஸ்ஓ ஜோன் பெபின் கூறுகிறார்.
கடந்த ஆண்டு இலக்கு மீறல் நிச்சயமாக நிறைய பேரைப் பேசியிருந்தாலும், பெபின் விளக்கமளிக்கிறார், அவர் ஆச்சரியப்படுவதற்கில்லை - பாதுகாப்பு சமூகத்தில் பெரும்பாலானவர்களும் இல்லை. பாதுகாப்பு சமூகம் அதன் "நீர்நிலை தருணங்களை" கொண்டிருக்கவில்லை என்று சொல்ல முடியாது, எல்லோரும் தங்கள் வேலையை முன்னோக்கி நகர்த்துவதை வலுப்படுத்த வேண்டும்.
2011 ஆம் ஆண்டில் ஆர்எஸ்ஏ மீறல், இதில் ஹேக்கர்கள் தகவல் பாதுகாப்பு நிறுவனத்தின் சேவையகங்களை மீறி, முக்கியமான அரசு மற்றும் கார்ப்பரேட் தரவுகளுக்கான அணுகலை வழங்கும் அங்கீகார டோக்கன்களைத் திருடி, பல பாதுகாப்பு நிபுணர்களைக் குழப்பினர். அது போன்ற ஒரு ஹேக்கர்களுக்கு ஒரு பாதுகாப்பு நிறுவனம் எவ்வாறு இரையாகும்? இரண்டு ஆண்டுகளுக்குப் பிறகு, அந்த அக்கறை முன்னர் ரேடரின் கீழ் பறந்த இலக்கை நோக்கி மாறும்: சில்லறை வாடிக்கையாளர்கள். இலக்கு மற்றும் நெய்மன் மார்கஸ் போன்ற தாக்குதல்கள் அன்றாட வாடிக்கையாளரின் பாதுகாப்பிற்கு கவனத்தை மாற்றின.
"ஆயிரக்கணக்கான மற்றும் ஆயிரக்கணக்கான ஊழியர்களுடன் நீங்கள் ஒரு பெரிய சில்லறை செயல்பாட்டைக் கொண்டிருக்கும்போது, இந்த வெவ்வேறு தளங்கள், பாயிண்ட்-ஆஃப்-விற்பனை இயந்திரங்கள், இது மிகவும் ஏழ்மையான அமைப்பு மற்றும் அந்த வகையான தாக்குதல்கள் நடக்கவில்லை என்பதே உண்மை. அளவிலான வகை விரைவில் எனக்கு ஆச்சரியமாக இருக்கிறது, "என்று பெபின் கூறினார்.
நிறுவனங்கள் தங்கள் வணிகத்தின் தொடர்ச்சியான மெருகூட்டப்பட்ட அம்சத்தை விட, டிக் மற்றும் வெளியேறுவதற்கான ஒரு செக் பாக்ஸாக பாதுகாப்பு காணப்படுவதால் இந்த பிரச்சினை உருவாகிறது. சைபர் கிரைமினல்கள் குறைவானவர்கள் மற்றும் உள்ளே செல்ல முடியும் என்று இது அர்த்தப்படுத்துவதில்லை. உண்மையில், சைபர் கிரைமினல்கள் அதிக அளவில் திறமையானவர்களாகி வருகின்றனர்.
"ஒரு அழகான அதிநவீன மீறல், பிஎம்சி முகவரைப் போல ஆள்மாறாட்டம் செய்யக்கூடியது, மற்றும் அந்த வகையான திருட்டுத்தனமான விஷயங்கள். இலக்கு நெட்வொர்க் முழுவதும் பக்கவாட்டு இயக்கங்களில் ஈடுபடுவது மிகவும் புத்திசாலி, பெபின் கூறினார்.
"நான் அதிலிருந்து விலகிச் செல்ல விரும்பவில்லை, ஆனால் இலக்கில் உள்ள சிரமத்தின் அடிப்படையில், எந்தவொரு குறிப்பும் இல்லை, நான் எந்தவொரு சில்லறை சங்கிலியையும் கடினமான இலக்குகளின் பட்டியலில் வைக்க மாட்டேன். பாதுகாப்பு நிறுவனங்கள் கடினமான இலக்குகள், அரசாங்கம் ஒரு கடினமான இலக்கு. சாக்ஸ் விற்பனை செய்யும் சில சில்லறை சங்கிலி, அவை ஒரு சூப்பர் பாதுகாப்பான கடை என்று நான் எதிர்பார்க்க மாட்டேன். "
பாதுகாப்பு நிபுணர்களுக்கான நிலப்பரப்பு
ஜூன் 2014 இல், இலக்கு அதன் முதல் சிஐஎஸ்ஓ, பிராட் மியோரினோவை நியமித்தது, முன்னாள் ஜெனரல் மோட்டார்ஸ் நிர்வாகி, நிறுவனத்தின் பாதுகாப்பு நடைமுறைகளை மாற்றியமைப்பதை மேற்பார்வையிடுவார்.
வணிகங்கள், அவற்றின் புலம் அல்லது அளவைப் பொருட்படுத்தாமல், அதிக விழிப்புணர்வு மற்றும் சாத்தியமான மீறல்களைச் செயல்படுத்த அதிக அதிகாரத்துடன் எப்போதும் வளர்ந்து வரும் அச்சுறுத்தல்களுக்கு பதிலளிக்கும் வகையில் அவர்களின் பாதுகாப்பு விளையாட்டை கவனித்து மேம்படுத்த வேண்டும்.
"இது தெளிவாக இருந்தது … இலக்கு வழக்கில் யாரும் பதிலளிக்காத எச்சரிக்கைகள் உருவாக்கப்பட்டன, நிர்வகிக்கப்பட்ட பாதுகாப்பிலிருந்து வரும் எனது அனுபவத்தில் இது மிகவும் பொதுவானது" என்று பெபின் கூறினார்.
"உலகின் மிகச் சிறந்த ஊடுருவல் கண்டறிதல் முறை இன்னும் மிக உயர்ந்த தவறான நேர்மறை வீதத்தைக் கொண்டுள்ளது, எனவே பாதுகாப்பு பதிலளிப்பவர்கள் அடிப்படையில் தங்கள் அமைப்புகளால் புறக்கணிக்க தங்கள் அமைப்புகளால் பயிற்சியளிக்கப்படுகிறார்கள். அங்கு ஒரு தொழில்நுட்ப மனித தொடர்பு இடைவெளி உள்ளது, அங்கு முதலில் பதிலளிப்பவர்கள் ஆயிரக்கணக்கானவர்களுக்கு உணர்ச்சியற்றவர்களாக மாறுகிறார்கள் அவை கிடைக்கும் குப்பைகள் என்று எச்சரிக்கைகள். இலக்கு விஷயத்தில், அதைப் பின்பற்றாத சில அறிகுறிகள் இருந்தன, அவை விரைவில் பாதிப்பைக் குறைக்க உதவக்கூடும். "
பெரும்பாலும், ஒரு பாதுகாப்பு நிபுணர் உடனடியாக ஒரு பிரச்சினையில் செயல்பட முடியாது, ஏனெனில் அவர்களுக்கு வரிசைக்கு மேலே உள்ள வேறு ஒருவரிடமிருந்து அனுமதி அல்லது ஒப்புதல் தேவை. இது மாற வேண்டும், ஒரு நிறுவனத்தின் பாதுகாப்பு குழுவுக்கு முன்முயற்சி எடுக்க அதிக சுயாட்சி மற்றும் அதிகாரம் இருக்க வேண்டும் என்று பெபின் கூறுகிறார்.
ட்ரெண்ட் மைக்ரோவின் தலைமை இணைய பாதுகாப்பு அதிகாரி டாம் கெல்லர்மேன் கூறுகையில், "தலைமை தகவல் பாதுகாப்பு அதிகாரிகள் சி.ஐ.ஓக்களுக்கு புகாரளிக்கக்கூடாது என்பதில் இது இன்னும் ஒரு நிர்வாக பிரச்சினை என்று நான் நினைக்கிறேன். "அவர்கள் தலைமை இடர் அதிகாரி அல்லது தலைமை நிர்வாக அதிகாரிக்கு நேரடியாக அறிக்கை அளிக்க வேண்டும்." இது பல இடைத்தரகர்களை வெட்டுகிறது மற்றும் சாத்தியமான அவசரநிலைகளுக்கு விரைவான பதிலளிப்பு நேரத்தை உறுதி செய்கிறது.
பாதுகாப்பு வல்லுநர்கள் தங்கள் நிறுவனத்தில் "மேலே வலதுபுறம் புகாரளிக்க வேண்டும்" என்று பெபின் ஒப்புக்கொள்கிறார். "நான் எங்கள் தலைமை நிர்வாக அதிகாரியிடம் புகாரளிக்கும் அளவுக்கு நான் அதிர்ஷ்டசாலி. அது நன்றாக வேலை செய்கிறது, மேலும் அதன் பாதுகாப்பை தீவிரமாக எடுத்துக் கொள்ளும் எந்தவொரு நிறுவனத்திற்கும் நான் பரிந்துரைக்கிறேன்."
SME க்களுக்கான பிற பட்ஜெட்டுகள் மற்றும் பாதுகாப்பு
ஒரு சிஐஎஸ்ஓவை பணியமர்த்துவது மற்றும் உங்கள் பாதுகாப்புக் குழுவை விரிவாக்குவது உங்களிடம் பட்ஜெட் இருந்தால் நன்றாக இருக்கும், ஆனால் சிறிய நிறுவனங்களைப் பற்றி என்ன? ஒரு சிறிய சங்கிலி அல்லது உங்கள் உள்ளூர் வன்பொருள் கடையில் தாக்குதல் ஒரு இலக்கு அல்லது நெய்மன் மார்கஸைத் தாக்குவது போன்ற ஹேக்கர்களுக்கு அதே பலன்களைப் பெறாது என்றாலும், உங்களை எந்த வகையிலும் பாதிக்கக் கூடாது என்பது இன்னும் விவேகமற்றது. எனவே தாக்குதலின் அபாயத்தைத் தணிக்க நீங்கள் என்ன செய்ய முடியும்? ஒரு சம்பவம் பதிலளிக்கும் ஒப்பந்தக்காரர் அல்லது ஆலோசகரின் சேவைகளை பணியமர்த்த பெபின் கடுமையாக பரிந்துரைக்கிறார்.
"நீங்கள் தாக்கப்பட்டால், நீங்கள் அழைக்கக்கூடிய ஒருவரை நீங்கள் வைத்திருக்கிறீர்கள், எனவே நீங்கள் கூகிளைத் திறந்து பார்க்கத் தேவையில்லை" என்று அவர் கூறினார்.
இது ஒரு சிறிய நிறுவனத்திற்கு அதிக பொருளாதார உணர்வைத் தரும், வணிகம் தேவைப்படும் போது மட்டுமே சேவைகளைப் பயன்படுத்தும் என்று அவர் விளக்குகிறார். உங்கள் ஊழியர்கள் விட்டுச்சென்ற இடத்தை எடுப்பதில் இந்த சேவைகள் மிகவும் சிறப்பு வாய்ந்தவை.
"நீங்கள் சோதனைக்கு ஒரு அருமையான குழுவைக் கொண்டிருக்கலாம், நீங்கள் தாக்குதலுக்கு உள்ளாகிறீர்கள் என்பதைப் புரிந்துகொள்கிறீர்கள், ஆனால் அந்த தாக்குதலுக்கு பதிலளிப்பதற்கும், அவற்றை உங்கள் நெட்வொர்க்கிலிருந்து வெளியேற்றுவதற்கும், ஆதாரங்களை சேகரிப்பதற்கும் தேவையான அதே திறன்கள் இல்லை. நீதிமன்றத்தில் பயன்படுத்தப்பட வேண்டும். "
சைபர் கிரைமை எதிர்த்துப் போராடுவதற்கு நிறுவனங்கள் பல ஆதாரங்களைக் கொண்டுள்ளன. மற்றொரு பெரிய தாக்குதல் ஒரு மூலையில் இருப்பதாக சமீபத்திய வரலாறு தெரிவிக்கிறது.
