Jak správně odpovídat na nepříjemné dotazy (2)

19. 8. 2018

Sdílet

 Autor: © goodluz - Fotolia.com
Hypotetický rozhovor s nejvyššími šéfy o záležitostech, jako jsou bezpečnost cloudu, ransomware, phishingové útoky, krádež identity a úniky dat, se lehce může stát zcela skutečným. Zde jsou odpovědi, které byste měli být připraveni poskytnout.

První díl najdete zde.

 

CEO: Jak se chráníme před krádežemi identity a přihlašovacích údajů? Musí to přece nějak jít!

CISO:Realitou je, že ne všechny organizace mají silnou autentizaci a metody validace. Lidé také opakovaně používají svá uživatelská jména a hesla pro různé účely na internetu.

To vytváří pro útočníky příležitost distribuovat kampaně sběru přihlašovacích údajů, takže mohou hromadit velké množství kombinací uživatelských jmen a hesel a dalších informací používaných k nastavení a ověření účtů.

Jakmile dojde ke krádeži, často se tyto informace prodávají na podzemních fórech dalším aktérům, kteří chtějí použít ukradená data k podpoře vlastních aktivit.

Tento problém jsme vyřešili vytvořením ekosystému silných programů a funkcí včetně implementace vícefaktorové autentizace (MFA) pro exponované aplikace a mobilní zařízení, stejně jako využívání technologie ke zjištění případů, kdy jsou firemní přihlašovací údaje ohrožené, například existencí falešných webových stránek, kde probíhá sběr přihlašovacích údajů.

CEO: Kybernetické zabezpečení je složité a potřebuje k inovacím kreativní nápady, což je problém zhoršovaný omezenou dostupností talentovaných pracovníků. Co děláme, abychom jako společnost podporovali zaměstnance v oblasti kybernetického zabezpečení?

CISO: Bylo by nedbalé, kdybychom v nepřetržitě konkurenčním prostředí s nedostatkem talentů spoléhali jen na zkušenosti z praxe. Hledání různých perspektiv a zkušeností (s podporou rozkvětu myšlenkové různorodosti) vytváří úžasné prostředí, kde mohou spolupracovat nejlepší myslitelé.

Umožňujeme, aby se myšlenková různorodost stala součástí kultury. Pro urychlení našeho programu kybernetického zabezpečení jsme rozšířili tým, aby pokrýval další zkušenosti, a upřednostnili jsme ty, kdo vynikají při řešení problémů, v kreativitě a schopnosti porozumět lidskému prvku a ovlivňovat ho.

CEO: V dnešní době jsme globálně působící firmou, která má zaměstnance po celém světě. Uvědomuji si, že to ztěžuje práci při organizaci zabezpečení. Jak tuto složitost zvládáme?

CISO: Nejúčinnější strategií je školení všech zaměstnanců, aby byli opatrní a aby byli velmi silnou první linií prevence. Naší prioritou je sdílení nejlepších postupů a informací v rámci celé organizace, aby byl každý informován a připraven.

Věnujeme pozornost lokálním zvyklostem i procesům a také úzké spolupráci s místními týmy, abychom získali nejlepší řešení, která fungují pro takové konkrétní místo či situaci.

Obsahy školení se musejí lokalizovat, aby se zajistila efektivita, a musíme pokračovat v náboru s cílem zajistit diverzitu a spojit nejlepší myšlenky pro skutečné řešení stále složitější a dynamické scenérie hrozeb.

CEO: Slyšíme stále o rostoucích hrozbách a větší naléhavosti. Jak získáme správné zabezpečení pro naši organizaci a zákazníky?

CISO: Proaktivní angažovanost u klíčových zúčastněných osob ještě před vznikem incidentu zajistí, že bude organizace schopna rychle a účinně reagovat na moderní kybernetické hrozby.

Nakonec to, co máme na mysli, když říkáme, že je skutečně důležité zajistit správné zabezpečení, je, že musíme vést příkladem. Nemůžeme dělat věci postaru. Nemůžeme zákazníkům říci, že musejí přejít na následující generaci paradigmatu, když bychom to sami neudělali.

Nejprve musíme myslet na prevenci, omezit útočný prostor v rámci našich vlastních prostředí, rozšířit kvalitní detekci a funkce přerušení a musíme pokračovat v inovacích automatizace zabezpečení provozu.

CEO: Co děláte, abyste zajistili, že nedojde k žádným únikům dat?

CISO: Úniky dat mohou být stejně škodlivé nebo ještě škodlivější než průnik hackerů. Poskytuji správní radě pravidelné informace o plném rozsahu programu kybernetického zabezpečení naší společnosti a jejím plánu krizové komunikace.

Mezitím se část našeho úsilí zaměřuje na vytvoření souboru komunikačních zásad pro ředitele a manažery, jejichž účinnost by měla být odhlasována celou správní radou a měla by se stát součástí nové orientace a školení ředitelů.

Také bych rád alespoň jednou ročně uspořádal pro správní radu školení o úniku dat, což by mohlo pomoci k získání nejlepšího přehledu o způsobu fungování krizového komunikačního plánu a jejich kompetence pro dodržování bezpečnostních zásad.

ICTS24

 

Tento příspěvek vyšel v Security Worldu 2/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.