07 Nis CISO Raporu: Otobüs Kullanabiliyorsanız Siber Suçlarla Savaşabilirsiniz
Bloglarda, Videolarda
HPE CISO Bobby Ford’dan dersler siber ordu nasıl kurulur
– david kahverengi
Melbourne, Avustralya – 7 Nisan 2023
CISO Raporunun sponsoru: BilBe4.
Siber suçluların – fidye yazılımları, kimlik bilgileri hırsızlığı, kötü amaçlı yazılımlar ve benzerleri yoluyla – neden olduğu zarar hakkındaki tüm konuşmalara rağmen, Bobby Ford, siber suçun daha yeni yeni anlamaya başladığımız başka bir yönü olduğuna inanıyor.
Ve bu yüksek profilli siber bağımlı suçların dünyaya bu yıl yılda 8 trilyon dolara ve 2025’e kadar 10,5 trilyon dolara mal olması beklenirken, Ford’un inandığı siber destekli suçların etkisi çok daha az anlaşılmıştır.
Havacılık, savunma, yaşam bilimleri ve hızlı tüketim malları alanlarında çalışmış eski bir ABD Ordusu askeri olan teknoloji devi HP Enterprise’ın (HPE) CISO’su olan Ford, siber suç faaliyetlerini çalışma dahil birçok açıdan gözlemleme fırsatı buldu. kolluk kuvvetlerinin yanında.
Ve eğer siber bağımlı suçlar siber buzdağının görünen kısmı ise, o zaman siber destekli suçlar – erişimlerini veya yoğunluklarını genişletmek için yeni teknolojilerden yararlanan, karanlık ağ pazarlarında uyuşturucu satmak gibi geleneksel suç faaliyetleri – geri kalanlardır.
Cybercrime Magazine’e “Sorunun ne kadar büyük olduğunu tam olarak anladığımızı sanmıyorum” dedi.
“Dijitalleşme hakkında konuşmaya devam ettikçe ve her şeyin web’e taşındığını görmeye devam ettikçe, bence [cybercrime] sadece büyümeye devam edecek – ancak daha derine inmeye ve siber faaliyetin ve siber suçun bize gerçekte ne kadara mal olacağının büyüklüğünü ve etkisini gerçekten anlamaya bile başlamadık.”
Yine de tüm tehdidine ve 2025 yılına kadar 1,75 trilyon doları geçmesi beklenen siber güvenlik harcamalarındaki patlamanın sonuçlarına rağmen, Ford birçok şirketin aslında siber güvenliğe çok fazla ve yanlış yerlerde harcama yapıyor olabileceğine inanıyor.
“Yeterince harcamak bir şey, etkili bir şekilde harcamak başka bir şey,” diye açıkladı durumu, harika ayakkabılar toplama sevgisiyle Londra’ya taşındıktan sonra pratik yürüyüş ayakkabısı alma ihtiyacı arasında denge kurarak kendi zorluklarına benzeterek.
Ford, “Londra’da çok yürüyüş yapıyorsunuz ve ben modadan çok işlev için satın almalıydım,” diye itiraf etti Ford. “Önemli olan ne kadar harcadığım değil, nasıl harcadığımdı. Ve bugün sektöre baktığımda, bunun hâlâ kırmadığımız bir ceviz olduğunu düşünüyorum.”
Pek çok şirketin, harcama derecesini etkinliğiyle birleştiren geleneksel bir harcama yaklaşımı benimsediğini söyledi – birçok şirketi, işletmeye amaçladıkları şekilde fayda sağlamayan yüksek teknolojili güvenlik çözümleriyle baş başa bıraktı.
“Hala harcadığımızı düşünüyorum ve gerçekten anlamıyoruz Neresi harcamalıyız,” diye açıkladı, “ve sonra para harcadığımızda ne kadar değer elde ediyoruz.”
“Riski azaltmak için gerçekte ne kadar harcıyoruz?”
siber ordu kurmak
Yaklaşık 60.000 çalışanı olan dünya çapında bir kuruluşun CISO’su olarak, risk yönetimini en üst düzeye çıkarmak için güvenlik harcamalarına öncelik vermek Ford için özellikle önemlidir. Yine de siber güvenlik riskinin etkin yönetimi, teknolojiyle olduğu kadar insanlarla da ilgili.
Ford, bir siber güvenlik ekibi oluşturmak için doğru yaklaşımı benimseyerek, işletmelerin çabalarını diğer şirketlerden uzmanları kaçak avlamaya yoğunlaştırmak yerine genel siber güvenlik becerileri boru hattını artırabileceğine ve artırması gerektiğine inanıyor.
Parasını ağzının olduğu yere koyan HPE, tam da geleneksel siber güvenlik kuruluşlarının normalde göz ardı edeceği insan türlerini hedefleyerek önemli bir ivme kazanan bir yeniden eğitim programı olan HPE Siber Güvenlik Kariyer Yeniden Başlatma Programı aracılığıyla tam da bunu yapmak için çalışıyor.
Ford, “Programda olmanız gereken yalnızca iki nitelik var,” diye açıkladı. “Birincisi, kesinlikle hiçbir siber deneyime sahip olamayacağınız ve ikincisi, diplomanız olmamasını tercih edeceğimiz.”
Siber güvenliğin karmaşık ve teknik olduğu yönündeki yaygın algı göz önüne alındığında bu kulağa tuhaf gelebilir ancak Ford, zemin katta çalışanları işe alıp onları eğiterek HPE’nin yeni restoran işletmecileri, okul otobüsü şoförleri ve diğer teknik olmayan çalışanları yakalayabildiğini söylüyor yeni sektöre ayak uydurulduğunda gelişen.
“Orduya yazıldığımda benden tek istedikleri nabızdı,” dedi Ford, “ve öğreteceklerdi [us] bilmemiz gereken diğer her şey. Siber konusunda da aynı zihniyeti benimsiyorum: nabzınız varsa, bilmeniz gereken diğer her şeyi size öğretebiliriz.”
Ancak çalışanlara siber güvenlik hakkında bilgi vermek, denklemin yalnızca bir parçasıdır.
Ford’a göre birçok şirket yanlış bir yaklaşıma – örneğin çalışanların şüpheli kimlik avı e-postalarını merkezi BT departmanlarına bildirmeye teşvik edildiği yukarıdan aşağıya güvenlik farkındalığı eğitimi – bağlı.
Bu yaklaşım yararlı olabilir, ancak müdahaleyi merkezileştirerek Ford, bunu benimseyen şirketlerin işgücünü daha eğitimli ve siber tehditlere karşı daha duyarlı hale getirme fırsatını kaçırdığına inanıyor.
“İnsanların en zayıf halka olduğunun söylendiğini sık sık duydunuz,” dedi, “ama temelde ve felsefi olarak buna katılmıyorum: onlar bizim en güçlü savunma hattımız olma potansiyeline sahipler – ama ne yazık ki, hala güveniyoruz. onları düşmana karşı mücadelede bize yardımcı olmaları için fiilen donatmak yerine farkındalık ve eğitim üzerine.”
Örneğin, kimlik avı müdahalesini ortadan kaldırmak, çalışanların kimlik avı e-postalarını kötü amaçlı olarak işaretleme yetkisine sahip olduğunu görebilir ve aynı mesajın, çok çalışan merkezi BT kuruluşlarına bel bağlamadan, aynı mesajın diğer çalışanlarının e-posta gelen kutularından otomatik olarak alınmasını sağlayabilir.
Ford, “Eğitim ve farkındalık arttı ve çalışan tabanımız çok daha bilinçli” dedi. “Ancak konuşmamız gereken bir sonraki gelişme, eğitimden çalışanlarımızı mücadelede bize yardımcı olabilmeleri için donatmaya geçmek.”
– david kahverengi Melbourne, Avustralya’da yaşayan ödüllü bir teknoloji yazarıdır.
David’in Cybercrime Magazine makalelerinin tamamını okumak için buraya gidin.
KnowBe4 sponsorluğunda
KnowBe4, devam eden sosyal mühendislik sorununu yönetmenize yardımcı olan, dünyanın en büyük güvenlik bilinci eğitimi ve simüle edilmiş kimlik avı platformunun sağlayıcısıdır. Fidye yazılımı, CEO dolandırıcılığı ve diğer sosyal mühendislik taktikleri hakkında farkındalığı artırarak, güvenlik konusunda bilinçlendirme eğitimine yeni bir okul yaklaşımıyla güvenliğin insan unsurunu ele almanıza yardımcı oluyoruz. Sizinki gibi on binlerce kuruluş, son kullanıcılarınızı son savunma hattınız olarak harekete geçirmek için bize güveniyor.