Kotiček CISO: Izzivi generacije Z, odgovornost CISO in študija primera Cathay Pacific

Dobrodošli v CISO Corner, tedenski povzetek člankov Dark Reading, ki je posebej prilagojen bralcem varnostnih operacij in voditeljem varnosti. Vsak teden bomo ponudili članke, zbrane iz naših novic, The Edge, DR Technology, DR Global in našega razdelka s komentarji. Zavezani smo k temu, da vam ponudimo raznolik nabor perspektiv v podporo delu operacionalizacije strategij kibernetske varnosti za vodilne v organizacijah vseh oblik in velikosti.

V tej številki:

Vloga CISO je podvržena velikemu razvoju

Komentar Marka Bowlinga, CISO in uradnika za tveganja, ExtraHop

Po SolarWinds ni več dovolj, da glavni uradniki za informacijsko varnost ostanejo skladni in prekinejo.

Ko se najamejo CISO, so pogosto opisani kot odgovorni za izvajanje učinkovite varnosti, varnosti informacij in okvirov za obvladovanje tveganja v svojih organizacijah. Toda v zadnjem času bi nekateri morda rekli, da bi moral opis delovnega mesta CISO vključevati "Fall guy in the face of kibernetski incident" po Komisija za vrednostne papirje in borzo (SEC) obtožuje CISO SolarWinds.

CISO je bistveni odločevalec glede vsake varnostne zadeve v organizaciji. Toda zdaj, čeprav je SolarWinds poskuša doseči zavrnitev tožbe SEC, obstaja precedens v zvezi z osebno pravno odgovornostjo za kršitve in napade in nekateri pravijo, da je to ustvarilo odvračilno sredstvo za vlogo CISO v javnih podjetjih.

S to novo odgovornostjo v mislih je pravi čas, da se pogovorimo o tem, kaj je potrebno, da si dober CISO – in kje delo presega opis. Na primer, zagotovite, da imate okoli sebe močno ekipo. Predpostavimo, da se lahko pravila o odgovornosti kadar koli spremenijo. In vedite, da je biti ves čas "vklopljen" del vloge.

Pridobite več vpogledov o tem: Vloga CISO je podvržena velikemu razvoju

Povezano: Mehke veščine, ki jih potrebuje vsak CISO, da spodbudi boljše odnose v sejni sobi

Pritegnite mlajše uporabnike z izobraževanjem o kibernetski varnosti, namenjenim njim

Tatiana Walk-Morris, sodelujoča pisateljica Dark Reading

Varnosti ne bi smeli obravnavati kot enotno za vse, kar je dvojno res, ko gre za izobraževanje o varnostni ozaveščenosti. Usposabljanje je treba prilagoditi starosti, učnim slogom in želenim medijem, če naj bo učinkovito.

Glede na raziskavo Yubico in OnePoll med 2,000 potrošniki v ZDA in Združenem kraljestvu, ki je bila objavljena oktobra, približno 20 % uporabnikov Baby Booma ponovno uporablja svoja gesla v spletnih storitvah – presenetljivo pa to počne skoraj polovica (47 %) milenijcev, zaradi česar so bolj ranljivi za kibernetske napade.

Izhod za podjetja? Uporabniki interneta tisočletja in generacije Z se morda pogosteje ukvarjajo s slabimi praksami kibernetske varnosti in tveganim vedenjem – kot je ponovna uporaba gesel, neomogočanje večfaktorske avtentikacije in nezaščita njihovih podatkov o plačilu – vendar ne gre za to, da mlajši uporabniki interneta niso bili poučeni o spletni varnosti.

Namesto tega trening ni odmeval tako, kot bi moral. Različne starostne demografske kategorije razmišljajo o internetni varnosti na različne načine, kar vpliva na kako naj organizacije pristopijo k usposabljanju uporabnikov o kibernetski ozaveščenosti.

Tukaj je opisano, kako lahko organizacije prilagodijo svoje izobraževalne programe o kibernetski varnosti tako, da ustrezajo občinstvu v različnih demografskih skupinah, pogosteje izvajajo usposabljanja in spodbujajo ozaveščenost skozi vse leto, da zagotovijo, da varnostna sporočila ne bodo pozabljena ali prezrta.

Preberite več: Privabite mlajše uporabnike z izobraževanjem o kibernetski varnosti, namenjenim njim

Povezano: Zakaj je generacija Z nova sila, ki preoblikuje varnost OT

Letalska družba pridobi SASE za posodobitev poslovanja

Avtor: Karen D. Schwartz, pisateljica Dark Reading

Cathay, blagovna znamka potovalnega življenjskega sloga, ki vključuje letalsko družbo Cathay Pacific, je imela vedno večjo težavo s kibernetsko varnostjo, ki jo je še poslabšala stara tehnološka infrastruktura. Del težave je rešil z zamenjavo starejše tehnologije s sodobno, ki ima vgrajeno varnost.

Sodobno letalstvo je mešanica stare in nove tehnologije, kar ustvarja kompleksno okolje, ki ga je težko zavarovati. Letalski sistemi so močno odvisni od strojnega učenja in umetne inteligence, razširjene resničnosti, tehnologije v oblaku in interneta stvari, kar vse širi površino napada.

Cathay Pacific, ki je doživel veliko kršitev podatkov se je v zadnjih letih odločil zamenjati svojo infrastrukturo s tisto, ki ima vgrajeno kibernetsko varnost: ko bo v celoti deloval, bo Cathay Pacific ena prvih letalskih družb, ki bo sprejela rob storitev varnega dostopa (SASE).

To je začetek trenda. Novembra je Qatar Airways objavil, da bo svojemu tehnološkemu naboru dodal SASE; United Airlines in Qantas sta prav tako nakazala premikanje v smeri SASE.

Preberite več o Cathayjevi študiji primera: Letalska družba pridobi SASE za posodobitev poslovanja

Povezano: TSA izda nujno direktivo za večjo kibernetsko odpornost letalstva

Prepoznavanje varnosti kot strateške komponente poslovanja

Komentar Michaela Armerja, CISO, RingCentral

V današnjih okoljih je varnost lahko vir prihodkov, ne le stroškovno mesto. Organizacije bi morale izkoristiti priložnosti.

Mnoge organizacije na varnost še vedno pogosto gledajo kot na nujen strošek in stroškovno mesto, v resnici pa so varnostne ekipe strateška komponenta, ki lahko zagotovi storitve, ki resnično omogočajo podjetje.

Nova varnostna storitev, ki strankam omogoča samopostrežno storitev, na primer ne ustvarja neposredno prihodkov, saj jih stranka ne zaračuna. Vendar izboljšuje uporabniško izkušnjo, dodaja vrednost za stranke in omogoča prodajo.

In varnostni skladi, ki jih poganja umetna inteligenca (AI). pomagajo varnostnim ekipam ustvariti nove tokove prihodkov s krepitvijo zaupanja strank, izboljšanjem neprekinjenega poslovanja in zagotavljanjem konkurenčne diferenciacije.

Obstajajo tudi drugi načini, na katere sta lahko IT in varnost bolj sestavni del operacij, na primer krizno upravljanje. Veliko podjetij ima načrte za neprekinjeno poslovanje in načrte za obnovitev po katastrofi, nimajo pa načrta za krizno upravljanje. Varnost morda ni lastnik tega področja osredotočenosti, vendar je ključni deležnik.

Odkrijte več o varnosti kot strateški dobrini: Prepoznavanje varnosti kot strateške komponente poslovanja

Povezano: Varnost je povečevalec prihodkov, ne stroškovno središče

Globalno: Južnoafriške železnice so zaradi lažnega predstavljanja izgubile več kot milijon dolarjev

John Leyden, sodelujoči pisatelj Dark Reading

Nekaj ​​več kot polovica ukradenih sredstev je bila vrnjena, saj raziskovalci ugotavljajo, da so za to krivi "računi duhov".

Južnoafriška železniška agencija je izgubila približno 30.6 milijona randov (1.6 milijona ameriških dolarjev), potem ko je prometno omrežje postalo žrtev phishing prevara.

Raziskovalci verjamejo, da je na podlagi poročila železnice morda napad delo zaposlenega, ki je ustvaril račune duhov zaposlenih, da bi poneveril denar - kar kaže, da grožnje notranjih informacij še vedno predstavljajo veliko tveganje za organizacije, saj vplivajo na integriteto, zaupnost in razpoložljivost njihovih podatkov, osebja in objektov.

Digitalne bančne goljufije v regiji naraščajo, saj se je število primerov digitalnih bančnih goljufij v primerjavi z letom 30 povečalo za 2022 %, poroča Južnoafriški center za informacije o bančnem tveganju (SABRIC).

Upoštevajte (varnostno) vrzel: Južnoafriške železnice so zaradi lažnega predstavljanja izgubile več kot milijon dolarjev

Povezano: Železniška kibernetska varnost je kompleksno okolje

Pogled kibernetske zavarovalnice na to, kako se izogniti izsiljevalski programski opremi

Tiago Henriques, podpredsednik za raziskave, koalicija

Zavarovalnice imajo edinstven pogled na uničujoče posledice izsiljevalske programske opreme, kar nam omogoča, da se naučimo, kako se izogniti temu, da postanemo žrtev.

Poročilo Coalition's Cyber ​​Claims Report je pokazalo, da je bila zaradi velikih skokov dejavnosti izsiljevalska programska oprema največje gonilo splošnega povečanja terjatve kibernetskega zavarovanja pogostost v prvi polovici leta 2023, kar predstavlja 19 % vseh prijavljenih škod.

Resnost zahtevkov izsiljevalske programske opreme je prav tako dosegla rekordno raven, s povprečno izgubo več kot 365,000 $. Ta skok predstavlja 117-odstotno povečanje v enem letu. Povprečna zahteva po odkupnini v prvi polovici leta je znašala 1.62 milijona dolarjev, kar je 74-odstotno povečanje v primerjavi s preteklim letom.

Pogostost zahtevkov se je povečala za vse razrede prihodkov, vendar so podjetja z več kot 100 milijoni dolarjev prihodkov zabeležila največje povečanje, in sicer 20 %. Podjetja z več kot 100 milijoni dolarjev prihodkov so bila prav tako najbolj prizadeta, saj so se resnost zahtevkov povečala za 72 %.

Na srečo obstajajo ključni koraki, ki jih lahko podjetja sprejmejo, da zmanjšajo svojo izpostavljenost in preprečijo finančni vpliv napada.

Ugotovite, kaj storiti: Pogled kibernetske zavarovalnice na to, kako se izogniti izsiljevalski programski opremi

Povezano: Stroški čiščenja izsiljevalske programske opreme družbe Johnson Controls znašajo najvišjih 27 milijonov USD in še naraščajo

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/ics-ot-security/ciso-corner-gen-z-challenges-ciso-liability-cathay-pacific