Куточок CISO: виклики покоління Z, відповідальність CISO та приклад Cathay Pacific

Ласкаво просимо до CISO Corner, щотижневого дайджесту статей Dark Reading, спеціально розробленого для читачів і лідерів безпеки. Щотижня ми пропонуватимемо статті, зібрані з наших новин, The Edge, DR Technology, DR Global і нашого розділу коментарів. Ми прагнемо запропонувати вам різноманітний набір точок зору для підтримки роботи із введення в дію стратегій кібербезпеки для керівників організацій усіх форм і розмірів.

У цьому випуску:

Роль CISO зазнає значної еволюції

Коментар Марка Боулінга, CISO та спеціаліста з ризиків, ExtraHop

Після SolarWinds керівникам інформаційної безпеки вже недостатньо залишатися відповідними вимогам.

Коли CISO наймають, їх часто описують як відповідальних за впровадження ефективної системи безпеки, інформаційної безпеки та управління ризиками у своїх організаціях. Але останнім часом дехто може сказати, що посадова інструкція CISO має включати «Падіння хлопця перед обличчям кіберінциденту» після Комісія з цінних паперів і бірж (SEC) висуває звинувачення проти SolarWinds CISO.

CISO є важливою особою, яка приймає рішення щодо кожного питання безпеки в організації. Але тепер, хоча SolarWinds є намагаючись домогтися відхилення позову SEC, існує прецедент щодо особистої юридичної відповідальності за порушення та атаки, і деякі кажуть, що це створило стримуючий фактор для ролі CISO у публічних компаніях.

З огляду на цю нову відповідальність, настав час поговорити про те, що потрібно, щоб бути хорошим CISO — і про те, де робота виходить за рамки опису. Наприклад, переконайтеся, що навколо вас сильна команда. Припустимо, що правила підзвітності можуть змінитися в будь-який момент. І знайте, що бути «включеним» весь час є частиною ролі.

Отримайте більше інформації про це: Роль CISO зазнає значної еволюції

За темою: Навички спілкування, які потрібні кожному CISO, щоб надихнути на кращі стосунки в залі засідань

Залучайте молодих користувачів освітою з кібербезпеки, розробленою для них

Тетяна Волк-Морріс, письменниця, яка бере участь у темному читанні

Безпеку не слід розглядати як універсальну технологію, і це подвійно вірно, коли йдеться про освіту з питань безпеки. Щоб навчання було ефективним, необхідно адаптувати його до віку, стилю навчання та бажаних засобів масової інформації.

Згідно з опитуванням Yubico та OnePoll серед 2,000 споживачів у США та Великобританії, опублікованому в жовтні, близько 20% учасників бебі-буму повторно використовують свої паролі в онлайн-сервісах, але, як не дивно, майже половина (47%) міленіалів це робить, що робить їх більш уразливими до кібератак.

Що можна винести для бізнесу? Інтернет-користувачі тисячоліття та покоління Z можуть частіше вдаватися до неналежних методів кібербезпеки та ризикованої поведінки, як-от повторне використання паролів, відсутність багатофакторної автентифікації та відсутність захисту своєї платіжної інформації, — але справа не в тому, що молодих користувачів Інтернету не навчили безпеки в Інтернеті.

Навпаки, тренінг не мав такого резонансу, як мав би бути. Різні вікові демографічні групи по-різному думають про безпеку в Інтернеті, і це впливає як організації повинні підходити до навчання користувачів кіберобізнаності.

Ось як організації можуть адаптувати свої освітні програми з кібербезпеки відповідно до аудиторії різних демографічних груп, проводити тренінги частіше та підвищувати обізнаність протягом року, щоб гарантувати, що повідомлення безпеки не будуть забуті чи проігноровані.

Детальніше: Залучіть молодих користувачів освітою з кібербезпеки, розробленою для них

За темою: Чому покоління Z є новою силою, яка змінює безпеку OT

Авіакомпанія отримує SASE для модернізації операцій

Карен Д. Шварц, письменниця, яка бере участь у темному читанні

Cathay, бренд туристичного стилю життя, який включає авіакомпанію Cathay Pacific, зіткнувся зі зростаючою проблемою кібербезпеки, що погіршилася через старіння технологічної інфраструктури. Це частково вирішило проблему, замінивши застарілу технологію на сучасну, яка має вбудований захист.

Сучасна авіація — це суміш застарілих і нових технологій, що створює складне середовище, яке важко забезпечити. Авіаційні системи значною мірою покладаються на машинне навчання та штучний інтелект, доповнену реальність, хмарні технології та Інтернет речей, які розширюють зону атаки.

Cathay Pacific, яка зазнала великого витоку даних останніми роками вирішила замінити свою інфраструктуру на таку, яка має вбудовану кібербезпеку: після повної готовності Cathay Pacific стане однією з перших авіакомпаній, які охоплять технологію безпечного доступу (SASE).

Це початок тенденції. У листопаді Qatar Airways оголосила, що додасть SASE до свого пакету технологій; United Airlines і Qantas також заявили про рух у напрямку SASE.

Докладніше про приклад Cathay: Авіакомпанія отримує SASE для модернізації операцій

За темою: TSA видає термінову директиву, щоб зробити авіацію більш стійкою до кібернетичного впливу

Визнання безпеки як стратегічної складової бізнесу

Коментар Майкла Армера, CISO, RingCentral

У сучасному середовищі безпека може бути джерелом доходу, а не лише центром витрат. Організації повинні скористатися можливостями.

Багато організацій все ще часто розглядають безпеку як необхідну витрату та центр витрат, але насправді групи безпеки є стратегічним компонентом, який може надавати послуги, які дійсно сприяють розвитку бізнесу.

Наприклад, нова служба безпеки, яка забезпечує самообслуговування клієнтів, безпосередньо не приносить доходу, оскільки клієнт не стягує плату. Але це покращує взаємодію з клієнтами, додаючи цінності для клієнтів і сприяючи продажу.

І, стеки безпеки на основі штучного інтелекту (AI). допомагають командам безпеки створювати нові джерела доходу, зміцнюючи довіру клієнтів, покращуючи безперервність бізнесу та забезпечуючи конкурентоспроможність.

Існують інші способи, за допомогою яких ІТ та безпека можуть стати більш невід’ємною частиною операцій, наприклад, у управлінні кризовими ситуаціями. Багато компаній мають плани забезпечення безперервності діяльності та аварійного відновлення, але їм не вистачає плану управління кризою. Можливо, безпека не володіє цією сферою уваги, але вона є ключовою зацікавленою стороною.

Дізнайтеся більше про безпеку як стратегічний актив: Визнання безпеки як стратегічної складової бізнесу

За темою: Безпека є джерелом прибутку, а не центром витрат

Глобально: південноафриканська залізниця втратила понад 1 мільйон доларів через фішинг

Автор: Джон Лейден, автор-учасник Dark Reading

Трохи більше половини вкрадених коштів було повернуто, оскільки дослідники вважають, що винні в цьому «примарні облікові записи».

Залізничне агентство Південної Африки втратило приблизно 30.6 мільйона рандів (1.6 мільйона доларів США) після того, як транспортна мережа стала жертвою аварії. шахрайським.

Дослідники вважають, що, виходячи зі звіту залізниці, атака може бути результатом роботи співробітника, який створив облікові записи-привиди співробітників, щоб привласнити гроші, що свідчить про те, що внутрішні загрози все ще становлять значний ризик для організацій, впливаючи на цілісність, конфіденційність і доступність. їхніх даних, персоналу та засобів.

Цифрове банківське шахрайство в регіоні зростає: за даними Південноафриканського центру інформації про банківські ризики (SABRIC), кількість випадків цифрового банківського шахрайства зросла на 30% порівняно з 2022 роком.

Зверніть увагу на прогалину (безпеки): Південноафриканська залізниця втратила понад 1 мільйон доларів через фішинг

За темою: Кібербезпека залізничного транспорту – це складне середовище

Погляд кіберстраховика на те, як уникнути програм-вимагачів

Тіаго Енрікес, віце-президент з досліджень Коаліції

Страхові компанії мають унікальний погляд на згубні дії програм-вимагачів, що дозволяє нам сформулювати уроки, як не стати жертвою.

У звіті Coalition Cyber ​​Claims Report виявилося, що через значні сплески активності програми-вимагачі були найбільшим фактором загального зростання кіберстрахування у першій половині 2023 року, що становить 19% від усіх зареєстрованих претензій.

Серйозність претензій щодо програм-вимагачів також досягла рекордного рівня, із середніми збитками понад 365,000 117 доларів США. Цей сплеск означає зростання на 1.62% протягом одного року. Середня вимога викупу в першому півріччі склала 74 мільйона доларів, що на XNUMX% більше, ніж за минулий рік.

Частота претензій зросла для всіх груп доходу, але компанії з доходом понад 100 мільйонів доларів США спостерігали найбільше зростання на 20%. Підприємства з прибутком понад 100 мільйонів доларів також постраждали найбільше, зазнавши збільшення серйозності позовів на 72%.

На щастя, є важливі кроки, які компанії можуть вжити, щоб мінімізувати свій ризик і запобігти фінансовим наслідкам атаки.

Дізнайтеся, що робити: Погляд кіберстраховика на те, як уникнути програм-вимагачів

За темою: Johnson Controls коштує на видалення програм-вимагачів понад 27 мільйонів доларів і зростає

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/ics-ot-security/ciso-corner-gen-z-challenges-ciso-liability-cathay-pacific