Segurança é tudo sobre mentalidade: Sumit Dhar, CISO, Edgeverve
Apesar da melhor defesa e da melhor infra-estrutura, as organizações são hackeadas. No entanto, o sucesso de um programa de segurança não deve ser definido individualmente pela capacidade de prevenir brechas de segurança, mas pela capacidade da organização para rapidamente recuperar, afirma Sumit Dhar, diretor sênior e chefe de Segurança da Informação, EdgeVerve (uma subsidiária da Infosys) Em uma entrevista com a CE
Quais são os riscos de segurança típicos que as organizações enfrentam hoje?
Não há escassez de riscos de segurança na economia digital de hoje. Se você olhar para os ataques de hoje, eles estão ficando cada vez maiores, mais complexos e surpreendentemente sofisticados. Além disso, como se tornou evidente com Stuxnet, estados-nação estão agora envolvidos. Dito isto, na minha opinião, os principais riscos de segurança que as organizações enfrentam atualmente são:
Quais são os riscos de segurança típicos que as organizações enfrentam hoje?
Não há escassez de riscos de segurança na economia digital de hoje. Se você olhar para os ataques de hoje, eles estão ficando cada vez maiores, mais complexos e surpreendentemente sofisticados. Além disso, como se tornou evidente com Stuxnet, estados-nação estão agora envolvidos. Dito isto, na minha opinião, os principais riscos de segurança que as organizações enfrentam atualmente são:
# 1 Ransomware: Há uma razão pela qual ransomware é uma ameaça tão grave. Uma vez que uma vítima é infectada, é geralmente jogo mais para eles. Além disso, com outras violações, os atores mal-intencionados precisam encontrar intermediários para comprar os dados (por exemplo, detalhes do cartão de crédito). No entanto, com Ransomware eles completamente cortar os intermediários e bolso 100% dos rendimentos. Portanto, Ransomware continuará a ser uma ameaça fundamental para as organizações em 2017.
# 2 Violações de dados: A segurança da informação é assimétrica. Defensores precisam garantir que cada servidor, cada componente de rede, cada aplicativo é endurecido. Os atacantes, por outro lado, precisam encontrar apenas uma fraqueza nas defesas da organização. Como resultado, continuaremos a ver violações de dados.
# 3 Mobile Malware: Se alguém olhar para os pagamentos oferecidos por empresas como Zerodium (uma empresa adquirindo vulnerabilidades premium zero-dia com explorações funcionais de pesquisadores de segurança e empresas), os maiores pagamentos são para sistemas operacionais móveis (iOS e Android). Isso indica claramente a importância que os invasores estão colocando em plataformas móveis. Se os hackers como o Zerodium estão se concentrando tanto em plataformas móveis, não seria surpreendente ver um foco semelhante no blackhat e comunidade subterrânea. Dada a penetração dos celulares, é óbvio que veremos um aumento exponencial de ataques dirigidos a plataformas móveis.
Dada a exposição ao risco, o que as organizações devem fazer?
Três palavras: Defesa em Profundidade. Infelizmente, não há uma única bala de prata que pode resolver problemas de segurança de uma organização relacionados. Portanto, os CISOs globalmente estão se concentrando na defesa em profundidade e adicionando várias camadas de proteção para defender sua organização. Pessoalmente, eu acredito, aqui estão algumas das camadas que são exigidos na postura de segurança de qualquer organização:
Três palavras: Defesa em Profundidade. Infelizmente, não há uma única bala de prata que pode resolver problemas de segurança de uma organização relacionados. Portanto, os CISOs globalmente estão se concentrando na defesa em profundidade e adicionando várias camadas de proteção para defender sua organização. Pessoalmente, eu acredito, aqui estão algumas das camadas que são exigidos na postura de segurança de qualquer organização:
Camada 1: Uma forte cultura de segurança cibernética
Isso requer o compromisso da alta gerência com a formação e conscientização relacionadas à segurança e segurança para todos os funcionários.
Isso requer o compromisso da alta gerência com a formação e conscientização relacionadas à segurança e segurança para todos os funcionários.
Camada 2: Um Sistema de Gerenciamento de Segurança da Informação apropriado.
Tal sistema tipicamente consistiria em políticas relevantes, procedimentos, diretrizes etc. Muitas organizações podem usar a ISO 27001 como uma estrutura para desenvolver seu ISMS.
Tal sistema tipicamente consistiria em políticas relevantes, procedimentos, diretrizes etc. Muitas organizações podem usar a ISO 27001 como uma estrutura para desenvolver seu ISMS.
Camada 3: Controles Técnicos Robustos
Isso inclui infra-estrutura de segurança de perímetro (Firewalls, Sistemas de Detecção / Prevenção de Intrusão, Anti-Malware, Firewall de Aplicações Web, Gerenciamento de Evento de Informações de Segurança etc.), endurecimento de OS / DB / Application e uso de protocolos de segurança apropriados. SSH sobre Telnet, sftp sobre ftp).
Isso inclui infra-estrutura de segurança de perímetro (Firewalls, Sistemas de Detecção / Prevenção de Intrusão, Anti-Malware, Firewall de Aplicações Web, Gerenciamento de Evento de Informações de Segurança etc.), endurecimento de OS / DB / Application e uso de protocolos de segurança apropriados. SSH sobre Telnet, sftp sobre ftp).
Camada 4: Garantia
Como parte da garantia, é imperativo que as organizações realizem avaliações periódicas de vulnerabilidade, testes de penetração e auditorias de segurança.
Como parte da garantia, é imperativo que as organizações realizem avaliações periódicas de vulnerabilidade, testes de penetração e auditorias de segurança.
Camada 5: Governança Governança
incluiria métricas relacionadas à segurança, benchmarking e relatar a postura de segurança para o conselho da organização.
incluiria métricas relacionadas à segurança, benchmarking e relatar a postura de segurança para o conselho da organização.
Assim será a defesa seguinte em profundidade garantir 100% de segurança?
Antes de responder, deixe-me usar este exemplo: Existe alguma piscina que é 100% segura? A resposta para isso é claramente não. Você pode se afogar na extremidade rasa, bem como na extremidade profunda. No entanto, a probabilidade de afogamento na parte rasa é muito menor do que a probabilidade de afogamento na extremidade profunda.
Antes de responder, deixe-me usar este exemplo: Existe alguma piscina que é 100% segura? A resposta para isso é claramente não. Você pode se afogar na extremidade rasa, bem como na extremidade profunda. No entanto, a probabilidade de afogamento na parte rasa é muito menor do que a probabilidade de afogamento na extremidade profunda.
A segurança é semelhante. Ninguém pode afirmar ser 100% seguro. No entanto, seguindo a defesa em profundidade e outras boas práticas, as organizações podem reduzir significativamente a probabilidade de uma violação de segurança.
Além de se concentrar na prevenção de violações de segurança, o que as organizações devem fazer?
Bem, em algum momento CISOs perceber que apesar de seus melhores esforços podem ocorrer incidentes de segurança. No mundo de hoje, o sucesso de um programa de segurança não deve ser definido singularmente pela capacidade de prevenir brechas de segurança, mas pela capacidade da organização de recuperar rapidamente. O foco deve ser, em seguida, ser capaz de detectar com precisão e responder prontamente.
Bem, em algum momento CISOs perceber que apesar de seus melhores esforços podem ocorrer incidentes de segurança. No mundo de hoje, o sucesso de um programa de segurança não deve ser definido singularmente pela capacidade de prevenir brechas de segurança, mas pela capacidade da organização de recuperar rapidamente. O foco deve ser, em seguida, ser capaz de detectar com precisão e responder prontamente.
Algumas das principais organizações hoje em dia estão usando análises avançadas para detectar ameaças de segurança. Eles estão correlacionando eventos em uma variedade de dispositivos de rede e servidores para identificar possíveis brechas. Além disso, cada vez mais a detecção é baseada no comportamento do usuário, em vez de simples assinaturas.
Por último, uma vez que uma violação foi identificada, o tempo é essencial. A resposta do incidente da organização deve ser rápida, focada e rápida. A preparação e o planejamento prévios são fundamentais quando se trata de uma resposta bem-sucedida ao incidente.
Assim, na minha opinião, a necessidade da hora de hoje é um programa bem integrado de prevenção, detecção e resposta a incidentes.
Quais são seus pensamentos sobre a escassez de habilidades em Segurança da Informação?
É verdade que há escassez de profissionais tecnicamente competentes e qualificados de Segurança da Informação no país. Dito isto, também estou muito impressionado com a qualidade da actual safra de jovens profissionais de segurança. Especialmente aqueles envolvidos na segurança de aplicações web. Os vários programas de bounty bug resultaram em grande interesse para a segurança das aplicações e hoje vejo trabalho incrível sendo feito por jovens que ainda estão na faculdade ou têm apenas um par de anos de experiência de trabalho. No geral, isso é bom para a indústria e ouso dizer que o país também.
É verdade que há escassez de profissionais tecnicamente competentes e qualificados de Segurança da Informação no país. Dito isto, também estou muito impressionado com a qualidade da actual safra de jovens profissionais de segurança. Especialmente aqueles envolvidos na segurança de aplicações web. Os vários programas de bounty bug resultaram em grande interesse para a segurança das aplicações e hoje vejo trabalho incrível sendo feito por jovens que ainda estão na faculdade ou têm apenas um par de anos de experiência de trabalho. No geral, isso é bom para a indústria e ouso dizer que o país também.
A necessidade da hora é para as empresas, a academia e líderes sênior Infosec para se reunir para orientar e orientar a geração mais jovem. Sem isso, vamos continuar a ver desafios com a obtenção das pessoas certas para a Segurança da Informação.
Algum último pensamento para as pessoas interessadas em construir sua carreira no domínio?
Vou ser breve aqui: segurança é tudo sobre mentalidade. Trata-se de pensar de uma maneira que um atacante malicioso faria. Rede com outros profissionais. Leia continuamente sobre segurança. Encontre um mentor. Por fim, para alguém ser realmente bem sucedido neste domínio, (s) ele tem que ser verdadeiramente apaixonado pela segurança.
- See more at: http://computer.expressbpd.com/news/security-is-all-about-mindset-sumit-dhar-ciso-edgeverve/21109/#sthash.1hmNSzNI.dpuf
Vou ser breve aqui: segurança é tudo sobre mentalidade. Trata-se de pensar de uma maneira que um atacante malicioso faria. Rede com outros profissionais. Leia continuamente sobre segurança. Encontre um mentor. Por fim, para alguém ser realmente bem sucedido neste domínio, (s) ele tem que ser verdadeiramente apaixonado pela segurança.