सीआईएसओ होने के लिए यह एक चुनौतीपूर्ण समय है। पिछले कुछ हफ्तों में सुरक्षा समुदाय उबेर के बारे में कई कहानियों का उत्सुकता से अनुसरण कर रहा है। से उनके हालिया प्रमुख हैक का प्ले-बाय-प्ले, पूर्व उबेर सुरक्षा प्रमुख जो सुलिवन के पिछले हफ्ते के दोषी फैसले के लिए, सीआईएसओ को काफी चुनौतियों का सामना करना पड़ रहा है।

सुलिवन मामले में फैसले ने उन्हें एक संघीय जांच में बाधा डालने और सरकार से अपराध छुपाने का दोषी पाया। के मुताबिक न्यूयॉर्क टाइम्स: “कैलिफोर्निया के उत्तरी जिले के लिए अमेरिकी अटॉर्नी स्टेफनी एम. हिंड्स ने एक बयान में कहा: 'हम कॉर्पोरेट अधिकारियों द्वारा जनता से महत्वपूर्ण जानकारी को छिपाने को बर्दाश्त नहीं करेंगे, जो उनकी और उनके नियोक्ताओं की प्रतिष्ठा की रक्षा करने में अधिक रुचि रखते हैं। उपयोगकर्ताओं की रक्षा करना। जहां इस तरह का आचरण संघीय कानून का उल्लंघन करता है, उस पर मुकदमा चलाया जाएगा।'”

सरकार यूएस में सीआईएसओ को एक संदेश भेज रही है - खुलासा करें और संभावित रूप से अपनी नौकरी खो दें, या कवर करें और जेल जाएं। यदि वे सरकार को जानकारी का खुलासा करते हैं, तो वे अनुपालन नियमों को पूरा करते हैं, लेकिन उनका काम खतरे में पड़ जाएगा। एक उल्लंघन, विशेष रूप से एक जिसमें व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) से छेड़छाड़ की जाती है, जिसके परिणामस्वरूप मुकदमा होगा और सीआईएसओ को निकाल दिया जाएगा।

लेकिन गैर-अनुपालन के लिए सजा, पूर्ण प्रकटीकरण प्रदर्शित करने में असमर्थता, या बीच में कोई ग्रे ज़ोन अब व्यक्तिगत है (अन्य नियमों के विपरीत जहां गैर-अनुपालन के परिणामस्वरूप कंपनी के लिए जुर्माना होता है)। उबेर मामले में एक उल्लंघन को कवर करना, और फिर एक संघीय जांच के संदर्भ में हैक के विवरण को और छिपाना, परिणामस्वरूप जेल की सजा हो सकती है।

यह मामला सीआईएसओ के लिए एक नई चुनौती भी सामने लाता है: "आप क्या जानते थे?" जानकारी छुपाना इस मामले और फैसले का अहम हिस्सा है। "मुझे नहीं पता" कहकर सूचना को छुपाना डेटा उल्लंघन वाले सीआईएसओ के लिए कोई जवाब नहीं है - यह सर्वोत्तम रूप से लापरवाही को दर्शाता है और सबसे खराब झूठ है। सुरक्षा टीमों को जानने की जरूरत है - और सबसे अधिक संभावना है do उनके द्वारा उपयोग किए जाने वाले कई सुरक्षा उपकरणों से उनकी सुरक्षा मुद्रा के बारे में जानें — और वे जो जानते हैं उसे छुपाया नहीं जा सकता।

सुलिवन मामले में सुरक्षा उद्योग के लिए भारी गुरुत्वाकर्षण है। हम सीआईएसओ से क्या उम्मीद कर सकते हैं? क्या ये उम्मीदें जायज हैं?

CISOs के लिए अपेक्षाओं का प्रबंधन

प्रस्तावित कानून के अनुसार, उम्मीदें इस प्रकार हैं। से सामग्री साइबर सुरक्षा घटनाओं के बारे में प्रपत्र 8-के (6-के) प्रकटीकरण (पीडीएफ) - निम्नलिखित नियम जोड़े जाएंगे:

• फॉर्म 1.05-के के नए आइटम 8 में एसईसी-रिपोर्टिंग कंपनियों को यह निर्धारित करने के चार व्यावसायिक दिनों के भीतर एक सामग्री साइबर सुरक्षा घटना का खुलासा करने की आवश्यकता होगी कि एक महत्वपूर्ण घटना हुई है।
• घटना का पता चलने के बाद कंपनी को "यथोचित रूप से व्यावहारिक रूप से जल्द से जल्द" साइबर सुरक्षा घटना की भौतिकता का निर्धारण करना चाहिए।
• एसईसी ने पिछले साल एक साइबर सुरक्षा प्रवर्तन कार्रवाई में संकेत दिया था कि कंपनियों को यह सुनिश्चित करने के लिए डिजाइन किए गए प्रकटीकरण नियंत्रण और प्रक्रियाओं को बनाए रखना चाहिए कि कंपनी की एसईसी रिपोर्ट में समय पर प्रकटीकरण के लिए किसी भी साइबर सुरक्षा घटना से संबंधित सभी उपलब्ध प्रासंगिक जानकारी का विश्लेषण किया जाता है।
• "साइबर सुरक्षा घटना" का अर्थ है कंपनी की सूचना प्रणाली पर या उसके माध्यम से एक अनधिकृत घटना जो किसी कंपनी की सूचना प्रणाली "या उसमें मौजूद किसी भी जानकारी" की गोपनीयता, अखंडता या उपलब्धता को खतरे में डालती है।

सवाल यह है कि सीआईएसओ को क्या करना चाहिए? वे पहले से ही कई सुरक्षा समाधान तैनात कर रहे हैं। ऑन-प्रिमाइसेस, क्लाउड, एंडपॉइंट डिटेक्शन, फायरवॉल, रैंसमवेयर रिकवरी, वर्कलोड प्रोटेक्शन ... सूची लंबी होती जाती है। फिर भी, हैकर्स घुस जाते हैं - जैसा कि उबेर के मामले में - अक्सर सरलता से फ़िशिंग लिंक पर क्लिक करने के लिए कर्मचारी को परेशान करना. हमले की रोकथाम पर लाखों डॉलर और "उपयोगकर्ता XYZ" सिस्टम को नीचे ले जाता है।

सीआईएसओ की सहायता के तरीके

मैं अपने अधिकांश करियर के लिए सुरक्षा में काम कर रहा हूं, हैकर्स को बाहर रखने वाले टूल का निर्माण कर रहा हूं। मैं कुछ प्रस्ताव देना चाहता हूं हम सीआईएसओ की मदद कैसे कर सकते हैं वे जिस जटिल स्थिति में हैं, उससे बाहर निकलें।

1. ऐसे टूल से छुटकारा पाएं जो हर संभावित हमले या गलत कॉन्फ़िगरेशन पर चेतावनी देते हैं। हर छोटी से छोटी चीज के लिए सुरक्षा टीमों को पिंग करने वाले अलर्ट-आधारित सुरक्षा उपकरणों की एक पीढ़ी ने स्थिति को और खराब कर दिया है। एक सुरक्षा दल के पास अपने सुरक्षा उपकरण द्वारा प्रदान किए जाने वाले सैकड़ों अलर्ट, अधिकतर झूठे अलर्ट के बारे में जानकारी रखने का कोई तरीका नहीं है। उन्हें अपनी विशिष्ट संपत्ति के संदर्भ में वास्तविक समय में आने वाले हमले को देखने में सक्षम होने की आवश्यकता है - एक जो कंपनी की सबसे मूल्यवान संपत्ति के लिए तत्काल जोखिम की पहचान करने वाली घटनाओं का अनुक्रम प्रदान करता है। हमें सुरक्षा टीमों का समर्थन करने के लिए बेहतर करने की जरूरत है उपकरण जो मूल्य प्रदान करते हैं, केवल अलर्ट नहीं.
2. रेटूल। नियामक उम्मीद करते हैं कि सीआईएसओ वास्तविक हमले की घटनाओं (बनाम संभावित गलत कॉन्फ़िगरेशन) के प्रभाव का तेजी से पता लगाने, विश्लेषण करने और समझने में सक्षम होंगे। यह सुनिश्चित करने के लिए कि हम हैकर्स से एक कदम आगे हैं, सुरक्षा सॉफ़्टवेयर "स्टैक" को फिर से टूलिंग और पुनर्विचार करने की आवश्यकता है। दिनांकित तकनीकों का उपयोग करना एक ऐसा क्षेत्र है जिसके परिणामस्वरूप अक्सर सुरक्षा सर्वोत्तम प्रथाओं और वास्तविकता के बीच घर्षण होता है।
3. सरकार के साथ अधिक निकटता से काम करें कानून के लिए प्रस्तावित किए जा रहे महत्वपूर्ण नियमों पर। हमारे सीआईएसओ को गुंडागर्दी के क्षेत्र में गिरने से बचाने के लिए, हमें ऐसे कानून की आवश्यकता है जो सीआईएसओ की रक्षा करते हुए जनता की रक्षा करे और डेटा उल्लंघनों की रिपोर्ट करे। सीआईएसओ जो वास्तव में हर हमले के परिदृश्य के लिए योजना बनाते हैं (और इस योजना को दिखा सकते हैं) लेकिन खुद को हैकर्स द्वारा आउटस्मार्ट पाते हैं, उन्हें उन कंपनियों द्वारा दंडित नहीं किया जाना चाहिए जिनकी वे सेवा करते हैं।
4. सुरक्षा लक्ष्यों को संरेखित करें। कई संगठन सुरक्षा पर ध्यान केंद्रित करने के लिए बहुत तेजी से आगे बढ़ रहे हैं — और यह उनके साथ हो जाएगा। नई और अभिनव सुविधाओं को जल्दी से वितरित करने और प्रतिस्पर्धात्मक लाभ बनाए रखने के लिए विकास दल सीआई/सीडी (निरंतर एकीकरण, वितरण और परिनियोजन) जैसी चुस्त तकनीकों का तेजी से लाभ उठा रहे हैं। और सुरक्षा देव टीम या किसी विशिष्ट कर्मचारी की रोजमर्रा की विचार प्रक्रिया का हिस्सा नहीं है - लेकिन यह होना चाहिए। संगठनों के पास एक सुरक्षा रणनीति होनी चाहिए जो संगठन में व्याप्त हो ताकि हर कोई - डेवलपर्स, मार्केटिंग, एचआर, वित्त, बोर्ड, और बाकी सभी सीआईएसओ और सुरक्षा टीमों के साथ जिम्मेदारी साझा करें। सब कर्मचारी डेटा संपत्तियों को सुरक्षित रखने में एक भूमिका निभाते हैं.