Dark Reading'in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner'a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Technology, DR Global ve Yorumlar bölümümüzden derlenen makaleleri sunacağız. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek üzere size çeşitli bakış açıları sunmaya kararlıyız.

Bu sayıda:

CISO Rolü Büyük Bir Evrim Geçiriyor

ExtraHop'tan CISO ve Risk Sorumlusu Mark Bowling'in yorumu

SolarWinds sonrası, baş bilgi güvenliği görevlilerinin uyumlu kalması ve bunu bir gün sonra yapması artık yeterli değil.

CISO'lar işe alındığında genellikle kuruluşlarında etkili güvenlik, bilgi güvenliği ve risk yönetimi çerçevelerinin uygulanmasından sorumlu olarak tanımlanırlar. Ancak son zamanlarda bazıları CISO'nun iş tanımının "siber olay karşısında düşen adam"ı da içermesi gerektiğini söyleyebilir. Menkul Kıymetler ve Borsa Komisyonu'nun (SEC) SolarWinds CISO'suna yönelik suçlamalar.

CISO, bir kuruluştaki her güvenlik meselesiyle ilgili önemli bir karar vericidir. Ama şimdi, SolarWinds olmasına rağmen SEC davasının reddedilmesini sağlamaya çalışıyorumİhlaller ve saldırılarda kişisel hukuki sorumluluk konusunda bir emsal var ve bazıları bunun halka açık şirketlerdeki CISO rolü için caydırıcı bir etki yarattığını söylüyor.

Bu yeni sorumluluğu akılda tutarak, iyi bir CISO olmanın neleri gerektirdiğini ve işin tanımın ötesine geçtiği yerleri konuşmanın tam zamanı. Örneğin etrafınızda güçlü bir ekibin olduğundan emin olun. Sorumluluk kurallarının her an değişebileceğini varsayalım. Ve her zaman "açık" olmanın rolün bir parçası olduğunu bilin.

Bu konuda daha fazla bilgi edinin: CISO Rolü Büyük Bir Evrim Geçiriyor

İlgili: Her CISO'nun Toplantı Odasında Daha İyi İlişkilere İlham Vermek İçin İhtiyaç Duyduğu Sosyal Beceriler

Genç Kullanıcıları, Onlar İçin Tasarlanmış Siber Güvenlik Eğitimiyle İlgilendirin

Yazan: Tatiana Walk-Morris, Dark Reading'e Katkıda Bulunan Yazar

Güvenlik herkese uyacak tek bir kalıp olarak ele alınmamalıdır ve güvenlik farkındalığı eğitimi söz konusu olduğunda bu iki kat doğrudur. Eğitimin etkili olması isteniyorsa yaşa, öğrenme stillerine ve tercih edilen medyaya göre özelleştirilmelidir.

Yubico ve OnePoll'un Ekim ayında 2,000 ABD ve İngiltere tüketicisiyle yaptığı ankete göre, Baby Boomers kuşağının yaklaşık %20'si çevrimiçi hizmetlerde şifrelerini yeniden kullanıyor; ancak şaşırtıcı bir şekilde Y kuşağının neredeyse yarısı (%47) bunu yapıyor ve bu da onları siber saldırılara karşı daha savunmasız hale getiriyor.

İşletmeler için paket servisi mi? Y Kuşağı ve Z Kuşağı İnternet kullanıcıları, şifreleri yeniden kullanmak, çok faktörlü kimlik doğrulamayı etkinleştirmemek ve ödeme bilgilerini güvence altına almamak gibi zayıf siber güvenlik uygulamalarına ve riskli davranışlara daha sık başvurabilir; ancak bu, genç İnternet kullanıcılarına çevrimiçi güvenlik konusunda eğitim verilmediği anlamına gelmez.

Aksine, eğitim olması gerektiği gibi yankı uyandırmadı. Farklı yaş demografik grupları İnternet güvenliği hakkında farklı şekillerde düşünür ve bu durum Kuruluşların kullanıcı siber farkındalık eğitimine nasıl yaklaşması gerektiği.

Kuruluşların siber güvenlik eğitim programlarını farklı demografik özelliklere sahip hedef kitlelere uyacak şekilde nasıl uyarlayabileceği, eğitim oturumlarını daha sık düzenleyebileceği ve güvenlik mesajlarının unutulmadığından veya göz ardı edilmediğinden emin olmak için yıl boyunca farkındalığı nasıl artırabileceği aşağıda açıklanmıştır.

Daha fazla oku: Genç Kullanıcılara Yönelik Tasarlanan Siber Güvenlik Eğitimi ile İlgi Çekin

İlgili: Z Kuşağı Neden OT Güvenliğini Yeniden Şekillendiren Yeni Güçtür?

Havayolu Operasyonlarını Modernize Etmek İçin SASE'yi Aldı

Yazan: Karen D. Schwartz, Dark Reading'e Katkıda Bulunan Yazar

Cathay Pacific havayolu şirketini de içeren bir seyahat yaşam tarzı markası olan Cathay, eskiyen teknoloji altyapısı nedeniyle daha da kötüleşen, büyüyen bir siber güvenlik sorunuyla karşı karşıyaydı. Eski teknolojiyi yerleşik güvenlik içeren modern bir teknolojiyle değiştirerek sorunun bir kısmını çözdü.

Modern havacılık, güvenliği sağlanması zor karmaşık bir ortam yaratan eski ve yeni teknolojinin bir karışımıdır. Havacılık sistemleri büyük ölçüde makine öğrenimi ve yapay zekaya, artırılmış gerçekliğe, bulut teknolojisine ve Nesnelerin İnterneti'ne dayanıyor ve bunların tümü saldırı yüzeyini genişletiyor.

Büyük bir veri ihlali yaşayan Cathay Pacific son yıllarda altyapısını yerleşik siber güvenlik içeren bir altyapıyla değiştirmeye karar verdi: Cathay Pacific, tam olarak faaliyete geçtiğinde güvenli erişim hizmeti uç noktasını (SASE) benimseyen ilk havayollarından biri olacak.

Bu bir trendin başlangıcı. Kasım ayında Qatar Airways, SASE'i teknoloji yığınına ekleyeceğini duyurdu; United Airlines ve Qantas da SASE yönünde hareket ettiklerini belirtti.

Cathay'in örnek olay incelemesi hakkında daha fazlasını okuyun: Havayolu Operasyonlarını Modernize Etmek İçin SASE'yi Aldı

İlgili: TSA, Havacılığı Daha Siber Dirençli Hale Getirmek İçin Acil Direktif Yayımladı

Güvenliği İşin Stratejik Bir Bileşeni Olarak Kabul Etmek

Michael Armer, CISO, RingCentral'ın yorumu

Günümüzün ortamlarında güvenlik yalnızca bir maliyet merkezi değil, gelir sağlayıcı da olabilir. Organizasyonlar fırsatlardan yararlanmalıdır.

Pek çok kuruluş hâlâ güvenliği gerekli bir harcama ve maliyet merkezi olarak görüyor ancak gerçekte güvenlik ekipleri, iş için gerçekten olanak sağlayan hizmetleri sağlayabilen stratejik bir bileşendir.

Örneğin, müşterinin self servis hizmetine olanak tanıyan yeni bir güvenlik hizmeti doğrudan gelir yaratmaz çünkü müşteriden herhangi bir ücret alınmaz. Ancak müşteri deneyimini geliştiriyor, müşterilere değer katıyor ve satışları mümkün kılıyor.

Ve, yapay zeka (AI) destekli güvenlik yığınları Müşteri güvenini güçlendirerek, iş sürekliliğini geliştirerek ve rekabette farklılaşma sağlayarak güvenlik ekiplerinin yeni gelir akışları oluşturmasına yardımcı oluyoruz.

BT ve güvenliğin kriz yönetimi gibi operasyonlarla daha bütünleşik olabileceği başka yollar da var. Pek çok şirketin iş sürekliliği ve felaket kurtarma planları var ancak kriz yönetimi planı yok. Güvenlik bu odak alanına sahip olmayabilir ancak kilit bir paydaştır.

Stratejik bir varlık olarak güvenlik hakkında daha fazlasını keşfedin: Güvenliği İşin Stratejik Bir Bileşeni Olarak Kabul Etmek

İlgili: Güvenlik Bir Gelir Artırıcıdır, Maliyet Merkezi Değildir

Küresel: Güney Afrika Demiryolları Kimlik Avı Dolandırıcılığında 1 Milyon Dolardan Fazla Kaybetti

Yazan: John Leyden, Dark Reading'e Katkıda Bulunan Yazar

Araştırmacılar suçlunun "hayalet hesaplar" olduğunu belirlerken, çalınan fonların yarısından biraz fazlası kurtarıldı.

Güney Afrika demiryolu acentesi, ulaşım ağının bir felaketin kurbanı olmasının ardından yaklaşık 30.6 milyon rand (1.6 milyon ABD doları) kaybetti. kimlik avı dolandırıcılığı.

Araştırmacılar, demiryolunun raporuna göre saldırının, parayı zimmete geçirmek için çalışanlara yönelik hayalet hesaplar oluşturan bir çalışanın işi olabileceğine inanıyor; bu da içeriden gelen tehditlerin hâlâ kuruluşlar için önemli bir risk oluşturduğunu, bütünlüğü, gizliliği ve kullanılabilirliği etkilediğini gösteriyor Verileri, personeli ve tesisleri.

Güney Afrika Bankacılık Risk Bilgi Merkezi'ne (SABRIC) göre, dijital bankacılık dolandırıcılığı vakalarında 30'ye kıyasla %2022 artışla birlikte bölgede dijital bankacılık dolandırıcılığı artıyor.

(Güvenlik) boşluğuna dikkat edin: Güney Afrika Demiryolları Kimlik Avı Dolandırıcılığında 1 Milyon Dolardan Fazla Kaybetti

İlgili: Demiryolu Siber Güvenliği Karmaşık Bir Ortamdır

Bir Siber Sigortacının Fidye Yazılımlarından Nasıl Korunulacağına İlişkin Bakış Açısı

Yazan: Tiago Henriques, Araştırmadan Sorumlu Başkan Yardımcısı, Koalisyon

Sigorta şirketlerinin fidye yazılımının yarattığı tahribat konusunda benzersiz bir görüşü var ve bu da kurban olmaktan nasıl kaçınacağımız konusunda dersler çıkarmamıza olanak tanıyor.

Koalisyonun Siber İddia Raporu, faaliyetlerdeki büyük artışlar nedeniyle fidye yazılımlarının genel artışın en büyük etkeni olduğunu ortaya çıkardı. siber sigorta talepleri 2023'ün ilk yarısındaki sıklık, bildirilen tüm iddiaların %19'unu oluşturuyor.

Fidye yazılımı iddialarının ciddiyeti de rekor seviyeye ulaştı ve ortalama 365,000 dolardan fazla kayıp yaşandı. Bu artış bir yıl içinde %117'lik bir artışı temsil ediyor. İlk yarıdaki ortalama fidye talebi geçen yıla göre %1.62 artışla 74 milyon dolar oldu.

Hasar sıklığı tüm gelir aralıklarında arttı ancak geliri 100 milyon doların üzerinde olan işletmeler %20 ile en büyük artışı gördü. Geliri 100 milyon dolardan fazla olan işletmeler de en ağır darbeyi aldı ve taleplerin ciddiyetinde %72'lik bir artış yaşandı.

Neyse ki işletmelerin saldırılara maruz kalma durumlarını en aza indirmek ve bir saldırının mali etkisini önlemek için atabileceği önemli adımlar var.

Ne yapacağınızı öğrenin: Bir Siber Sigortacının Fidye Yazılımlarından Nasıl Korunulacağına İlişkin Bakış Açısı

İlgili: Johnson Fidye Yazılımı Temizleme Maliyetlerini Kontrol Ediyor En Yüksek 27 Milyon Dolar ve Artmaya Devam Ediyor

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/ics-ot-security/ciso-corner-gen-z-challenges-ciso-liability-cathay-pacific