サイバーセキュリティ:リーダーが知っておくべきこと
公開: 2022-04-28在宅勤務文化の突然の普及により、世界中の企業がサイバーセキュリティシステム、標準、および将来の戦略を検討するようになったため、サイバーセキュリティの必要性は近年爆発的に高まっています。
そのため、BrainStationは、金融サービス大手のMastercard 、投資会社Blackstone 、プロフェッショナルネットワーキングサイトLinkedIn 、ソフトウェア開発者Citrixでサイバーセキュリティ戦略をリードする4人の業界専門家を集め、BrainStationのデジタルリーダーシップイベントシリーズの一環として、サイバーセキュリティについてリーダーが知っておくべきことについて話し合いました。
ここで完全なパネルディスカッションを見ることができます:
サイバーセキュリティとは?
パネリストは、サイバーセキュリティの状況がどのように変化しているかを調査する前に、サイバーセキュリティに伴うものについてのアイデアを求められました。
LinkedInの情報セキュリティチームのシニアメンバーであるEugeneDvorochkinは、サイバーセキュリティを「テクノロジー、プロセス、および制御を使用してシステム、ネットワーク、およびデータを保護する」と要約しています。 最終的には、すべてがデータに戻ります…私たちがやろうとしているのは、そのデータを保護し、その整合性を保護し、データの不正使用がないことを確認することだけです。」
CitrixのチーフセキュリティストラテジストであるKurtRoemerが説明するように、データの機密性、整合性、および可用性を維持するというサイバーセキュリティの従来の焦点は、4番目の要素である安全性を含むように拡張する必要があります。 「私たちがIoTやその他の人工知能や[拡張現実アプリケーション]を採用するにつれて、安全性が非常に重要になる方法で、それは私たちの物理的な世界と統合されています。」
Blackstoneのシニアバイスプレジデント/IAMリード–サイバーセキュリティであるPuneet Bhatnagarは、より哲学的なアプローチを採用しています。 個人情報を提供するときに、アプリケーションにサインアップするのは快適ですか? その情報を提供しているブランドを信頼しますか?」 企業にとって、サイバーセキュリティを、アプリケーションとエコシステム内で信頼を構築するために必要なすべてのものと見なすことが重要です。」
Mastercardのデジタル&セキュリティソリューション担当バイスプレジデントであるSukhmaniDevも同意します。 「私たちは、信頼がすべてのトランザクションに反映されるようにしたいのです。」
その究極の目標を達成することは、テクノロジー自体と同じくらい動的なプロセスです。 以下は、パネリストが特定した幅広いトレンドのほんの一部です。
サイバーセキュリティはこれまで以上に重要です
COVID-19とその結果としての在宅勤務文化の爆発的増加により、10年から数か月かかると予想されていた進化が圧縮されました。 その加速は、より多くのオンラインアクティビティ、より多くの新規ユーザー、およびそれらのユーザーが依存する個々のシステムのより複雑さを意味します。これらはすべて、悪意のある人物にチャンスをもたらします。 その結果、より多くのデジタルセキュリティが突然急に必要になります。
その必要性の多くは、単純なボリュームに帰着します。 封鎖中、より多くの人々が自宅のデバイスで働いたり買い物をしたりしました。 Dvorochkin氏は、次のように説明しています。「ホームネットワークを使用している場合、パソコンやiPhoneなどのパーソナルデバイスを使用して企業の環境やデータにアクセスしている可能性があります。また、Zoomなどのサードパーティシステムに依存している可能性もあります。通信方法。 安全を確保するのが難しい環境になりつつあります。」
多くの大規模な国際企業にとって、リモートワークへの対応は比較的簡単でした。 しかし、多くの小規模な実店舗の企業にとって、これはデジタル世界への最初の進出を意味しました。これらは特にハッカーに対して脆弱です。 「[誤解です]大規模で有名な企業だけが攻撃の標的になっているということです」とDvorochkin氏は続けます。 「ハッカーはより高度になりましたが、彼らが使用するツールやテクニックも基本的に公開されています。 誰でもオンラインに接続して、どの企業もハッキングし始めることができます。 洗練されたハッカーの標的になっているのは、大規模で有名な企業だけではありません。文字通り、あらゆるママとポップショップになり得ます。」
Devは、システムの複雑さが増していることを別のベクトルとして識別します。 「すべてがこれまで以上に相互接続されています」と彼女は言います。 「銀行について考えると、彼らにはサプライヤーがいるかもしれませんが、その場合、彼らのサプライヤーにはサプライヤーがあり、これらは大規模なサプライチェーンです。 接続ポイントは、過去数年間で指数関数的に成長しました。」
これは、ハッカーが悪用するためのより弱いリンクを意味します–そしてハッカーは注意を払っています。
システムからユーザーへの移行
規模と複雑さの増大は、サイバーセキュリティチームがこれまで以上に多くの面で戦っていることも意味します。 これは、サイバーセキュリティの専門家が自分たちのタスクを考える方法に変化をもたらしています。 目標がデジタル要塞内のデータを保護することである場合、サイバーセキュリティの仕事は境界を保護することですが、境界とそれを攻撃するモードは常に変化しています。 データをロックダウンすることは答えではありません。誰もデータにアクセスできない場合、システムを使用しても意味がありません。 代わりに、優先順位は、最初に、それにアクセスする人々のIDを確認すること、そして次に、システム全体ではなく、必要なデータのみへのアクセスを許可することにシフトしています。
「以前は、4つの壁にある場合にのみ安全と見なすことができる特定のものがあった可能性があります」とRoemer氏は言います。 「それを振り返って、「4つの壁の外側、雲の中にあるときに、これらをどのように保護するのですか?」と言うとどうなりますか? ハイブリッドワークモデルを見ると、毎週さまざまな状況で働く人々がいます。オフィス、自宅、コーヒーショップ、外出先などです。 それらの個人が利用できる適切なセキュリティ環境をどのように確保しますか?」
Bhatnagarの場合、これは「真に保護できる唯一の実際の境界はID境界である」ことを意味します。 これには通常、多要素認証が必要です。これは、人々が本人であるかどうかを確認するのに役立ちます(「そこにはいくつかのクレイジーな統計があります」と、Bhatnagar氏は言います。 )。
その結果、「適切なネットワーク境界を設定したり、ファイアウォールを適切に設定したりするだけでは不十分です。 考え方をシステム中心またはネットワーク中心からアイデンティティ中心またはユーザー中心に移す必要があります。 それが、ゼロトラストのこれらの新しいパラダイムについて考え始めたときです。 人々が絶えずアクセスしている種類の情報があるため、システムにパッチを適用したり、ネットワークを保護したりするだけの場合は、常に追いつくことになります。」
ユーザーのIDに焦点を移すことは、外部のハッカーへのアクセスを排除するのに役立ちますが、正当なユーザーの必要なデータへのアクセスさえも制限することにより、内部からのリスクを抑えるのにも役立ちます。 もちろん、これはデータを自由に解析できるかどうかに依存します。 Dvorochkin氏は、次のように説明しています。 [あなたは]あなたが持っているすべてのデータについて非常に具体的である必要があります。 何がわからないのかわからないため、適切なIDタグ付けが非常に重要です。データがどこにあるか、データがどれだけあるか、特にサードパーティのサプライヤーとの取引を正確に知ることが重要です。 。 繰り返しになりますが、サードパーティのアプリケーションへの依存度が高まっており、サードパーティのアプリケーションは明らかに社内の従業員と同じレベルの信頼ではないためです。 それはすべて、識別に戻り、資産の在庫が十分にあり、制限できるようになります。」
文化と教育が鍵
チームメイトが参加しない限り、いかなる種類のサイバーセキュリティ戦略も実装できません。 そして、人間は常にサイバーセキュリティチェーンの中で最も弱いリンクです。ほとんどのハッキングは、コードを書くことではなく、権威を装って誰かをだましてパスワードをあきらめることによって行われます。 ここでの解決策は、技術的であると同時に社会的でもあります。
「サイバーセキュリティは、1人または1チームの責任ではありません」とBhatnagar氏は言います。 「誰もが袖をまくり上げて所有する必要があります。 エンドユーザーの意識向上トレーニングに重点を置き、フィッシングメールの識別を支援し、フィッシングのシミュレーションを実行し、これらのシミュレーションの複雑さを段階的に向上させて、常に従業員を教育しています。」
これにより、データ侵害の個々のインスタンスを直接削減できますが、サイバーセキュリティを重視する全社的な文化を育むのにも役立ちます。 「それを公開すると、誰もが理解できる言語になります。超技術的である必要があるのはサイバーセキュリティの専門家だけではなく、他のビジネスリーダーが理解できる一般的なフレームワークがあるということです。 これを使用して、意識を高め、戦略的な改善を続けるために必要な予算と資金およびリソースを得ることができます。」
Devは、企業文化の重要性を示しています。 「そして文化とともに、私はトレーニングも言います…。それはレガシーシステムと比較して非常に異なる考え方と操作です。 文化に対する姿勢が正しければ、残りのテクノロジーやデザインなどは適切に機能します。」
Roemerの場合、これは一番上から始まります。 「セキュリティは共通の責任であり、私たち全員がセキュリティの実践者である必要があります。 リーダーシップは人事部に行き、組織全体にセキュリティ機能が必要であることを知らせ、セキュリティが魅力的なキャリアであると感じている人にスキルアップと昇進の機会を提供し、それらの個人を引き寄せることができる方法について話し合う必要があります。 IT組織からですが、それが理にかなっているので、組織全体からです。したがって、組織の他のメンバーに連絡して[そしてそれを伝えてください]私たちは必死に追加のセキュリティ専門家を必要とし、私たち全員が実務家と見なされる必要があります。」
戦術からプラットフォームへの移行
やや逆説的ですが、システム全体のセキュリティからユーザーIDの境界への焦点のシフトを考えると、戦術からプラットフォームへのシフト、つまり、サイバーセキュリティの取り組みを個々の配列ではなく全体的な戦略に編成することへのシフトも見られます。パッチ。
Roemer氏は、次のように説明しています。「この理由は、ポイント製品の管理が非常に困難になっているためです。 それらはうまく統合されておらず、それらを効果的に使用するためのリソースがありません。 したがって、プラットフォームを構築して統合できるほど、セキュリティ機能を強化できます。」
Dvorochkinは、これは戦術だけでなくチーム全体を調整することを意味すると付け加えています。 「多くの場合、テクノロジードメインまたは機能はサイロ化されています。 私たちは明らかに、会社を成功させるという同じ目標を達成しようとしています。」
Bhatnagarの場合、より戦略的なアプローチには、十分な人員と資金を備えたセキュリティオペレーションセンターを設けることが含まれます。 積極的に行動することは常に良いことですが、それは最終的に違反が発生しないことを意味するわけではなく、発生した場合は、組織が行動に移す準備ができていることが不可欠です。 「ハッカーはより高度になり続け、彼らの技術はより永続的になり続けるので、左翼手から出てくるものは常にあります。」
サイバーセキュリティは常に動的です
DvorochkinはBhatnagarの感情を反映しています–応答性は非常に重要です。 サイバーセキュリティ戦略は、積極的かつ事後的に攻撃に対抗するために動的である必要があります。 反応面では、彼は次のように述べています。「それは問題ではなく、いつ侵害されるかという問題です。 継続的に完全に保護することはほとんど不可能です。 最終的に何かが通り抜けようとしています。 境界を保護することは重要であり、優れた検出制御を行うことは重要ですが、優れた応答と優れた評価を持ち、自分自身をテストできる必要もあります。」
積極的な側面では、これは常に戦略を評価することを意味します。 設定して忘れることはできません。 「(ある)誤解があります。「さて、私たちはテクノロジーに投資しました。この1回限りのセットアップを行いました。サイバーセキュリティプログラムがあり、準備は整っています」とDvorochkin氏は続けます。 「いくつかのツールを実装するための1回限りのセットアップ–それはあなたを保護するつもりはありません。 テクノロジーとサイバーの相乗的な関係により、テクノロジーはほぼ毎日変化しており、サイバーセキュリティも同様に急速に変化しています。 したがって、動的である必要があり、常に最新の状態である必要があり、サイバーセキュリティは安価ではないため、会社から十分な投資を行う必要があります。」
「情報技術ポートフォリオに一連の投資を検討してください」とRoemer氏は付け加えます。 「個人的な投資と同様に、時々調べて、うまく機能しているもの、機能していないもの、そして犬を捨ててより良い利益をもたらす何かに移る必要がある場所を再評価します。 セキュリティは非常によく似ています。 敏捷性が必要です。情報技術ポートフォリオを一連の決定ではなく、常に評価される一連の投資と見なすと、現在および将来のセキュリティニーズに対応するために前進することができます。」
(この記事の最終更新日は2022年1月です。 )