在2017年9月,Equifax承认它被黑客入侵。 违反敏感信息的行为影响到1.455亿人,黑客背后的人访问用户数据,包括税务识别号码、社会保障号码、出生日期、地址、驾驶执照号码和信用卡信息。
Equifax董事长兼首席执行官理查德?史密斯(Richard Smith)在违约行为被承认几天后从陷入困境的信用评级机构辞职。 一个月后,史密斯面对一个美国众议院委员会,接受了这一违约的责任,他说:“我最终要对我手表上发生的事情负责”。
SEE:信息安全事件报告政策(技术研究)
上个月在澳大利亚黄金海岸Gartner研讨会/IT Xpo上发表讲话时,Gartner副总裁保罗·普洛克托说,这位前首席执行官离开时开创了一个先例。 Proctor预计,随着更多违约行为的出现,这一趋势可能会继续下去。
以下是八个原因。
Proctor解释说:“另一种说法是:无形的系统性风险。
这是一个重要的过程要求系统始终保持在线,因为它支持核心业务功能的想法。
Proctor说:“问题在于,有一位企业高管正在发出这样的呼吁——这不是安全人员——这些人对安全并不真正了解。”
“这种情况发生在整个组织中,从系统没有修补到安全被组织内部的人包围。 安全人员可能知道这一点,但问题是它是无形的,因为你没有正确地告诉任何人这一点。”
文化上的脱节最好可以被描述为纯粹将安全视为技术人员处理的技术问题,因此被埋在IT中。
“他们把你当巫师。 他们给你一些钱,你施了一些咒语,组织得到了保护,如果出了什么问题,你必须受到责备。”Proctor说。
“为什么没有IT主管要求你建立一个安全的系统? 因为哪痴会建立一个不安全的系统? 问题是,如果我们告诉他们,建立一个安全的系统的成本是预算的两倍,并且将时间表延长两倍,我们就不会告诉他们,他们也不会注意到这一点。”
他说,安全人员经常接近一个普通的非IT高管,这是一种遗憾,他告诉他们修补程序有问题,他们会被解雇,并通过询问为什么它不是固定的来质疑他们的能力。
他补充说:“所有这些文化上的脱节导致投资决策不佳,优先事项不佳.而且这也导致了这样的想法:‘嗯,我相信保安人员能把这件事做对’。
SEE:赢得网络安全的战略(ZDNet特别报告)|下载PDF版本(技术共和国)
他说:“实际上,过度保护这个组织是可能的。”
“我会说,(超支导致)不恰当的投资决策,因为它并不总是关于花费太少,有时是关于在错误的领域花费太多。”
过时的做法是,董事会将投资增加一倍或三倍,并将安全推到他们的脑海中,这是不再可接受的。
普洛克托解释说:“事实是,如果你这样做,你不会得到完全的保护,你要开始做的是损害组织的运作能力。” “基本上对于一个CEO来说,花一大笔钱对你的商业运作产生负面影响,而你的商业成果并不是赢家。”
Proctor说:“我做保安已经30年了,所以我可以这样说:保安人员可能很烦人——他们是‘不’的人,他们走进来说:‘听着,我是为了保护这个组织,所以不,你不能这样做’。
“大多数安全章程的第一条是,本章程的目的是保护组织免受各种威胁等,因此,这种做法会使人们知道他们能做什么,不能做什么,这在组织的历史上从来没有起过作用,但却造成了严重的问题。
让保安人员负责保护他们不了解的商业结果,但仍然告诉人们该做什么是不合适的。
李:你被突破了:在接下来的48小时内采取八个步骤(免费PD F)(技术共和国)
根据Proctor的说法,给高管一张风险接受表基本上是一张出狱免费卡。
他说:“每个人都有某种形式让高管签字——他们不在乎...只要告诉我在哪里签字。”
Proctor分享了加拿大一家银行的一位高管不想将2FA应用于面向客户的应用程序的轶事,因为这会破坏客户体验,他说,要适当地授权问责是很困难的。
“几乎可以肯定的是,那个人有权制止这种行为。 具有讽刺意味的是,这可能是正确的商业决定。 “问题是,个人只拥有客户体验,他们拥有与组织安全无关的东西,因此他们的决定是从这一角度作出的----不追究责任。
Proctor说,由于问责制被打破,各组织最终也会遇到类似的不考虑因素的风险。
他说:“每个人都在做风险偏好声明,他们都倾向于说:‘是的,我们会在这里冒险’。
这通常是在一个组织中看到的,当有人接近董事会时,对一个应用程序有一个很好的想法,有一个短的上线时间,董事会希望它尽快发生。
普洛克托说:“这种想法是,我们要四处走走,说我们只接受低风险,然后从事实际上相当危险的活动。
普洛克托说:“社会,当他们看到这些漏洞的时候,社会只想让人抬头。”
他说,接受一个分支机构的物理安全步骤是矛盾的,但对待在线领域却不同。
他解释说:“当一家银行被抢劫时,社会就会明白,一家银行要经营它,就必须有一扇敞开的大玻璃门,而且他们必须有人.手头有大量的现金-社会明白,偶尔有人拿着枪会说:‘用钱装一个袋子’。
“社会对此很满意,因为我们对银行里的人表示同情。 网络安全没有那么多。
当网络安全出现问题时,第一个问题就是有人搞砸了。 这是因为我们把网络安全当作一个黑匣子,直到我们改变谈话,直到我们开始谈论这样一个事实:要使用数据,我们实际上必须使它打开,这导致问题,有时什么也不会改变。”
Proctor解释说:“许多组织不想对这些事情保持透明,他们想把它们隐藏起来,放在法律部门,这样它就属于律师-客户特权的范围。”
“这是一个相当大的原因,我们最终在优先事项和投资水平方面的决策不佳。”
首席执行官对一个组织内发生的一切负责,因此,如果Proctor列出的八个原因中的任何一个发生在一个组织内,并导致违约,首席执行官应该被要求离开。