Home / How to / Οι 3 χρυσοί κανόνες που πρέπει να ακολουθούνται από κάθε CISO

Οι 3 χρυσοί κανόνες που πρέπει να ακολουθούνται από κάθε CISO

Ο ρόλος του Chief Information Security Officer (CISO) ή αλλιώς του Υπεύθυνου Ασφαλείας είναι εξαιρετικά σημαντικός για κάθε οργανισμό, ανεξάρτητα από το μέγεθος του. Η θέση και οι αρμοδιότητες του είναι να καθοδηγεί τους υπαλλήλους και κατά συνέπεια τον ίδιο τον οργανισμό προκειμένου να επιτυγχάνεται η προστασία των πληροφοριών και των συστημάτων (του οργανισμού).

Βέβαια υπάρχουν αρκετοί CISOs με έλλειψη εμπειρίας στις μεθόδους αντιμετώπισης κυβερνοεγκλημάτων/ ιών. Το εν λόγω πρόβλημα γίνεται ιδιαίτερα πιο έντονο όταν ο CISO δεν έχει τεχνικό υπόβαθρο ή αντίστοιχη εμπειρία, από προηγούμενες θέσεις εργασίας. Το τεχνικό υπόβαθρο θα πρέπει να περιλαμβάνει γνώσεις σε Penetration Testing και Forensic Investigation και να είναι ιδιαίτερα “ανοικτός/η” στο να διαβάσει/ εκπαιδευτεί σχετικά με τα εγκλήματα στον κυβερνοχώρο. Επιπροσθέτως, θα πρέπει οπωσδήποτε να ακολουθεί τους 3 παρακάτω χρυσούς κανόνες:

1. Οποιοσδήποτε είναι ένας εν δυνάμει στόχος κυβερνοεπίθεσης

Δεν παίζει κανένα ρόλο το είδος του οργανισμού, το μέγεθος ή οποιοδήποτε άλλο χαρακτηριστικό του, παρά μόνο εάν ο οργανισμός αποθηκεύει, επεξεργάζεται ή μεταφέρει δεδομένα με “αξία”, τότε είναι ένας εν δυνάμει στόχος κυβερνοεπίθεσης.

Αυτό συμβαίνει διότι υπάρχει μεγάλη ζήτηση στις μαύρες αγορές (black markets) για “πολύτιμα” δεδομένα, τα οποία αποθηκεύονται στους οργανισμούς. Για παράδειγμα τέτοια δεδομένα μπορεί να είναι στοιχεία επικοινωνίας, στοιχεία εισόδου λογαριασμών, αριθμοί πιστωτικών καρτών κ.α.

2. Η συμμόρφωση δεν είναι το ίδιο με την ασφάλεια

Μια λίστα ελέγχου (checklist) είναι ιδιαίτερα ευεργετική για τις επαναλαμβανόμενες διαδικασίες ή για τις διαδικασίες ρουτίνας, μ’ αυτό το τρόπο εκμηδενίζεται μια λάθος ενέργεια (για την ολοκλήρωση μιας διαδικασίας/ ρουτίνας).

Στον κόσμο της κυβερνοασφάλειας, της ηλεκτρονικής διακυβέρνησης κτλ οι λίστες ελέγχου (checklists) υπάρχουν για να εξασφαλίσουν ότι δεν θα παραβλεφθεί το εμφανές. Ωστόσο, οι λίστες ελέγχου δεν είναι ένας ολοκληρωμένος οδηγός για την ασφάλεια. Για παράδειγμα, σε ένα δύσκολο περιστατικό ασφαλείας ή σε ένα νέο είδος επίθεσης, οι λίστες ελέγχου από μόνες τους δεν μπορεί να αποτελούν μια ολοκληρωμένη λύση για την αντιμετώπιση ενός περιστατικού κυβερνοεπίθεσης.

3. Η εκπαίδευση είναι το κλειδί στην επιτυχία

Ο στρατός για την εκπαίδευση του χρησιμοποιεί τακτικές αντίθετων δυνάμεων ή OPFOR (για περισσότερες πληροφορίες σχετικά με το OPFOR, πατήστε εδώ: https://en.wikipedia.org/wiki/Opposing_force). Αυτού του είδους η εκπαίδευση προσφέρει στο προσωπικό τα καλύτερα δυνατά αποτελέσματα.

Επιπροσθέτως, η τεχνική OPFOR δημιουργεί “μυική μνήμη”, το οποίο σημαίνει ότι όταν συμβεί μια κυβερνοεπίθεση το προσωπικό θα είναι κατάλληλα εκπαιδευμένο, ούτως ώστε να αντιμετωπίσει την επίθεση πολύ γρήγορα, χωρίς να χρειάζεται να σκέφτονται τι πρέπει να πράξουν και το πως. Αυτού του είδους η αντιμετώπιση ή αντίδραση μπορεί να επιτευχθεί μόνο μέσα από τέτοιου είδους εκπαιδεύσεις.

About Dimitris Tolmaidis

“ It takes so many years to build a reputation and few minutes of cyber-incident to ruin it. ”

Check Also

Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας – Back up

Σκεφτείτε πόσο βασίζεστε στα κρίσιμα για την επιχείρησή σας δεδομένα, όπως τα στοιχεία των πελατών, …