Heartland CSOは、ITセキュリティリスクへの積極的でオープンな対応を促進する新しい文化を吹き込みます

ポッドキャストを聞く。 iTunesで検索してください。フルテキストを読むか、コピーをダウンロードしてください。スポンサー:HP。

HP Discover Performance Podcastシリーズの次のエディションに進んでください。私たちの最新の議論では、セキュリティの文化、それに対するオープン性とそれに対する反応性が組織に大きな有益な影響を与える方法を検証します。

ハートランド・ペイメント・システムズ社の事例から、セキュリティ違反の状況からセキュリティー・スタンス全体への迅速な移行は、オペレーション全体とビジネス戦略にセキュリティ・イン・カルチャーのポジションを組み込むことが主な理由です。

ニュージャージー州プリンストンに拠点を置くハートランド・ペイメント・システムズの最高セキュリティ責任者であるジョン・サウス(John South)特別顧問と共同ホストのラフ・ロス(Raf Los)に参加してください。このチャットは、Interarbor Solutionsのプリンシパルアナリスト、Dana Gardnerによってモデレートされています。 [開示:HPはブリーフィングのダイレクトポッドキャストのスポンサーです。]

ここにいくつかの抜粋があります

G ardner:あなたはハートランド・ペイメント・システムズに数年間勤めていましたが、かなり苦しい時期にそこに着いたのです。あなたが到着したときにハートランドで何が起こっていたのか少し教えてください。

S outh:確かに2009年に、私が参加したとき、彼らはただ違反を経験したので、混乱と不安の1つでした。法医学は完了しました。違反がどのように行われたのかを理解し、その是正や将来の違反の防止だけでなく、今後どのようにそのセキュリティを一貫性と信頼性の高いものにするのかという時期に入りました。

文化的問題

技術的な問題だけでなく、私たちが解決しなければならなかったビジネスや文化の問題も非常に早くなりました。違反の要素を取り除き、それを打破したとき、私たちは、将来の違反が見られる時間と私たちの時間とのギャップを短縮するのに役立つコントロールを、技術的に把握することができました応答することができました。

ジョン・サウス

もっと重要なことは、あなたが指摘しているように、セキュリティの文化を発展させていたことです。確かに、違反の影響を理解した人々は違反の影響を理解していましたが、私たちは持続可能性をプロセスに組み込んで、人々がセキュリティを基盤として引き続き使用するようにしたいと考えました。

彼らはプログラムを開発していようが、ビジネスの側面を問わず、セキュリティが彼らのプロジェクトに入りすぎる前に、見たものの中核になるでしょう。だから、ハートランドにとっては興味深い年月を経ています。

Gearner:リスナーのバックグラウンドのために、2009年の初めに、データ処理ネットワークにSQLインジェクションが挿入されているため、9400万枚のクレジットカード記録が盗まれました。私はまた、ハートランド・ペイメント・システムについて、聞きたいことがあります。私はあなたが世界ではないにしても、米国最大のクレジットカードプロセッサの一握りだと信じています。

S outh:そうです。現在、私たちは米国で6位ですが、統合やその他の面では、その数は少し浮かんでいます。私たちは、基本的に商人と銀行システムの間のパイプラインです。クレジットカードとデビットカードから支払いを受け取ります。私たちは給与計算、小額決済、その他の種類の給与計算チャネルまたは決済チャネルを処理し、そのソース、商人、その支払いを処理する必要がある適切な銀行に移動することができます。

私たちにとっては非常に魅力的なプロセスです。なぜなら、一方ではカードブランド、もう一方では銀行、加盟店やその顧客を扱っているからです。しかし、ハートランドの焦点は、常に私たちの商人が私たちにとって最高の存在であることです。

セキュリティ担当者が迅速な検出と封じ込めをエンタープライズの新しい最高のITセキュリティの姿勢と見て、KPIを重視したITへの投資をビジネスリーダー、調査結果の表示から切り離し、HPとのエキスパートチャットでセキュリティの理解を深めるHPのエコシステムがVMware仮想化IT環境を包括的にサポートする方法に関するエキスパートチャット

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

それはあなたが知っているように、私たちが違反行為に取ったアプローチです。私たちは商人と一緒に働く方法をとても開いています。実際、私たちは、商人の権利章典と呼ばれるものを確立しました。それは文化の一部であり、私たちの幹部チームが全部考えた方法の一部です。だから、彼らが違反を処理した方法は、彼らが常に私たちの商人と顧客そのものについて考えたやり方の延長であった。

G ardner:Raf Losは、企業がこの規模の違反に反応したさまざまな方法を見てきました。ほとんどの場合、反応はシステムの周りだけでなく、セキュリティが問題になるときにシステムに何が起こるかの議論の周りに、より多くの障壁、壁、または境界を設けることです。だから、ハートランドのケースはどうして違うのですか?また、それが面白いと思うのはなぜですか?

LOS:Dana、まず、あなたのビジネスにこのような大きな影響を与えることができる2つの方法があります。あなたはそれについて否定的であったり、場合によっては、それを最小限に抑えたり、メディアを保管したり、顧客が完全な情報を入手しないようにしたり、敷物の下で掃除しようとすることができます。

場合によっては、それも機能します。たぶん世界はそれを忘れて、あなたは進んでいく機会を得ます。しかし、それはあなたをかむために戻って来るそれらのkarmic事の1つです。私は完全にそれを信じています。

フェニックス変換

Wハット・ハートランドはフェニックス変容のポスターの子供です。ジョンは以前より面白いことに触れました。彼らにとって、それは商人や顧客に焦点を当てていました。最も重要なことは、データ違反があったという事実ではありませんでしたが、多くの商人が影響を受けたという事実でした。彼らが取引した人々は影響を受けました。彼らの評判は影響を受けました。

彼らの役員たちは立場をとり、「見て、これを簡単なやり方でやり遂げて、それから抜け出して、それが起こらなかったふりをするか、あるいはそれを責任をもって立てて、短期間でパンツの大きな蹴りですが、長期的には、業界の尊敬と顧客の敬意を得て、ビジネスの変革をもたらし、技術者、セキュリティに会社を導いている人々は、普及している。それはおしゃれだし、今では彼らがそれをしたので、それが動作することを知っている。

Gardner:この違反から数カ月後に、カード決済業界のデータセキュリティ基準(PCI DSS)に準拠し、Visaの検証済みサービスプロバイダのリストに戻ったことに関する声明を発表しました。だから、あなたは主要な問題にかなり迅速に対応しました。

その時から文化がどのように変わったのか、他の人たちがオープンなメリットだけでなく、セキュリティそのものの文化がどのように変わったのかを知ることができるように、私はもっと耳を傾けたいと思います。

South:Dana、あなたはPCIの視点でコンプライアンスに戻るという非常に良い点を示し、カードブランドは6週間かかりました。私は会社の人をこのために差し込む必要があります。なぜなら、それは約20-22時間働く人々の6週間だったからです。

私たちにとっては重要であり、顧客がこのことを素早く止めることができるという信頼を得ることが重要であったため、大きな努力がありました。だから、その間に多くの作業が一緒に起こっていました。

それは、私たちが話しているその文化を構築するのにも役立ちました。 Rafが出した2つのパラメータを見れば、私たちは難読化して、事実を隠して、プレスから逃げようとしていて、われわれの言葉では非常に忌避している可能性があります。それはうまくいったかもしれない。それはうまくいかないかもしれません。しかし、私たちのために、それは選択肢ではなく、その過程でオプションではありませんでした。

私たちにとっては、非常にオープンな経営幹部文化の一部であり、違反に参加した人々はそれを理解していました。彼らはリスクを知っていて、彼らがその違反に対処し、違反したという圧力に対処することが彼らにとって大きな苦痛の時であることを知っていました。

私たちが顧客にしたことは、これを真剣に受け止めたという事実に強く依存しています。私たちが「事実を隠させて、問題を解決して取り除くことができるかどうかを見てみましょう」と考えていたのであれば、まずは人々に伝えるのは間違ったメッセージでした。私たちが先に進んで問題を解決すれば大丈夫だと私たちの国民に言ったでしょうが、これは単なる修正です。それを修正し、そこから離れてください。

私たちのために、これは私たちが責任を負わなければならないものであるということがいっそう強くなりました。私たちはその責任を負いました。私たちが言っているように、ビッグボーイのズボンを履いています。短期間で財務的なヒットがあったとしても、そのメリットはすばらしかったです。例えば、違反の過程で、私たちの衰退は非常に、非常に低かった。私たちの顧客は、私たちがそのプロセスに真剣に関与しているということを実感しました。

誠実さとオープン性

LOS:John、それは、そのような失敗に直面したときの正直さとオープン感が大きな問題であるという事実を完全に語っています。それが起こったようなことがわかったら、あなたが私に言った最初のことは大したことではありません。心配しないでください。しかし、もしあなたが私に言ったら、私たちはうんざりしました。これは私たちの過ちです。私たちはそれをより良くするよう努めています。あなたに疑念の恩恵を与えてください。

ラフロス

実際に、あなたがその約束を長期的に実現すれば、今あなたは本当に良い関係を得ています。私は今、セキュリティは決してその魔法のユートピアの終わりの状態に達することはないと多くの人々が気付いたことを実感しました。安全ではありません。

私たちはビジネスの連携に最善を尽くし、時には悪いことが起こることもあります。それは絶対的に重要な対応と復旧です。私は死んだ馬を打つことを望んでいないが、あなたたちはそこで素晴らしい仕事をした。

S outh:ありがとう、Raf、そしてあなたは本当に重要なポイントを打ちました。セキュリティはその魔法の丸薬ではありません。セキュリティの杖を振り、人々を私たちのネットワークから守ることはできません。誰かがあなたのネットワークに入るのに十分な動機を持っているなら、彼らはあなたのネットワークに入ります。彼らは資源、時間、お金、多くの場合、国家保護を持っています。

だから、彼らはほとんどすべての場合に利点があります。これは、非対称戦争の概念に戻ります。非対称戦争は、敵がそれを防御しなければならない場合よりも、任務を遂行する大きな力を持っています。私たちにとって、それは、私たちが人と顧客に遂行しなければならないというメッセージです。私たちの努力は、妥協しようとする時からそれに反応する時までの時間を最小限に抑えることです。

L os:私は以前にこのメモを取っていました。なぜなら、あなたは今二回、私は「発見までの平均時間」(MTTD)に興味を持っているからです。それは非常に意味があると思いますが、MTTDが何であるか、アプリケーションにあるかどうか、そして野生のバグを見つけるのにどれくらいの時間がかかるかを本当に知っている組織が何人いるかはわかりません。サイクル、または侵入を発見するのにどれくらいの時間がかかります。

それは、誰かが歩いて行き、いくつかのボックスをチェックして歩いていくと言う不正な言葉だけではないので、アクティブな防衛と監視と監査の方法を表すため、非常に重要です。

私は本当の意味での監査を意味します。誰かがシステムを見て、いくつかの批判的思考を行い、深い分析をします。今日の終わりに、ジョンはおそらくこれを最初に言うだろうと思っています。システムを維持するのが今非常に複雑になっています。このようなスプロール現象を実際に制御することは事実上不可能です。あなたが持つことができる予算を忘れてしまいます。あなたが雇うことができるスタッフの数を忘れてください。ビジネスの動きやテクノロジーのスピードの速さでは不可能です。

それを見るための合理的な方法は、たまには、これを完全に監査しようとするシステムを見ているチームを持つことです。このプラットフォームで、何が起こっているのか、実際に何が起こっているのかを見てみましょう。

S outh:それは私たちが会社で行った文化的変化の1つです。私は社内のIT監査機能も持っていますが、これは企業にとって非常に非従来的です。多くの場合、監査機能は操作の外部にある内部監査グループに埋め込まれています。そのため、ITセキュリティの真の効果的な監査を行うことが難しくなります。

独立した独立した

私は、IT部門とは独立した独立した立場の監査グループを持っていますが、IT部門には十分に近く、監査を効果的に実施できます。私たちは1年に多くのことをしています。

監査機能の重要な点と、監査の有効性にプラスの影響を与える点は、監査する技術グループや開発グループとの会議に、積極的で強化的な態度で参加することです。問題を発見するだけでなく、グループがその解決策を策定するのを支援する意欲も持っている。あなたが「私が監査人である」という態度で監査に入る場合、私はあなたが何をしているか見るためにここにいます、 “あなたは否定的な反応を引き起こすでしょう。

私の監査人は全く違った態度で行きます。 「あなたのリスクがどこにあるかを理解するために私はここにいます。敵対的なものから積極的なものへの対応から監査への積極的な取り組み、そして積極的なセキュリティとの関わりのコンセプトは、本当に私たちにとって大きな文化的シフトをもたらしました。

G ardner:聞いている企業のために、企業がセキュリティについての認識をどのように変えるかを理解するのに役立ちます。

S outh:それはあなたの幹部チームに必ず付けるべき強い質問です。私たちはセキュリティの理解と文化をどのように変えますか?私たちのケースでは、執行チームは、当社全体のセキュリティにとって重要な基本的な事柄の1つは、セキュリティをすべてのものに焼き付けなければならないということを認識しました。

だから我々はその転換をとった。私が私の人々、そして確かにこのポッドキャストを聞いている人々に届け出るメッセージは、セキュリティ文化を改善したいときに、セキュリティを企業内で起こるすべての中核にすることです。したがって、受付担当者であろうと、アプリケーションを開発しているのか、人事部で働いているのかは関係ありません。セキュリティは、すべてが構築される中心的な原則でなければなりません。

コア原則

多くの企業がそうしているように、セキュリティを複数の層に分けてIT部門に埋め込んでおけば、企業の基本的かつコアな原則にすることはできません。再び、あなたが会社の誰であるかは関係ありません。会社自身にとって重要なセキュリティの側面があります。

私たちのために、私たちが人々に出ようとしているメッセージは、あなたがセキュリティコアの周りでやるすべてを包むことです。これは本当に大きく、特にアプリケーションの世界では大きなものです。人々がアプリケーション開発を行う他の多くの伝統的な方法を見ると、一定量のコードを開発し、「セキュリティ、チェックしてください」と言うでしょう。

そしてもちろん、セキュリティは静的で動的なコード分析を実行し、修正が必要な長いリストが戻ってきて、その小さな敵対関係が発展し始めます。

LOS:ジョン、これについて話しているように、私は戻って考える。誰もが自分のキャリアの中にいて、間違いを犯しました。私はこれがまさに私がソフトウェアセキュリティの役割の中で約12年か13年前にやっていたことであることを容易に認めます。

私はセキュリティアナリストでした。アプリケーションはライブで使用できる状態になります。私は、スキャンを実行し、テストとそれに関するいくつかの分析を行い、大量のPDFレポートを生成します。今、あなたは誰かのキューブに歩いて行き、それを落として、離れて歩いて行き、自分のものを修正してもらうか、電子メールで送るか、事実上壁にかけてください。

関係はなかった。それは、「あなたが何度も間違いを犯しているとは信じられませんが、今はこれらの問題を解決しています」彼らは「私はとても混乱しています。 “それは固定されますか?もちろん違います。

南:そして、木曜日にプロジェクトを終え、「金曜日に生きようとしている」と言って、安全に転向した日は、ずっと前に消えてしまった。それでもやっているのなら、あなたの会社は危険にさらされています。

G ardner:おそらく、Rafは、ソーシャルメディアの空間にいる私たちのために、私たちは観測を行い、伝道者になっています。これらのセキュリティ違反にどのように反応するかについては、メディア。

誰が悩んだのかについてのスコアボードを持っているのではなく、誰がどのような問題を抱えているのかを迅速に突き止め、最善の被害を制限したと言ってもいいでしょう。 ITやビジネス全般におけるセキュリティ問題がどのように報告され、公開されているかという認識の転換が必要か?

L os:私は、恥知らずの表情ではなく、実例をもって指導し、良い仕事をする人をより高く評価する方が良いと信じています。なぜなら、人々はより良​​くなることを願っているからです。私は基本的に人間がより良くなりたがっていると信じています。それはちょうど私たちが常に正しい動機を持っているとは限りません。そして、あなたのモチベーションが「より良い言葉の欠如のために、あるいは私がその最悪のリストにいたいと思わない」という理由で、「私はそのくそリストにいてほしくない」なら、あなたは最小限のその最悪のリストにいないこと。

人々は応答します

私は最高のセキュリティー企業または最高のセキュリティー企業を持つ成績優秀な企業のリストを持っています。あなたがそれを呼びたいと思っていますが、それを呼び出すことはできますが、私はしっかりと人々の反応を信じています。本来、人と企業は競争力があります。

業界の宴会があり、さまざまな業界のすべての首席の皆さんを招待して、「業界最高のセキュリティを授けられた候補者は、財務、医療など何でもありますか?そのようなショー、または何かになるだろう。

それは豪華である必要はありませんが、世界のあなたの顧客が本当にあなたに良い仕事をしていることを人々に実証する何らかの方法があれば – 本当に良い仕事をしている人がここにいます高い評価ではなく、悪いことを恥ずかしく思うよりも、私は人々がより良くなることを願っています。これは常に前進していくつもりです。もう一つの方法はうまくいきませんでした。私は変化するものは見ません。

S outh:それは正しい方向だと思う、Raf。私たちはまだその方向に進む努力をしています。非常に大規模な企業が1つあり、競合会社の1つが最近破られました。だから私はセキュリティグループの連絡先に電話をかけ、マルウェアを渡した。これがあなたの組織にあるかどうかをチェックしたいと思うかもしれないと言いました。

彼は言った、ありがとうと私は彼を数日後に電話し、私は尋ねた、 “それはどうでしたか?彼は「経営幹部は少しでもパニックに陥ったが、今はすべてが落ち着いていると思う」と述べた。これは「彼らはあまり働かなかった」というコードです。

私たちはその方向性をまだ進めていますが、セキュリティ問題にどのように取り組むことができるかという例が成功すればするほど、その文化的変化を推進するだろうということは間違いありません。あまりにも頻繁に彼らはその逆を参照し、彼らは言う、 “私たちではない神に感謝します。

G ardner:セキュリティに関する姿勢を改善するために配備されているテクノロジと、オープン性に向けたこの動きを助長し、直接的な能力を発揮し、したがってセキュリティの課題でより効果的な技術について、 ?

LOS:技術の変化のペースは鍵の1つです。その技術は、長年にわたり、私たちの個人的な生活の中で、ビジネス界の技術をリードしていました。

だから、あなたが自宅に持っていたノートパソコンやデスクトップは、通常オフィスのデスクトップに座っていたものよりも大きさが大きかったし、家庭用のポケットの中にスマートフォンを持っている間、企業の電話は古代のクラムシェルだった。

少数のデバイス

W帽子が起こり始めるのは、人々がそれに腹を立てていて、より少ない数の装置を持ちたいということです。彼らはより多くのことができるようになりたいと考えています。

そのような世界は衝突しており、テクノロジの採用は組織の大きな鍵となって方向がどんなものになるのか、テクノロジの傾向はどうなるのかを理解し始めています。それでは、それにどのように適応し、それを実現するためのコントロールの手段としてどのようにテクノロジーを適用するのでしょうか?技術を理解し、方向性を理解し、ポリシーを適用し、テクノロジーを使用してそのポリシーを実施します。

S outh:それは、テクノロジーのどの要素があなたがやっていることに関連しているのかを見極めることです。あなたは、自分のデバイス(BYOD)と、会社内の情報を扱う能力のほぼ商品を作っている技術を持っている今日、大きなプッシュを見ます。

私たちが直面している最大の課題は、関連技術の意思決定を行い、その新技術を効果的に組織に適用できることです。 iPadのような製品をネットワークに接続して使用するなど、簡単にはできますが、効果的に保護され、すべてのリスクと、そのデバイスをそこに置くことによってこれらのリスクを管理する方法について考えましたか?

技術は、常にそうであるように、非常に高いクリップで進歩しており、ビジネスはそれに対するより正確な対応を取らなければなりませんが、従業員だけでなくそのコストマーカにとっても効果的に何かを効果的に提供することができます今日の世界における新技術の

これは、接触や非接触のユーロペイ、マスターカード、その他のいずれであろうと、将来、多くの支払いストリームが進む方向であるため、モバイル・テクノロジーの顧客基盤と支払いスペースで多くのことを目にしていますVisa(EMV)カードまたはNFC(近距離無線通信)を搭載した携帯電話を使用することができます。その方向性がどのようなものであっても、その市場に参入するには十分な対応が必要です。

あなたが言ったように、それはビジネスの何かを動かすテクノロジーだけでなく、そのテクノロジーを効果的に使う方法を見つけることができる会社のビジネスと文化です。

G ardner:私はそれをそこに残さなければならないのではないかと心配しています。 HP SoftwareのChief Security EvangelistであるRaf Losと、ハートランド・ペイメント・システムズの特別ゲストであるJohn Southのチーフ・セキュリティ・オフィサーに感謝の気持ちで私を参加させてください。 ITパフォーマンス管理のベスト・プラクティスについては、http://www.hp.com/go/discoverperformanceでより多くの洞察と情報を得ることができます。

ポッドキャストを聞く。 iTunesで検索してください。フルテキストを読むか、コピーをダウンロードしてください。スポンサー:HP。

あなたも興味がある可能性があります

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています