セキュリティ担当者に違反を開示させる

アカデミアのグループは、マネージド・セキュリティ・サービス(SLA)のクライアントがセキュリティー・ラプスを補償しなければならないと主張している典型的なサービス・レベル・アグリーメント(SLA)は、セキュリティ・サービス・プロバイダー拒否されました。

「アウトソーシング情報セキュリティ:契約上の問題とセキュリティへの影響」と題されたこの論文のPDF(PDF)は、今月初めに開催された「情報セキュリティ経済学会ワークショップ」(WEIS)で発表されました。著者らは、数学的分析を用いて、伝統的なモデルの下では、予防と検出の両方の努力を同等にうまく遂行し、失業を明らかにするインセンティブがないというMSSPの課題に直面していると結論づけた。

トリオは、状況を修正すると考えている2つの代替モデルを提案した。最初は、顧客が違反を発見した場合はMSSPにペナルティを課し、違反が最初に検出された場合はプロバイダに報酬を与えることでした。もう1つのモデルは、クライアントが2-MSSPアプローチを採用することです。一方はセキュリティサービスの提供を担当し、もう1つは監視と違反の検出専用です。

中東工科大学の執筆者であるAsunur Cezar教授は、電子メールのインタビューで、管理されたセキュリティサービス市場の成長の可能性が非常に高く、業界が進化するにつれて、そのようなサービスのユーザーが推奨する契約モデル紙に

ウェブサイトのオーストラリアの姉妹サイトウェブサイトアジアがMSSPにコンタクトした。これは研究論文の前提と提案モデルのいくつかの欠陥を指摘する。

シンガポールのe-CopのゼネラルマネージャであるBenjamin Mah氏は、管理されたセキュリティサービスプロバイダを契約する上で重要な要素であると強調しました。 「誰かを信用すれば、それは単なるドルとセントの会話ではなく、約束されたことが尊重される必要がある」と彼は電子メールで語った。

BT FrontlineのITセキュリティ担当ディレクターのLim Kay Heng氏は、評判の良いMSSPが、単にインセンティブがないために違反を報告するよりも、ビジネスの存続が “最終的に信頼関係に基づいているため、さまざまな顧客と長年にわたって確立されています。

この行為が発見された場合、MSSPのブランドに対する損害は「高すぎる」と指摘した。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

顧客は必要な社内専門知識と絶えず変化するセキュリティ上の脅威に対応するための深い知識と幅広いセキュリティ知識を持っていないことに基づいてMSSPを採用しています」とLimは述べています。それらのセキュリティ上の脅威を管理するために必要な機能を備えています。

彼らの懸念事項のうちの最小限のものは、MSSPがセキュリティ違反を隠しているべきです。

Limによると、違反を報告した当事者であれば、プロバイダーに報酬を与えるという提案されたモデルは、「固定価格を信頼に置くようなもの」とMSSPのブランドです。

データ侵害を報告するためのMSSPのインセンティブ付与モデルは、評判の良いMSSPにはほとんど影響を与えません」と述べています。

予防と検出機能を分離する第2のモデルは、リアルタイム侵入検知が適用されている場合に効果的であると述べています。このアプローチを選択する顧客は、2つのMSSP間の役割と責任を明確に定義し、追加の機器を環境に追加できるように準備する必要があります。

しかし、コストは抑止力になります。

「アジアでは、MSSPへの管理および監視サービスのアウトソーシングの主な理由の1つが長期的にはコスト削減であるため、この2-MSSPモデルを顧客に納得させることは難しいでしょう」とLim氏は指摘する。

e-CopのMah氏は次のように述べています。「現在のチームを強化し、Warcraftのゲームで2つ以上のセキュリティチームを管理することができない単一の信頼できるセキュリティスペシャリストを探しています。次の優れたセキュリティサービスのアイドルです。

ロジスティクス&サプライチェーンマネジメント会社YCHグループの最高情報責任者(CIO)であるJames Loo氏は、同社の子会社であるY3Technologies(最高業務執行責任者)は、「すでにセキュリティ違反を報告しており、インセンティブやペナルティなしで ”

同氏によると、サプライチェーン管理業界の企業は、セキュリティを委託された当事者に完全に委ねることはできないが、責任を負い、何らかの支配権を持たなければならないという。彼らはまた、セキュリティのためにセキュリティ対策を講ずるのではなく、顧客の在庫と製品が彼らのケアにおいて安全であることを保証する必要があります。

警察には終わりがなく、セキュリティをテストするために毎日あなたの家に侵入しようとする「泥棒」に報いることで本当に恩恵を受けることはできません」と彼は述べています。ビジネスに適した戦略を費やして実施します。

Frost&Sullivanの業界アナリスト、Cathy Huang氏は、セキュリティサービスのアウトソーシングでは、MSSPが完全な責任を負うことは不可能だと付け加えました。これを回避するためには、業界は「共通のリスクと報酬システムを通じてコン​​センサスを見つける」必要がある、と彼女は述べた。

アジアのウェブサイト経由で

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン