
好きな所から読む
ビジネス継続性を計画および保証するためのヒント
不確かな時代において、CxOの最優先事項は、従業員とコミュニティの健康と福祉を保護することです。 企業は俊敏でなければならず、
企業は、開発だけでなく運用においても、災害が発生したときほど俊敏でなければなりません。 危機は運用を混乱させる可能性がありますが、危機によって引き起こされた「新しい正常」に適応することは、サイバーセキュリティへの妥協につながりません。
緊急事態では、CISOは迅速かつ決定的に行動する必要があります。危機時にCISOの8つの主要な戦略的目標を特定します。
- 従業員のテレワークを可能にし、サポートします。
- セキュリティ運用と監視チームのテレワークを有効にしてサポートします。
- サイバー脅威のリスク、特に状況攻撃の増加を計画します。
- サードパーティベンダーがシステムをサポートできることを確認します。
- ビジネスセキュリティの優先順位を調整します。
- 予算調整と精査を計画します。
- 遵守がより困難になったとしても、規制へのコンプライアンスを確実にします。
- 変化の時代をリードします。
すべての危機イベントは異なります。 次のチェックリストは、CISO危機管理のガイドラインです。
1.従業員のテレワークを可能にし、サポートします。
危機的状況、特にバイラルアウトブレイクでは、従業員はテレワークで作業できなければなりません。
CISOは次の考慮事項に対処する必要があります。
従業員の遠隔作業はデータセンターの運用にどのように影響しますか?
- セキュリティパッチと更新のワークフローは、実際の作業なしでは中断される可能性があります。
- テレワークでシステムにパッチを適用して管理するプロセスを確認および確立します。
- サイバー侵害および侵害されたデバイスの調査は、テレワークで行う必要があります。
- テレワークで作業するサイバー修復担当者のための新しいプロセスを作成します。
- テレワークの従業員と資産の新しい調査とフォレンジックプロセスを作成します。
- トリアージ:最初に調査に優先順位を付け、重要なイニシアチブに焦点を当てます。
- オンプレミスがいないため、オフィスのワイヤレスネットワークはハッカーにとって魅力的な侵害ポイントになります。
- オンプレミスのワイヤレスネットワークをテレワークで保護できることを確認します。不要な場合はシャットダウンできます。
サービスおよび製品のライセンスサポートはテレワークに移行しますか?
- エンドポイントライセンス数がテレワークの増加に伴って変化するかどうかを判断します。
- サイバーセキュリティソリューション(アンチウイルス、EDR、IDaaSを含む)のライセンス数が、テレワークの増加に伴って変化するかどうかを判断します。
- BYODアクセスへのテレワークシフトがライセンス数に影響するかどうかを判断します。
企業がテレワークに移行すると、デバイスのセキュリティ管理にどのような影響がありますか?
- テレワークがセキュリティ管理にどのように影響するかを判断します。
- インベントリの管理(ガイドとしてNIST Cybersecurity Frameworkを使用)と分析を行います。
- コントロールがリモートで機能することを確認します。
- 可視性が失われた場合の対応計画を確立します。
- エンドポイントと通信できなくなる可能性があるため、テレメトリを受信する別の方法を決定します。
- デフォルトの更新メカニズムが有効になっていることを確認します。
マルウェアのクリーンアップをどのように処理しますか?
リモートエンドポイントをクリーンアップする方法を確立します。 これが不可能な場合は、従業員がデバイスを処理するためのワークフローを確立します。
対面でのコミュニケーションやイベントのないセキュリティ文化をどのように強化しますか?
- 教育、サイバーセキュリティのベストプラクティスを宣伝するプロセスを確立します。
- スケジュールされた上級管理職向けのコミュニケーションに「セキュリティ概要」を追加します。
2.セキュリティ運用と監視チームのテレワークを有効にしてサポートします。
データセンターとセキュリティチームは、従業員が調整できるように支援しながら、自宅で作業しています。 これは、セキュリティとITワークフローに影響を与える可能性があります。
どのようにしてリモートITチームに情報を伝達し、伝達しますか?
- メーリングリスト、グループチャット、定期的な(仮想)会議を確立します。
- ZoomやWebExなどの会議ツールを使用します。
- Slack、Microsoft Teams、Google Chatなどのコラボレーションツールに投資します。
ITチームはどのように自宅からツールと監視にアクセスしますか?
- テレワークでの使用を許可するようにアクセスポリシールールを変更します。
- 可能であれば、リモートアクセスにWebフロントエンドまたはクライアントアプリケーションを使用します。
インシデント対応はどのように変化しますか?
- リモートセキュリティインシデントに対応するための計画を確立します。
- リモートインシデントを修正するための修復計画を設定します。
IDをプロビジョニング/プロビジョニング解除するにはどうすればよいですか?
- 従業員のアクセスをリモートで許可/取り消しできるようにします。
- 必要に応じて、リスク軽減戦略として特権を減らします。
- 従業員またはオンボーディングスタッフが実際に立ち会う必要がある場合は、次のような計画を定義します。
- 資産の分配または再生
- 資産のクリーニング(物理的および論理的)
- 文書署名
在宅勤務はサードパーティのセキュリティサービスにどのように影響しますか?
- サードパーティのアクセス要件を決定して文書化します。
- 緊急性、緊急性に応じてサードパーティのアクセスを優先します。
- サードパーティのアクセスを許可および取り消すためのワークフローを確立します。
3.サイバー脅威のリスク、特に状況攻撃の増加を計画します。
2020年のCOVID-19発生のような危機は、通常、いわゆる「状況的な」マルウェア攻撃の増加につながります。
リモートアクセスにVPNを採用している企業がテレワークを増やすと、MPLSバックホール距離と脅威面の両方が拡大します。 VPNベースの境界セキュリティモデルは、リモートアクセスの増加をサポートするように簡単に拡張することができず、一部の従業員はファイアウォールをバイパスしてインターネットに出力するように誘惑される場合があります。 ハッカーはそのような脆弱性を認識し、利用します。 さらに悪いことに、危機情報はメディアを飽和させ、セキュリティ意識を低下させる可能性があります。シニカルな詐欺師は、重要な危機コミュニケーションとしてマスクされたマルウェアを展開しようとします。
サイバーセキュリティの専門家は、危機をデータ侵害の増加と関連付けます。 CISOは、危機時に発生する新しい脅威リスクに対処する必要があります。
ゲージのリスク:リモートユーザーはフィッシングやその他の策略に対して脆弱ですか?
- 従業員にセキュリティポリシーを繰り返し説明し、危機関連の詐欺について従業員に知らせます。
- 緊急時のセキュリティの注意の重要性を伝えます。
4.サードパーティベンダーがシステムをサポートできることを確認します。
サードパーティのセキュリティベンダーは、危機の要求にも対応するように運用を調整します。
サードパーティベンダーと通信し、サードパーティベンダーのサポートを確認します。
システムは、環境に影響を与えるような方法で変化していません。
セキュリティベンダーは、危機に対応した運用をサポートしますか?
- サードパーティベンダーサポートの監査:
- テレワークであっても、サードパーティのシステムアクセスが保持されるようにします。
- 各ベンダーのビジネス継続性計画(BCP)の準備と危機サービス計画を確認します。
- 特にマネージドセキュリティサービスプロバイダー(MSSP)には、在宅勤務機能がない場合があります。 そのリスクをどのように計画できますか?
5.ビジネスセキュリティの優先順位を調整します。
危機的状況では、企業は緊急対応に焦点を合わせる必要があり、サイバーセキュリティの優先順位はあまり注目されません。
変更時にセキュリティをどのように維持しますか?
- 必要に応じて、会社の資産の許容可能なリスクレベルを調整します
- 物理的資産と論理的資産のインベントリを作成します。
- アセットリスクの貢献者をできるだけ可視化します。
- パフォーマンスとセキュリティを評価し、必要に応じてセキュリティ体制を調整します。
- テレワークへの移行を想定して、リスク許容度を評価します。
- 必要な変更やアクションをブロックせずに、セキュリティの擁護者であり続けます。
新しいプロセス、展開、デバイスを確認できますか?
- リモートでレポート(フィード、ログ、テレメトリ)を取得、使用、および評価するメカニズムを確立します。
- 企業外のシステムからその情報に基づいて行動するプロセスを確立します。
6.予算調整と精査を計画します。
危機的状況では、緊急対応への支出がセキュリティよりも優先される可能性があります。
プロジェクトの資金がなくなるか、少なくとも入手が難しくなる可能性があります。 緊急の運用上のニーズに対応するために、セキュリティの優先順位を下げることもできます。
運用予算または計画予算に影響はありますか?
- 重要な計画、デバイス、およびサービスのインベントリを作成し、優先順位を付け、必要に応じて切り分けます。
- 本質的でないものをカットする準備をしてください(そして「本質的」を構成するものの新しい定義を受け入れます)。
- セキュリティの優先順位を補足するために、旅行、イベント、および将来の取り組みの予算を再利用します。
7.遵守がより困難になったとしても、規制へのコンプライアンスを確実にします。
危機的状況にあっても、企業の規制へのコンプライアンスは引き続き義務付けられています。新しいデバイスとプロセスの展開がデータフローとセキュリティ要件にどのように影響するかを決定し、文書化します。
データ常駐の要件に準拠する組織の能力は、危機対応オペレーションの影響を受けますか?
- 保存中のデータが存在する場所と、転送中のデータパスがどのように変化するかを決定します。
- 新しいデータフローパス全体でコンプライアンスが維持されていることを確認します。 これには、クラウドとデータセンターの管理の変更が必要になる場合があり、異なる地域に新しいデータの冗長性を追加することさえ必要になる場合があります。
- SSLやその他のセキュリティ対策が必要に応じて採用されていることを確認し、該当するデータプライバシー法に準拠します。
規制機関または政府は、危機時にコンプライアンスルールを調整しますか?
- コンプライアンス要件に影響する規制上のコミュニケーションを監視します。
- 危機に基づくコンプライアンス要件の調整の場合の対応ワークフローを構築(または少なくとも構築を計画)します。
8.変化の時代をリードします。
危機的状況では、誰もが十分な情報なしで作業し、発生したイベントに対応する必要があります。 セキュリティを維持することが不可欠であることを考えると、CISOはパニックから脱出することはできません。 効果的な危機的コミュニケーションには、見通し、謙虚さ、率直さ、強い発言力が必要です。特定の目的を持たない過剰なコミュニケーションはノイズになり、不十分なコミュニケーションは情報の空白を生み出します。 明確な行動計画を確立し、伝達します。
誰とコミュニケーションを取る必要がありますか?
- 内部のセキュリティ関係者が役割、責任、行動、プロセスについて明確であることを確認します。
- 外部の利害関係者と顧客に、運用に影響を与える変更が通知されるようにします。
どのくらいの頻度で通信する必要がありますか?
- 重要な変更が発生した場合は、即座に通知します。
- 明確なメトリックと進捗ゲートを使用して、測定可能で追跡可能なフェーズで計画を伝達します。
- コミュニケーションが配信されるだけでなく、受信、理解、実行されるようにします。コミュニケーションの有効性を測定するためのワークフローを確立します。
誰とコミュニケーションを調整しますか?
- 内部危機コミュニケーションチームを設立します。
- 業界のグループに相談して、コミュニケーションのベストプラクティスのベンチマークを行います。
- 関連する政府リソース(地方、州、または連邦)を調査します。
CISOはどのようにして危機コミュニケーションのリーダーシップを最も発揮できるのでしょうか?
- セキュリティの専門家として、あなたは危機管理の経験があります。
- 組織の準備と対応を導きます。
- 組織の利害関係者が緊急の決定の結果を評価するのに役立ちます。
- 穏やかなリーダーシップを発揮します。
- 不安、不確実性、パニックと知識、理解、準備を組み合わせて対処します。