Контрольный список CISO для увольнения сотрудников службы безопасности



Великая отставка сильно ударит по каждой компании, но это может быть ужасно, когда ваши специалисты по безопасности уходят толпами. На карту поставлены не только очевидные риски, и директора по информационной безопасности должны управлять ими всеми. Контрольный список может помочь гарантировать, что ошибки не будут допущены, а сожаления не будут стоить дорого.

«Поскольку компании сталкиваются с растущим уровнем текучести кадров, они также должны учитывать тот факт, что высококвалифицированные бывшие сотрудники уходят с ключевыми институциональными знаниями и конфиденциальной информацией», — предупреждает Тодд Мур, глобальный руководитель отдела продуктов шифрования в Thales, расположенной во Франции. многонациональный поставщик электрических систем и услуг для аэрокосмической, оборонной, транспортной и охранной отраслей.

«Это потенциально увеличивает риск утечек данных и других кибер-инцидентов, который еще более усиливается, когда за организацией и защитой данных наблюдают менеджеры-люди», — добавляет Мур.

Не оставляйте ничего на волю случая или недосмотра, вместо этого работайте с контрольным списком.

Контрольный список

«CIS уже должны отслеживать и обновлять права доступа всех сотрудников и периодически управлять доступом администратора, а также иметь список задач и процедур, когда сотрудники увольняются», — говорит Ахмад Зуа, старший менеджер проектов в Guidepost Answers, глобальной безопасности, соответствии и консалтинговая фирма по расследованиям.

В этой статье предполагается, что вы уже приняли стандартные меры. Если нет, сначала исправьте основы. Мы сосредоточимся только на дополнительных шагах, необходимых для увольнения сотрудников службы безопасности.

Вот список, составленный на основе советов многих директоров по информационной безопасности и других специалистов по безопасности:

  1. Время прощания хорошо. Некоторых увольняют немедленно, других — в меньшей степени, но у CSO/CISO должен быть «действующий протокол в сочетании с конфиденциальностью, доступом к системам, знанием и т. д. положения», — говорит Тимоти Уильямс, вице-председатель глобальная охранная фирма Пинкертон. Во всех случаях «важно относиться к увольняющемуся сотруднику с достоинством». [and] постарайтесь сделать так, чтобы остальная часть отдела рассматривала увольнение как профессиональное и правильное, опять же в соответствии с деликатностью положения увольняющегося сотрудника», — добавляет он.
  2. Готовьтесь к Большому Бумерангу. Сделайте все возможное, чтобы последнее прощание стало хорошей инвестицией. Убедитесь, что у вас нет враждебных оффбордов с вашими сотрудниками службы безопасности, и что любой, кто уходит, без колебаний вернется однажды. «Я думаю, что Великая отставка будет включать в себя некоторый Великий бумеранг. Но что более важно, упорно боритесь за сохранение таланта, который у вас есть, и будьте таким начальником, которого вы хотели бы иметь в начале своей карьеры — убедитесь, что ваши сотрудники знают, что вы цените их вклад в ваш совместный успех», — говорит Джеймс Арлен, директор по информационной безопасности в Aiven, поставщике технологий управляемых данных с открытым исходным кодом для облака.
  3. Заручитесь помощью вашей команды безопасности. Если вы отнеслись к известию об увольняющемся сотруднике с изяществом и достоинством, чтобы не было никаких обид и мотивации причинить вред, «ваши существующие сотрудники будут работать так же усердно, как и вы, чтобы убедиться, что вы скрыли базы здесь, потому что теперь это на самом деле не проблема безопасности — это проблема соответствия», — говорит Арлен.
  4. Проведите проверку на наличие внутренних угроз. Ваша команда Insider Possibility должна провести 6-месячный ретроспективный анализ деятельности сотрудника, «выявив подозрительное поведение или неправильное обращение с защищенными данными компании», — говорит Кен Дейтц, вице-президент и главный специалист по безопасности/CISO в Secureworks. Группа инсайдерских рисков также должна вместе с руководителем сотрудника просмотреть ретроспективный анализ, чтобы убедиться, что ничего не упущено с точки зрения бизнеса. «Никто не будет знать, как выглядит норма для сотрудника лучше, чем местный руководитель», — говорит Дейтц. Используйте эти знания, чтобы проверить каждый закоулок на наличие признаков возможной угрозы.
  5. Проведите аудит последнего дня. По словам Дейтца, команда Insider Possibility должна провести краткий аудит последнего дня, чтобы «убедиться, что весь доступ был должным образом прекращен и что все активы возвращены».
  6. Проверьте бункеры. «Устаревшие технологии доступа, особенно разрозненные решения, такие как VPN, предоставляют слишком большой доступ и слишком часто отключаются от кадровых или внештатных процессов», — говорит Джейсон Гарбис, директор по продукту в Appgate. Не забудьте также проверить такие коммуникационные приложения, как Microsoft Groups и Zoom.
  7. Уведомить другие Затронутые стороны. «Уведомите службу поддержки вашей организации, группу безопасности и группу систем и оборудования о том, что сотрудник больше не работает в компании», — говорит Грег Кроули, директор по информационной безопасности в eSentire, компании по управляемому обнаружению и реагированию. «Кроме того, уведомите ключевых сторонних поставщиков, включая сторонние управляемые службы, о том, что сотрудник больше не является авторизованным контактным лицом для учетной записи». Он советует после этих уведомлений провести «аудит активности учетной записи за последние 90 дней на предмет подозрительного поведения или индикаторов создания бэкдора».
  8. Удалите сетевые разрешения BYOD и очистите устройства. Достаточно сказано!
  9. Отключить/запретить разрешения на физический доступ. Это означает сбор любых токенов физического доступа, бейджей, физических ключей, приложений, USB-накопителей, любых резервных копий, внешних дисков, любых PIN-кодов и биометрических данных, а также выполнение криминалистического резервного копирования дисков в рабочих системах сотрудников и внешних дисков, советует Адам Перелла. менеджер в Schellman, глобальном независимом оценщике соблюдения требований безопасности и конфиденциальности.
  10. Передача права собственности на данные. Неструктурированные данные представляют собой уникальную проблему для контроля предприятий, «особенно при переходе на работу из дома, когда сотрудники могут хранить файлы в разных и неожиданных местах», — говорит Грэди Саммерс, исполнительный вице-президент по продуктам в SailPoint. Перед увольняющимися сотрудниками должна быть поставлена ​​задача найти всевозможные неструктурированные данные и передать право собственности оставшимся сотрудникам. «Я думаю, здесь помог переход на хранилище документов на основе SaaS. Большинство сервисов позволяют легко переназначить доступ менеджеру после увольнения», — добавляет Саммерс.
  11. Проверьте все коды. «Убедитесь, что никакие сценарии или зависимости пользовательского кода не зависят от существующей учетной записи увольняемого сотрудника. Службы должны работать под утвержденными учетными записями служб», — говорит Брайан Уилсон, директор по информационной безопасности в SAS. Это включает также проверку других кодов, учетных данных и сертификатов. Обязательно защитите учетные данные root в облаке, учетные данные репозитория исходного кода, сертификаты реестра домена и «любые другие учетные записи или системы, которые не связаны с безопасным входом (SSO), которые могут иметь индивидуальное имя пользователя и пароли для администрирования», — говорит Брайан Харпер. , менеджер Шеллмана.
  12. Закройте черный ход. «Убедитесь, что в производственных системах и программном обеспечении не осталось лазеек или троянских коней. Проведите оценку (охоту за угрозами), если есть какие-либо подозрения или опасения. Обратите особое внимание на точки доступа по периметру, так как сотрудники службы безопасности часто знают об уязвимостях из предыдущих отчеты о безопасности», — говорит Брайан Рожек, директор по информационной безопасности и вице-президент Optiv.
  13. Надежные системы безопасности. Это звучит как само собой разумеющееся, но «обнаружение SIEM, EDR, брандмауэров и т. д., особенно если человек принадлежит к нескольким группам и следующим группам, часто является проблемой», — говорит Радж Додхиавала, президент поставщика услуг безопасности с нулевым доверием. средство.
  14. Найти и сохранить конфигурации. Инструменты безопасности настраивают данные, такие как правила SIEM или брандмауэра, а также соответствующие элементы управления, предназначенные для обеспечения устойчивости организаций к кибератакам. Директора по информационной безопасности должны обеспечить их известность, сохранение и соответствие политикам и средствам контроля. «Если это не так, им следует начать внедрять методы сохранения и/или контроля версий конфигураций», — говорит Додхиавала.
  15. Проверьте инцидент и данные журнала. «Вы будете поражены тем, как много содержится в журналах событий, журналах устройств и журналах приложений. Помимо ограничения доступа к этим данным, необходимо защищать и сами данные», — говорит Додхиавала.

Посмотри снова

После всего этого предположим, что в ваших процессах есть черные дыры. Когда вы думаете, что охватили все, посмотрите еще раз с предположением, что вы что-то упустили.

«Теоретически, будучи директором по информационным технологиям или специалистом по безопасности, вы должны хорошо вести документацию и иметь своего рода систему отслеживания управления доступом для всех тех вещей, которые не являются частью вашей номинальной сферы SSO», — говорит Арлен. «Но давайте посмотрим правде в глаза, у вас, вероятно, этого нет, и теперь вам нужно найти везде, где вы могли оставить какой-то доступ».

https://cyberxhack.org/