Questa è la seconda parte di una serie in due parti. Parte uno esaminato le lotte di sicurezza informatica per le organizzazioni in economicamente sfidati, comunità svantaggiate.
"La sicurezza informatica deve essere un diritto umano fondamentale", insiste Phil Reitinger, presidente e CEO della Global Cyber Alliance.
Eppure, molte piccole imprese e istituzioni governative, specialmente quelle appartenenti a comunità svantaggiate e in difficoltà economiche, non dispongono di queste protezioni fondamentali, mettendo così a rischio i dati dei loro clienti e dei loro componenti. Incapaci di permettersi soluzioni informatiche o di attirare professionisti IT esperti lontano dalle grandi città e dalle aziende ricche, queste organizzazioni sono lasciate a sfruttare al massimo quel poco che hanno.
Ma secondo gli esperti del settore, ci sono modi per livellare il campo di gioco tra chi ha e chi non ha. E non mancano le idee su come farlo.
Programmi e servizi gratuiti
Tra le varie istituzioni che forniscono assistenza informatica gratuita alle organizzazioni bisognose c'è la Global Cyber Alliance, che offre ai proprietari di piccole imprese toolkit e workshop, nonché Quad9, un servizio DNS che impedisce a consumatori e aziende di accedere a siti Web dannosi noti in base alla minaccia attuale. intelligenza. GCA afferma che il toolkit aiuta a ridurre il rischio informatico fino all'80%.
"Parte del problema per le piccole imprese è il denaro … ma una parte è in realtà solo tempo ed esperienza. Non hanno nemmeno il tempo di guardare fuori e vedere cosa potrebbe essere gratuito ", ha detto Reitinger. "Hanno bisogno di un approccio curato e hanno bisogno di aiuto. Il nostro obiettivo con il kit di strumenti per la sicurezza informatica per le piccole imprese non era solo quello di fornire una guida alle piccole imprese – ci sono già molte indicazioni là fuori – ma fornire loro tutto ciò di cui hanno bisogno per fare la sicurezza informatica in un ambiente 'solo acqua aggiunta' ".
Il Cyber Readiness Institute distribuisce in modo analogo risorse gratuite che le piccole imprese possono impiegare per ridurre il rischio, inclusa una guida passo passo per ottenere una corretta cyber igiene. Secondo il CRI, il 73% delle piccole imprese partecipanti ha affermato che il programma ha avuto un forte impatto sulla loro preparazione informatica.
"Abbiamo l'opportunità attraverso l'istruzione e la formazione di fare in modo che gli esseri umani siano un moltiplicatore di forza per la sicurezza informatica", ha affermato Kiersten Todt, amministratore delegato della CRI. "Avere quella prima capacità di formare i tuoi dipendenti, indipendentemente dalle dimensioni, ma in particolare con le piccole imprese che non hanno la capacità di investire molto, può essere un equalizzatore".
Gli Stati e le municipalità locali possono inoltre usufruire dei servizi gratuiti offerti dal Centro per la condivisione e l'analisi delle informazioni multistato (MS-ISAC) del Center for Internet Security, uno sforzo finanziato dal Dipartimento per la sicurezza interna per aiutare i governi nella prevenzione, protezione e risposta e recupero.
È disponibile anche l'assistenza federale, se sai dove cercarla.
Jerry Huff, CISO della Kansas Independent College Association di 11 membri e membro del CyberRisk Alliance's Cybersecurity Collaborative advisory council, si avvale di diversi servizi gratuiti forniti dal Department of Homeland Security.
"Una delle cose che abbiamo iniziato a fare con loro è una valutazione della rete centrale per ciascuna delle scuole" all'interno di KICA, ha detto Huff. Inoltre, il DHS fornisce uno strumento per vedere come la resilienza della tua rete si confronta con le organizzazioni peer con requisiti IT simili. Se ritieni di non essere all'altezza in un'area particolare, come la risposta agli incidenti, puoi applicare più budget a tali esigenze, ha spiegato.
Eseguiranno anche test della penna gratuiti.
"È molto semplice", ha detto Huff. “Ma andare ad assumere qualcuno per fare il test di penna? Stai parlando di alcuni dollari. "
Sviluppo economico
Cosa fai quando le grandi aziende della grande città attirano tutti i tuoi talenti informatici locali? Crea una tua community cyber hub attraverso lo sviluppo di programmi accademici ed economici nelle vicinanze.
Sarah Tennant è direttrice dello sviluppo del settore e consulente strategico per iniziative informatiche presso la Michigan Economic Development Corporation (MEDC), un'organizzazione dedicata a promuovere la crescita della comunità informatica dello stato. Un elemento chiave di questo programma è il Michigan Cyber Range ad Ann Arbor – il più vasto cyber range non classificato della nazione – e il suo utilizzo di hub in altre città che fungono da estensione della struttura principale. Tennant ha affermato che questi hub ospitano più di 40 certificazioni, esercitazioni e offerte di workshop progettate per sviluppare i talenti locali.
"Questi sforzi si inseriscono nel piano strategico generale della Michigan Economic Development Corporation per garantire che le opportunità economiche siano realizzate in tutto lo stato, rendendo prioritario concentrarsi sulle aree svantaggiate e sulle imprese tradizionalmente svantaggiate, comprese le imprese di proprietà delle donne e di minoranza", ha affermato Tennant. Esempi di hub includono il Pinckney Cyber Training Institute (PCTI) nella piccola comunità rurale di Pinckney e l'Upper Peninsula Cybersecurity Institute nella Northern Michigan University.
Tennant ha affermato che PCTI ha recentemente aggiunto un Security Operations Center in cui gli studenti "svolgono un ruolo attivo nel monitoraggio e nella gestione 24 ore su 24 del SOC e forniscono il monitoraggio SIEM in tempo reale in una scuola pubblica, offrendo il monitoraggio della rete per più entità tra cui comuni, township e piccole imprese ".
Un altro tentativo recente di creare un cyber hub e rilanciare l'economia e la forza lavoro locali è stata l'apertura nel 2018 del Georgia Cyber Center ad Augusta. La rete informatica e la struttura di formazione combinano competenze nel settore accademico, privato e governativo per fornire formazione e istruzione informatica a prezzi accessibili alla gente del posto. Sempre nel sud, i Tulsa Innovation Labs in Oklahoma hanno adottato la missione di posizionare la città come un hub tecnologico influente, diversificato e inclusivo, con il cyber come una delle cinque aree chiave di interesse.
Ridistribuzione della forza lavoro
Uno degli impatti a lungo termine della pandemia di coronavirus è che molte aziende si sono rese conto che un modello di forza lavoro distribuita può effettivamente funzionare. Ciò significa che i futuri professionisti della sicurezza che non vogliono trasferirsi nella "grande città" possono ora stare più vicini a casa e lavorare da remoto. Sebbene ciò non risolva necessariamente il problema delle grandi aziende che assumono tutte le persone migliori, una forza lavoro più distribuita potrebbe comunque aiutare nel tempo lo sviluppo di talenti nostrani, affermano alcuni esperti.
È una questione che le comunità locali creino una proposta di valore forte, ha affermato Mike Hamilton, CISO di CI Security ed ex CISO di Seattle. "La creazione di una proposta di valore può essere, 'hey, se accetti di lavorare qui, non sarai pagato tanto quanto lo faresti se andassi a vivere a New York, ma avrai una grande qualità della vita . "
"Se Amazon, Facebook, Google continueranno a pagare le persone per lavorare in remoto, allora andrà a vivere in un posto fantastico e inizierà a scaricare i tuoi soldi lì. Questo farà emergere i talenti locali … e incentiverà le persone a entrare maggiormente nella tecnologia. "
Con questo in mente, Hamilton ha fondato PISCES, o Public Infrastructure Security Cyber Education System, un programma che offre il monitoraggio della sicurezza al settore pubblico a costo zero e quindi utilizza i dati raccolti per formare gli studenti universitari locali ad essere analisti informatici. Quattro scuole stanno già partecipando e l'Università dell'Alabama A&M University, storicamente nera, sarà la prossima ad aderire, soddisfacendo la richiesta della forza lavoro di vivere in luoghi in cui possono ottenere la formazione necessaria.
"Ogni università vuole che i propri studenti si diplomino e lavorino a livello locale, e gli studenti, quando si diplomano, non vogliono davvero andare da nessuna parte", ha aggiunto Hamilton. Il programma PISCES porta essenzialmente la formazione alla comunità più rurale, eliminando la necessità per gli individui di lasciare la comunità per ricevere formazione.
Huff ha convenuto che se una parte maggiore della forza lavoro informatica deve essere ridistribuita alle aree rurali, quel talento probabilmente proverrà dalla gente del posto che riceve un'istruzione locale.
"È difficile convincere qualcuno che è cresciuto a Kansas City a trasferirsi nelle zone rurali del Kansas", ha detto. Ma un individuo cresciuto nelle zone rurali del Kansas potrebbe accogliere con favore un mezzo per restare.
"Penso che sia qui che le vostre piccole scuole, che si tratti di un'università, un college comunitario o una scuola tecnologica, possono essere una grande risorsa", ha detto.
Servizi condivisi, MSSP e cloud
Per espandere ulteriormente le tue capacità e compensare la forza lavoro informatica più piccola, le aziende devono essere creative o uscire di casa per chiedere aiuto.
"Cerca di smettere di gestire i tuoi server, se puoi, utilizza thin client, metti tutto nel cloud e nelle mani di un fornitore di servizi che può davvero gestire la sicurezza informatica se non puoi", ha detto Reitinger. "Non risolverà tutti i problemi – se vai al cloud e non lo fai bene, non ti aiuterà – ma il cloud è la più grande opportunità che abbiamo davvero per rendere equa la sicurezza informatica. Puoi creare molta sicurezza nel servizio. "
"È l'unica soluzione per il problema delle persone", ha aggiunto.
Oltre al reclutamento, le piccole e medie imprese devono affrontare la sfida secondaria della fidelizzazione della forza lavoro, entrambe le quali possono costare un bel po 'di soldi nel tempo.
Darren Van Booven, principale consulente principale presso la società MSSP Trustwave, ha affermato che il costo della licenza del software di sicurezza, del monitoraggio della sicurezza 24 ore su 24, 7 giorni su 7 e degli analisti informatici è in genere molto più alto quando si esegue tutto internamente, rispetto a un modello con capacità cibernetiche interne parziali , combinato con l'esternalizzazione di alcuni aspetti, come la capacità di monitoraggio 24 × 7.
"L'esternalizzazione di alcune funzioni di sicurezza a MSSP consente l'accesso a talenti di fascia alta a una frazione del costo di assunzione e mantenimento del proprio", ha spiegato Van Booven.
Un'altra soluzione è che più istituzioni mettano in comune le proprie risorse IT. Questo è ciò che hanno fatto gli 11 membri della Kansas Independent College Association da quando KICA ha assunto Huff come CISO nel luglio 2019 per fornire supporto informatico ai direttori IT delle varie scuole.
"Il presidente della KICA ha visto questo come una necessità – che queste scuole più piccole, queste scuole indipendenti, non avevano le risorse per finanziare una posizione a tempo pieno nella loro scuola", ha detto. “E c'è anche l'altro problema della … loro posizione, convincere qualcuno a venire in quelle zone rurali. Devo dire che è andata molto bene. "
Leggi e regolamenti
Gli esperti dicono anche che il governo federale potrebbe intraprendere ulteriori azioni per aiutare le organizzazioni a soddisfare le loro esigenze informatiche.
Drex DeFord, stratega esecutivo dell'assistenza sanitaria per CI Security, ha affermato che un recente cambiamento della politica governativa che potrebbe rivelarsi vantaggioso è la riforma proposta dal Dipartimento della salute e dei servizi umani alla legge federale sull'auto-referral dei medici e allo statuto anti-contraccolpo. La legge Stark, come è nota, fornirebbe regole di approdo sicuro alle organizzazioni sanitarie più grandi, consentendo loro di condividere servizi di sicurezza informatica con studi medici più piccoli che forniscono referenze senza che sia considerata una tangente illegale.
Nel frattempo, il Cyber Readiness Institute ha anche collaborato con altre due organizzazioni non profit su una proposta politica per il Congresso progettata per incentivare gli investimenti in sicurezza informatica. Il concetto è questo: i piccoli che ricevono fondi tramite il prestito per disastri dell'industria economica possono perdonare qualsiasi parte utilizzata per la sicurezza informatica.
"Credo assolutamente che sia un'opportunità per il governo federale di intervenire, considerando la sicurezza informatica come una priorità politica … e creare politiche che inizino a livellare il campo di gioco", ha detto Todt. Tali politiche, ha aggiunto, potrebbero forse stabilire linee guida per raggiungere "i livelli di base dell'infrastruttura informatica e degli investimenti informatici che ora dobbiamo vedere non come un'opzione, non come una cosa piacevole, ma come una necessità".
Il post Il cyber digital divide: come livellare il campo di gioco è apparso per primo su SC Media .