Component clau de la consciència de seguretat dels empleats del full de ruta de ciberseguretat per a Repligen

És probable que les empreses de biotecnologia com Repligen siguin l’objectiu d’un ciberdelinqüent (possiblement amb algun patrocini d’alt nivell d’alguns estats nacionals) amb la intenció de robar propietat intel·lectual o altres dades confidencials. Tanmateix, Richard Richison estava tan preocupat pels atacs oportunistes com per les amenaces més específiques.

“El nostre principal objectiu és mantenir fora els actors de les amenaces, de manera que el ransomware és una cosa clau contra la qual hem de protegir-nos. Passem molt de temps protegint els usuaris finals mitjançant la formació de conscienciació sobre seguretat perquè tot el que cal és un clic en un enllaç dolent per permetre que un actor de l’amenaça en”, va dir Richison.

Aquesta formació dels usuaris finals és un component crític de l’estratègia de ciberseguretat de Repligen. L’actualització de deu minuts a l’any sobre la conscienciació sobre la ciberseguretat, que encara està sorprenentment estesa malgrat l’acord que, en el millor dels casos, és ineficaç, no és una tàctica recomanada per Repligen.

L’empresa realitza un atac de pesca simulat mensualment a tots els usuaris finals, més dels quals més endavant.

Avaluació de riscos i full de ruta

Segons Richison, tot i que Repligen sempre ha estat extremadament conscient de la seguretat, fins fa un parell d’anys la pila de seguretat estava separada i ad hoc.

“Teníem totes les eines que se suposa que havíem de tenir, però no vam entendre completament la nostra superfície d’atac”, va dir.

“Tenim centres de dades i actius locals a AWS i Azure. Només ser capaç d’entendre les amenaces dins de totes aquelles peces d’infraestructura híbrida era un repte. També es tractava de poder entendre l’abast de Shadow IT. Els usuaris van configurar el seu propi Dropbox, el que Estaven posant-hi? S’estaven connectant a Gmail des de punts finals corporatius. Per què? Es tractava d’entendre què teníem, on era i amb què es comunicaven aquests dispositius”.

Finalment, l’any passat, Repligen va contractar un tercer per avaluar tot el seu programa de seguretat. Van decidir un marc de seguretat que consta de 20 controls. El tercer va abordar cadascun d’aquests controls i com Repligen els va mesurar. A continuació, es va crear un full de ruta per a la presentació a nivell de la junta per tal de triar les prioritats i posar en marxa les eines i l’automatització adequades.

La regulació és diferent a tot el món. Com es veu afectada una organització global com Repligen?

“Com a empresa global, hem de complir amb el GDPR. Tanmateix, no estem regulats per la FDA, de manera que l’única regulació real a la qual estem subjectes és Sarbanes-Oxley. Tanmateix, ens prenem molt seriosament el GDPR i consultem amb un despatx legal per garantir el compliment. L’estat de Califòrnia té la seva pròpia versió del GDPR que també seguim”.

Richison també va esmentar l’Agència federal de seguretat de la ciberseguretat i la infraestructura (CISA).

“CISA ha fet moltes coses bones pel que fa a la conscienciació sobre seguretat. Han anunciat que exigiran a les empreses públiques que tinguin un responsable de seguretat per presentar al consell d’administració en el mateix que finançar. Els equips han hagut de publicar Enron. Ja ho fem i els executius del consell són conscients de les polítiques i controls de seguretat que tenim”.

Richison va tenir una visió interessant dels riscos plantejats per tercers i cadenes de subministrament, cosa que ocupa un lloc destacat en moltes debats sobre estratègies de seguretat actualment. L’atac al proveïdor de programari Kaseya és un bon exemple d’aquest tipus d’atac, ja que és una eina de gestió remota, sovint utilitzada per MSP i altres tercers. La lògica criminal de l’atac va quedar demostrablement clara pel gran nombre d’empreses afectades per l’incompliment. Tanmateix, Repligen va aconseguir evitar el pitjor.

“La nostra infraestructura de Kaseya no està connectada a Internet. Descarreguem i apegem manualment. Una manera de mitigar el risc és no dependre completament de tercers. No assumim que estiguin protegits. Tothom està en risc, inclòs ells”.

L’enllaç més feble

La formació de conscienciació dels usuaris finals de Repligen és un pla fonamental del seu full de ruta de ciberseguretat. Els usuaris reben formació addicional en funció de les seves respostes als atacs de pesca simulats que l’empresa realitza.

“La nostra plataforma de formació en consciència de seguretat utilitza IA. Es basa en el comportament dels usuaris durant els mesos anteriors perquè puguem identificar on es troben els riscos i centrar-nos en això. També tenim formació específica per als empleats de finances i atenció al client perquè estan exposats a riscos més grans. obtenir la seva pròpia formació especial”.

Repligen també realitza una formació trimestral obligatòria de conscienciació per a tothom, independentment del seu paper o comportament. Fins que no aconsegueixen el 100% d’aquesta formació, continuen rebent recordatoris i el problema augmenta si s’ignora la formació. L’empresa també té senyalització digital a cada ubicació global i recordatoris de seguretat que recorren les pantalles a les àrees corporatives.

Richison creu fermament en la comunicació regular amb els executius de la junta directiva.

“Vam tenir una reunió del consell recentment i vam poder enumerar els assoliments de l’any passat i el que esperem per a l’any vinent. L’avaluació que vam realitzar va significar que podríem identificar un número de maduresa del model de seguretat cibernètica. Aquest nombre va continuar augmentant per als 20 controls diferents. sota el nostre marc de seguretat perquè puguin veure que el nivell de maduresa creix cada trimestre”.

.

Leave a Comment

Your email address will not be published. Required fields are marked *