متى وكيف دخلت في الأمن السيبراني؟
مرحبًا ، هذا ويليام ABC رئيس شركة العهد التجاري كونسيبتس جالسًا مرة أخرى لجون هارمون إنه موجود في العالم في مكان ما استثنائي تحدث الأشياء للأشخاص الطيبين الذين يساعدوننا في بناء الأعمال التجارية وبناء الجسور بشكل صحيح و بناء الإيرادات والأفضل من ذلك أننا انتهينا للتو من التحدث مع ميشيل ووكر ديفيس والآن علينا أن نبدأ أعمال توني الآن أنا توني هو المالك والمدير عمليات استشارات الأمن السيبراني هل هذا صحيح توني وأنت مهنة رائد أعمال هذا صحيح، لقد كنت قد عملت سابقًا لدى Comcast من عام 1996 حتى عام 2013 ثم أعمل في Cisco وهذه هي الطريقة التي تتقن بها مهنتك والآن أقوم بتثبيت مسجل فيديو رقمي (DVR) نظام الكاميرا والشخص الذي حاولوا معرفة ما كان يحدث في المنزل وتمكنت من رؤيته أجرى بعض البحث واكتشفت ما هو الوقت الذي تعرفه عندما يكون لديك كاميرا داخل منزلك أو في الداخل سيارات قائمة الأعمال الخاصة بك لتكون قادرًا على عدم تغيير المنافذ الخاصة بي إلى المنفذ الذي أرادوا أن يكونوا قادرين على مشاهدتها ما كنت أفعله ، لذلك كانوا يشاهدون منزلك وهم يشاهدون ما أكتبه في جهاز الكمبيوتر الخاص بي حتى مكثوا كثيرًا. مزيد من المعلومات حول الشبكات ، فهم كيف كان المشهد الذي تعرفه معك في الحصول على شيء مثل هذا للعمل حتى أتمكن من العمل في Comcast كما قلت من قبل من عام 1996 حتى عام 2013 ، كنت قادرًا على بناء معمل أينما ذهبت في Comcast تمكنت من صنع المختبر الخاص بي وقد منحتني خبرة كبيرة فيما يتعلق بما يتطلبه الأمر لإعداد الشبكات وفهم كيف يتحدث الجهاز مع كاميرا فيديو أخرى على جهاز الكمبيوتر المحمول الخاص بها وكنت مدرسًا حول ذلك ، ولكن هناك سببًا جيدًا للقيام بذلك الآن لأنه إذا كان لدي وصول إلى الشبكة الخاصة بك فهو كاليفورنيا n افعل أي شيء تريد القيام به إذا لم يكن لديك التقسيم الصحيح والحماية لا يتطلب الأمر الكثير لأن لديهم البرنامج ومن ثم لديهم البرنامج الغبي.
أين يمكنني شراء البرنامج حتى لا تكون عبقريًا لتشغيل الشبكة؟
وأود أن أعمل، ولكن أي شيء ذكي وما هو يسمح له بالوصول إلى أجهزتك دون علمك بذلك. المتسللون خبيثون وتعتزم إقناع الحكومة بالوصول إلى تقرير التحقيق في خرق البيانات لعام 2018 الخاص بهاتفك. سنتحدث عن المعلومات التي تم تخطيها عندما تخبرنا بما يحدث في بالمر سبرينج وهو يعضني هنا. أنا أقدر ذلك. أعتقد أنهم يعتقدون أن المنظمة تقوم بعمل رائع وقد شاركت للتو، وأنا في غاية الذهول من حيث كل الفرص. لقد تم تقديم ذلك وأردت فقط أن أجعلك تفكر كثيرًا في أنني ملكك كثيرًا، وربما أحقق سبعة أو ثمانية ما هو في الكلية للعدالة الجنائية واستمتعت في المدرسة الممتازة لأنك حصلت على جسدك، قلت لن يكون لدى أحد فتاتان وسمح صبيان للجميع بالالتحاق بجامعة سيراكيوز بشكل جيد، فكيف تخبرنا قليلاً عن كيفية انخراطك مؤخرًا؟ من الانكسار تمامًا ولا أريد أن يحدث هذا لأي شخص آخر ولكن ما هو الهدف استشارات الأمن السيبراني جلب الوعي للعملاء بمبلغ 150 دولارًا إلى ذهنه، فأنت تعرف شيئًا من بطاقته الائتمانية، فما رأيك في ذلك وهم مرتبطون في منزلك على سبيل المثال إذا لم أكن أدرك أنني لا أستطيع النظر إلى الكاميرا الخاصة بي ثم فعلت بعض التحقيق كان هويتي بالضبط ما حدث أنهم متصلون بشيء يسمى عنوان IP لذلك كل شخص هو اسم وهكذا تعلم أنهم يتصلون بالإنترنت وإذا كان لديك Tobin على الإنترنت وهل تقول أن لديك الكاميرا الخاصة بك أو أنك تحب ذلك وعلى جوجل.
يمكن للمتسلل سرقة المعلومات دون لمس أجهزة الكمبيوتر الخاصة بك.
on Google and open so the way things work if you have a system here in this system so you have to open a door to that route that you have set up in this building stays open is a router dependent you don’t have to help you from a hacker because you know I can come into your network and never touch your computer but I’m still able to get information that you can hire that supposed to keep you off the black web dark web or whatever is on the dark web so that’s after the fact what is your take on social media social media to ask I know we talked about Facebook and Target I told I don’t know exactly the root cause I buy Facebook hack but I can tell you what happened with Target hack was they had a vendor who I was coming back and forth on the network off Target and somehow no one checked to see if he was Secure so the hackers with friends and if you have a doctor’s office and you allow your cousin to come in and you don’t know if that accountant is coming from and whether or not is a secure place or if they’re secure you are allowing someone to come into your network that makes the information and so you have to be done in this is something that we try to teach people is that this is very, and in a lot of people get a company that has been no sew the difference between Haiti and cybersecurity is that there’s something but we do prices together right that’s what I T guy would only do not there are vulnerable the government release thousands of every day on software the IT guy never look at that that’s what they do inside to see if you wanted to hire you answer okay you know what I’ve got some weird stuff that’s happening on my laptop is running slow can you what’s the basic Services you can provide them we’re going to go to break first but I want to give you two opportunities to tell people how to reach you and then the specific services that you provide and then we’re going to come back and talk about a little bit more so we can be reached at +88-858-895-9951 or email us at support at CSCO – i t., let me repeat it again so please call us at 888-588-9951 and email us at support at CSCO dash.com what are the top three things you can do for people off the bat I’m reaching out to you that they should be thinking about in terms of hiring you why should they hire the first thing I would do for them is still in from the outside what the heck is actually see it on their system so we will be able to tell you I know you not going to have me because we have to cry because we’ve been that protect them and then so we’re going to go to work in one minute what do you want to hear about Michelle I wanted to know if it’s a one-on-one relationship or do you go into companies we going to companies okay so not so much private people residence done private people and then we can talk about that but private people is a little bit different is the same strategy where you actually you know check whether or not they’re vulnerable and help them to become the tomb was coming breech sectors right and some data around that and then get into a little bit more about your business your audience right we’ll be back in a moment تعال إلى هنا وأعطيك عناقًا حارًا هو أنهم لاحظوا نشاطًا غير عادي على بطاقة الخصم الخاصة بي ، يمكنني الرد الآن على أن يكون نصًا ثم للاتصال بي ومساعدتي في إعادة الأمور إلى مسارها الصحيح بالإضافة إلى أنني أستطيع التأرجح بجانب البنك الذي أتعامل معه والحصول على مشكلة بطاقة مؤقتة على الفور ، هذا هو اتصال Wells Fargo للمتابعة ولكني وضعت كلمة لك في نشاط المتجر لتنبيهك ومساعدتك في التعامل معها حتى تتمكن من المضي قدمًا في حياتك ، وتنبيهات نشاط البطاقة المشبوهة ، والراحة الأمنية معًا Wells Fargo معًا سنذهب بعيدًا FDIC عضو Wells Fargo Bank NA.
مدير استشارات الأمن السيبراني
an hour and we’re here in the studio with Tony Richard owner and director of cyber security Consulting out he’s been telling us some amazing information about how we can protect ourselves from hackers what about the two most common breach sectors right and then I think you will also sharing something about how long it takes them and is real quick because a lot of people you know they don’t really know how serious this is so the mean time to identify if your back is 197 days I just want you to think about that for a minute right so think about it on the things that can happen 197 days before college right to the top of level privilege and then get all the information that they need because what they can do on your network virus protection are not what they have it or not and take all the information that they need email to my wife call my wife name and I am I knew that my wife was on the internet person and I realized something is wrong and then every time I try to go to a website somewhere else okay is what’s the effect your system into their destination you’re giving it to it willingly so what happens once you say you want to go to Google go to Google and then but then you see all these pop-ups are you going to a network that they want you to go to I was able to realize something is wrong at a time to actually show me that they were going that that was breached now every device that’s connected to the internet especially Unix or even Windows they have a login system when I say l o g g i n g which is actually touching your system logs to a file and I saw that the IP address that was actually on my system was from Ukraine if you got hacked from somebody in Ukrainian someone in your great really about that we didn’t know much know much about how much would that cost for each cost today if it’s a big company they have read according to this is the IBM data breach report that is Verizon is about 3.6 million dollars 3.6 million dollar off of $500,000 let me share something with you first before you do that is it the clown about the cloud right into Cloud the problem is once you install a router something in our minds tell us that the route is going to be good for the rest of our lives matter is that router firmware need to be updated okay I’m part of the antique cybersecurity cell and different things from the government will there be high all Knight security and it was something that came out about reboot their routers because you know if you need a reboot your router something could happen to you if you get hacked so most consumers are not aware of these alerts Super 8 in Norma see when in reality there from where may be out of date so nine times out of ten your firmware without a date on your router because you never updated it and so how often should I be updating my router and that’s where we come in because don’t know about the alert but our software updater software that is the standard & R Us in terms of all the information and we are able to scan and actually tell you if they’re on a date because we’re honest we believe that the best job that we can do for you I will best cyber security company in the United States we have a partner with Cisco with partner with some important protection endpoint protection companies and we’re just honest people we’re not hear the money is good but at the same time we want to help people helping people is more important to us my target audience would be based on the two most brief sector and everyday eye doctor office get free okay because if you look at the hotel’s 38 right so they have you give me look at how many incidents right and the bridge the bridge is pretty high for the incident did 750 + 536 actually breach they tried 750 times and then they succeeded 536 people don’t understand is that because it’s a long as you can keep that social security number and they’re not using it but then you’re good for 18 years so the professional sector did they are doing really well 542 bridges that is correct why are they so good at protecting their stuff and they’re in a state of disbelief right because the lights and there soon that the it guys taking care of them we had a doctor that we scanned and we scanner system we saw that a router was extremely vulnerable and she called her it guy that she said and I said well I’m not a cyber security guy be honest but most customers believe that I T and cyber-security the same statistics out there you realize that there’s more to cybersecurity that would protect them and I was thinking probably Professional Services don’t have the extent of data unless you want to steal information like confidentiality stuff other than that health records with where you would want to Target public Wi-Fi is because I acted can get into that system the system until the system that information and steal your information so you shouldn’t use public should never use public or private is Network because if you infect the phone while it’s in the private domain I have a bad habit of bad habit but my grandkids does my phone say download these games and they can definitely that’s a stick where someone downloaded a program they called his side load so that person and what’s a VPN virtual private network has so many bad habits and it’s amazing what can be done so in terms of where you want to grow your business right cyber security consulting jobs what do you want to come was just an organization with the next 5 years and helping medical providers for that right lights and if you look at the rate of breeches something needs to be done and you know what’s going on and when they get to be 18 years old that could you not have bad credit and that’s something that I don’t like but let’s go back to firestick think should I get rid of my firestick no thanks just put it on a separate network from you private Network put it on a separate network that you have your regular Wi-Fi and you’re doing business pleasure speaking with you is the owner and director of cybersecurity Consulting Ops how can people get in touch with you. يمكنك الاتصال بنا على 888-588-9951 أو مراسلتنا عبر البريد الإلكتروني على support.com. شكرا جزيلا عزيزي لقد كان من دواعي سروري.
الانترنت و الأمن السيبراني
ماضي الإنترنت وحاضره ومستقبله ، أمن الشبكات.
So I wanted to ask you when you first started the project to think about the communications that they’re really have become the internet what were your goals what were you are hoping to achieve at that point it demonstrated the utility and effectiveness of packet switching in a heterogeneous environment where multiple computers with different operating systems were able to communicate over a homogeneous Network the Internet Was A Step Beyond that to include heterogeneous packet switching networks radio base satellite-based optical fiber baseball that came later and so on then the question was can we build this arbitrarily large network of networks linking a whole bunch of heterogeneous systems together and so that was our initial objective we knew this was going to be useful for command-and-control and so we incorporated into our thinking they need for mobile operation for voice and video and for security so that was all part of the general framework in which this development took place today well one argument is yes because we were worried about the address space for one thing and we did a calculation and we came to the conclusion in 1973 that we needed 4.3 billion terminations on this network now for a small-scale experiment with only three or four networks at that time that was a pretty ambitious goal but we wanted this to be expandable when you would had to operate on a global scale because the military has to operate on a global scale security what kinds of conversations occurred at that time we’re going to have to secure the communications and to and because we’re going to be going through a variety of network some of which might not be internally secured it also and doing cryptos important the ability to Route traffic arbitrarily through networks that might not be secured this important so we knew all of that and when we have this other problem which is Packet crypto didn’t exist at the time wine and Krypton was coming but packet crypto where you have to essentially decrypt things out of order was a new thing and that caused all kinds of artwork that happen we had a whole program for developing packet cryptography so that was all part of our model the other part of the model thought was that every device that was on the internet would have to defend itself we didn’t have any notion to Perimeter we didn’t really have a notion of firewall every device was out on its own that meant that if it receive traffic and had to design am I going to respond to this or not and so we had to have an occasion is part of a notion in the design of the system seventies about the breath in the scale with the architecture in the design and people to be able to work on it where do you see Innovation today what where do you see not just the internet going but where do you see Innovations going that said having an effect on the Internet is an example in the case of Internet one thing we very carefully thought our way through is it the Internet Protocol layer has the characteristic did the package don’t know how they’re being carried that was an important ignorance and they don’t know what they’re carrying buy postcards if they were transported and they don’t know what is ignorance turns out to be the key to Innovation as new transmission technology came along the packets could be carrying on anything so an optical fiber became, just put the packet switching system on top of that similarly when people had new ideas for applications all they had to do was to put them on the net we didn’t change the network cuz all the network middle is it switching packets around containing old paint content so that in ignites opportunity for Innovation but there’s more to it than that especially if you go out into the private sector Innovation generally requires taking risk that could be a startup which is risky or I could be an established company trying something out there might not work unless you have an environment where you’re permitted to dry things out and fail you have a no likelihood of true Innovation so Innovation is happening all around the world the internet. ستيوارت جزئيًا بسبب هندستها المعمارية ، لكنها تتطلب أن أقول إن الأعمال التجارية خارج أنبوب الرغبة في المخاطرة وهذا هو السبب في ذلك لأن شباب رأس المال الاستثماري على استعداد لتحمل المخاطر وهم يعلمون أن بعض نسبة الطلاء من استثماراتهم تفشل لذلك ، هذا جزء من القصة ، عليك أن تدع الناس يجربون الأشياء وكلما أطلقوا النار بشكل أفضل ، قد لا يصلون إلى هذا الهدف ولكنك تعلم من يريد زيادة بنسبة 10٪ بينما يمكنك على الأرجح الحصول على 50-60 ضعفًا لمنصة رائعة الإنترنت للبناء عليه ولديه نوع من تلك الأداة الإبداعية التي تسمح لك بالتفكير إلى أين ترى الأشياء تسير ولكن بشيء واحد يمكننا أن نرى منصاته الجديدة تستمر في الظهور ، دعنا نأخذ الهواتف المحمولة ونقوم بتطوير الهاتف المحمول باليد في عام 10 حتى 1973 ومن المفارقات أن هذا هو بالضبط العقد الذي بدأنا فيه أنا وبوب الإنترنت وتم تشغيلي في يناير من 1983 ، لكن هاتين التقنيتين لم تنضم إلى بعضهما البعض حتى عام 83 عندما جاء ستيف جوبز جنبًا إلى جنب مع iPhone وجذب انتباه الجميع للأشياء التي تحدث ، فهما من هاتين التقنيتين بدلاً من الاضطرار إلى التواجد في مكان ثابت يمكن أن تكون في أي مكان ، والشيء الثاني هو أن الهاتف المحمول كان لديه إمكانية الوصول إلى كل قوة الحوسبة والمحتوى على الإنترنت ، لذا فإن هذين الأمرين هما عملت Wells المعززة بشكل متبادل في هذا بطريقة مشابهة للطريقة التي تقوم بها طبقة بروتوكول الإنترنت بواجهة برمجة التطبيقات هذه في واجهة برمجة التطبيقات هذه في الهاتف المحمول ، مما يعني أنه إذا كنت تكتب تطبيقًا ، فلا يتعين عليك في الواقع معرفة كيفية عمل القلب. عليك أن تعرف أنه إذا كنت تلتقي بهذه الواجهة ، فيجب أن يعمل التطبيق الخاص بك ، حيث يقوم بإرسال البيانات واستلامها من المنزل حتى الإنترنت ، لذا فإن هذه المنصة مثل هذه الطبقة في البروتوكولات تحث على قدر كبير من الإبداع ، تكون شبكة الويب العالمية مثالًا مثاليًا من ذلك ، الإنترنت هو هذا النظام الأساسي ، شبكة الويب العالمية هي بعض طبقات البروتوكول لـ HDTV HDMI أيضًا على الأشخاص قاموا ببناء جميع أنواع التطبيقات على رأس تلك البنية التحتيةوهكذا يمكنك أن ترى هذا يتكرر مرارًا وتكرارًا للاختراع حيث تأتي المنصات الجديدة لدعوة الأشخاص لتجربة فحص أمان التطبيقات الجديدة ، لذلك لا يقتصر الأمر على الأمان عندما تفكر في الأجهزة التي كانت تستخدمه عندما نسمع هذه العبارة Internet-of -أشياء الأجهزة في المنزل في المكتب في السيارة أو في الأسبوع Arie على أشخاصنا حتى في شخصنا ، لذلك دعونا نتخيل كل هذه الأجهزة في كل مكان. Where we want them to be a reliable be safe 3 secure for interoperability yes I’m resilient all of those things so this really talking about software reliability and resilience and safety and everything else is what animates all of these devices is software the hardware is there a soft word but it’s the animation part that’s important and that’s the thing which is the most troubling because in the 70 years or so where we have been programming we haven’t figured out how to write software that doesn’t have bugs we don’t even have environment through software creation we make mistakes so that’s the most serious concern I have Securities part of that because bugs get exploited and Nova System gets penetrated and some bad thing happens that’s insecure but there’s more to it than just security it’s the only other reliability some things that we should worry about so we should be really concerned about this because our world is going to be filled with software running all the time how do we Ford to continue to play whack-a-mole with vulnerability so how do we create an environment where we do have quality in software that that that’s a requirement in expectation happened in finding ways to fix in a third one is trying to deal with the fact that software even when it works correctly it may not work all the time now there is situations where the software didn’t know what to encounter is a state that it wasn’t expecting you could call that a bug but the idea here is that we need resilience in these systems we need backup we need the ability of the system to operate even when things are broken you almost want something kind of sitting on your shoulder watching while you’re writing the code saying excuse me you just created a buffer overflow there or you might want to be able to say it truly environment that’s supporting her software where can you find any places where I’ve used a very already been accepted otherwise I’m getting random value and branching off into cyberspace somewhere give advice Fitness field I would want kids to understand as early as possible is that when they’re trying to design software they have to cover all the cases that they can possibly think of that might need that that’s offering might be confronted by what that means is deliberate attack which by the way we didn’t pay a lot of attention to in the original internet design we’re all a bunch of Engineers and we expected to get there are bad guys out there that want to interfere with the system they wanted to harm you or for somebody else do we have to think I went through all of that so these kids down to know how to write software which means I have to learn how to break down problems in and solve neon smaller pieces and then put the pieces back together in an architecture that works but we also have to expect them to deliberately ask themselves How would attack the system how would I destroy its Integrity how would I interfere with this operation and some people don’t agree with me but I think kids should learn how to write malware write it not just to study it but actually how to write a nation experience what the bad guy does in order to interfere with secure operation at or safe operation and until you have thought your way through how you would attack the system you don’t really understand how you’re going to defend it and so some people say while you’re creating a bunch of hackers in my reaction to that is no one creating a bunch of people who know how hackers work and so that’s part of the story I think if we want software in the future to be more reliable than it is today in the networking space for a.
إطار عمل NIST لتحسين البنية التحتية الحيوية
سنتحدث اليوم عن إطار العمل الجديد لتحسين الأمن السيبراني للبنية التحتية الحيوية والذي احتفل بعيده الخامس في فبراير ، سنلقي نظرة على السنوات الخمس الماضية وكيف تطور إطار العمل منذ إطلاقه أو سنتحدث حول ما سيأتي في المتجر بعد ذلك ، سيشارك أعضاء اللجنة خبراتهم حول كيفية دعمهم لاستخدام المجتمعات لإطار عمل الأمن السيبراني ومناقشة خارطة الطريق الإطارية المحدثة التي تم نشرها بالأمس فقط ، وسنقبل أيضًا أسئلة من اثنين هناك طرق مختلفة من خلال Twitter باستخدام إطار عمل علامة التجزئة السيبراني أثناء البث الشبكي وسنستخدم أيضًا تطبيق الشرائح هذا لتلقي الأسئلة وهناك معلومات حول كيفية القيام بذلك على صفحة الحدث التي من المحتمل أن تكون قد نقرت عليها للتو على ملاحظة أن الهدية التقليدية للذكرى السنوية الخامسة هي من الخشب ، لذا يمكننا قبول التبرعات هنا في هذا ، لكن يرجى التفكير في ذلك باعتباره تأطيرًا لأسئلتك وبهذا أنا " سأقوم بتسليمها إلى كيفن ، هل يمكنك أن تعطينا التاريخ في تطوير إطار عمل الأمن السيبراني ، ما هي جذور هذا الجهد حقًا ، فأنت سعيد لشكر آدم وشكر الجميع على انضمامهم إلينا اليوم ، لذلك بدأنا هذه الرحلة فقط منذ ما يزيد قليلاً عن 5 سنوات عندما اجتمعنا معًا بدفع من أمر تنفيذي عام 5 للقيام ببعض الأشياء ، كان أحدها هو تطوير نهج تطوعي استنادًا إلى إرشادات وممارسات المعايير الحالية للمؤسسات لتحديد الوصول المُدار بشكل أفضل والتواصل عبر الإنترنت المخاطر الأمنية في سياق مهامهم في أهداف أعمالهم ونهايتها اجتمعت معًا من خلال سلسلة من ورش العمل العامة وفي مجموعة متنوعة من الارتباطات الأخرى.
الإطار والأمن السيبراني الأوسع
1. أوه، بدء عملية ستقوم بجرد كيفية تطور إطار العمل ومساحة الأمن السيبراني الأوسع، وكانت الإشارة إلى أن الوقت قد حان لإعادة النظر في إطار العمل وتحديثه، وسنقوم بتحديث ذلك تمامًا مثل كل شيء قمنا به افعل ذلك في هذا الثلاثاء، وهي عملية شاملة مفتوحة وشفافة للغاية وذكية جدًا لمعالجة الإصدار 1.1 من إطار عمل الأمن السيبراني الذي أصدرته Wii منذ أكثر من عام بقليل في مثل هذا اليوم في أبريل 2018. أنا سعيد جدًا لأنه عيد ميلاد لنا. لقد حصلنا على قبولك، فماذا لو أضفنا القليل من النكهة على بعض التحديثات المهمة المضمنة في الإصدار 1.1؟ مرة أخرى، أبلغت هؤلاء أن تطور إطار العمل أو بعد السنوات العديدة الأولى من وجوده يعتمد على تجاربك وبما أن إطار عمل Sharpshooter كان يهدف إلى التحسين لتوضيح وتعزيز الإصدار 1. O أدرجت الكثير من التعليقات الواردة على مسودة الإصدارات من الإصدار 1.1 والتي كانت جميعها مفيدة للغاية. كان من المفترض أن يتم تنفيذه من قبل مستخدمي إطار العمل الحاليين والمستخدمين الحاليين حتى يكون مفيدًا، وليس فقط للأشخاص الذين هم على دراية به ويستخدمونه بالفعل. أوه، هذا بلا شك هؤلاء الوافدون الجدد إلى المجتمع الذين يمكنهم التقاط 1.1 والبدء في تنفيذه، لقد كان شيئًا شعرنا به بقوة شديدة وسمعنا بصوت عالٍ جدًا من المجتمع يتأكدون من أن هذا متوافق مع الإصدار 1.2 لذلك كان هذا دائمًا هدفًا واضحًا للغاية في معايير تصميم مهمة بالنسبة لنا، لذلك هناك بعض الأشياء التي ربما كانت بعضًا من التعليقات الأكثر أهمية بحيث تلقيناها بطرق نتعامل معها في الإصدار 1.1، الاستخدام الموضح لمصطلحات مثل الامتثال المتوافق إذا كان يبدو الأمر كذلك قد يكون مربكًا ويمكن أن يعني أشياء كثيرة مختلفة للعديد من الأفراد والمنظمات الأخرى وبالتأكيد في سياق مختلف فيما يتعلق بأصحاب المصلحة في الإطار، لذلك كان علينا توضيح مفهوم الامتثال هذا حقًا أن الإطار له فائدة كهيكل وكإطار لغة لمساعدة المؤسسات على التنظيم والتعبير عن الامتثال ضمن متطلبات الأمن السيبراني الخاصة بها، قمنا بإنشاء قسم جديد حول التقييم الذاتي، وبالتأكيد كان القياس دائمًا موضوعًا لا علاقة له بالأمر التنفيذي الأصلي رقم 13636 ن في جميع ورش العمل والارتباطات لدينا إن فكرة قياس الأمن السيبراني هي شيء ظهر بشكل متكرر في سياق الإطار الذي نركز عليه حقًا وحصلنا على الكثير من التعليقات من المجتمع حول التقييم الذاتي باستخدام الإطار والتقييم الذاتي مرة أخرى في السياق الخاص بك تساعدك مؤسستك على فهم هذا باعتباره خطر الأمن السيبراني الخاص بك في مواءمة الأخبار مع مهمتك وهدف عملك، لذا فإن التقييم الذاتي أمر بالغ الأهمية، وقمنا بتوسيع تفسيرات إطار العمل في مجالات مثل إدارة الهوية والوصول في إدارة مخاطر سلسلة التوريد.
إدارة مخاطر المؤسسة
I’m really the broader Enterprise risk management Arena as well and certainly other refinements if you will and in and tweaks to update and reflect and evolution of informative references in the framework core that fit the category and subcategory levels can one of the other things that we we’ve had over the last several years that we’ve really focused on trying to have that we’ve been very pleased with a diverse use of the cybersecurity framework from the community and then we start to build an amplifier awareness of the body of resources better industry developed or organization developed that can help organizations use the cybersecurity framework and more meaningful ways and one such a resource that we have me try to highlight because it we find a lot of excitement in it is this Visa success stories that we post where we provide at working with individual organizations or sectors features of an organization or sectors use of the framework the different approaches and the benefits to their use what are the results of the achieved lessons learned another next steps and new opportunities that they see based on their use of the framework we certainly encourage folks to check out the success stories and other resources that bail bond the framework website and consider sharing a success story of your own we’re happy to engage with you on that the final piece to segue into the next part of our conversation is that as a dimension yesterday we issued the companion roadmap version 1.12 framework version 1.1 and if you recall from kind of our discussions at workshops really version one that it was a roadmap several years ago the roadmap is intended to identify key areas of development alignment in collaboration that as they evolve will I be considered for greater inclusion and in help to improve future versions of the cybersecurity framework they can we just released update final version 1.1 of the cyber security framework Road thanks Kevin and I hope those out there thinking of questions for a panelist but I have a few and store here so now we just heard from Kevin about the background of the overall cybersecurity effort we heard about the changes in the last year to 1.1 and heard a little bit about the roadmap can you can you talk a bit more about the roadmap that was released yesterday I was his efforts were to branching out and one of the things we’re doing to support use of the cybersecurity framework sure so good afternoon everybody thank you for joining us on our webinar Mister all throughout this framework has been defined in a couple of different places starting in the initial executive order than carrying on through some more policy and legal developments as it’s gone on and as our role has continued and working with industry in development of the framework we have worked with you collaboratively on identifying to areas that Kevin mentioned Gap areas and roadmap areas things for which we think are important enough that they should somehow be included or referenced somewhere in the framework either in the court sell for in a informative reference depending on the specific item but perhaps the area is not yet developed enough to have a reference which is understood actionable specific or acceptable so that it could be included and be something that could be considered useful immediately to our communities so as we work together both receiving your feedback and your implementations hearing you’re not just success stories that Kevin talked about but also some of the challenge areas looking at some of the profile implementations for your different sectors your different business Mission areas your different contexts and then hosting and meeting together at workshops and conferences we’ve gathered and identified some of these areas together Kevin mentioned that the one.
المعايير الدولية
International standards we’ve been engaging with the International Community since the framer came out the cybersecurity & Hansen Act of 2014 gives us a mandate to continue conversations with International organizations and governments and we found a law that dialogue to be very helpful since specially since we were in Leesburg and one point one last year during some feedback and perspectives from those who views the framework abroad how they’ve been cemented it has been very useful for us as we see to create our own updates there as well and we definitely value having the chance to have those discussions when the framework first came out we did see some International using up take one example is Italy Lambert’s a lot of fat content of version one of the framework in their National cybersecurity strategy we also thought Israel take the framework translated into Hebrew and incorporate into their cyber-defense methodology which is also really good example of how the framework is so adapt one customizable that and that example we seen how is real as able to tailor some the language to be a little bit more sex also seen some uses of the framework in Uruguay who’s now actually on their fourth version of their cybersecurity framework and we’re also aware that Bermuda has a used it within their government and heavily encourages it for you Sam under industry as well and even seen an example in Canada for the Ontario energy for two uses of cybersecurity framework at the basis for self assessment in reporting requirements there electric organization another Stone Partners since the beginning has been Japan who translated the framework into Japanese and continues to collaborate with us and also wanted to take note as Kevin mention the success stories earlier we’re very happy to receive a success story from the Japanese cross-sector for him last fall they talked a little bit about how they were able to use the cybersecurity framework within their organization that consisted of a lot of businesses with operations inside and outside of Japan and the framework really help provide them a shared language for discussing cyber security issues and a way to come to a shared definition of what cyber security missions look like and the kind of skills that a cybersecurity Workforce would need in addition to these adaptations we’ve also had several direct translations of the cybersecurity framework in addition to the ones that I’ve named we also last fall released a Spanish translation of the framework which is telephone number to try to make it more accessible and easier to implement an Arabic translation has also been produced that we are linked to on our website and last fall we had some good engagement with Brazil that was organized by Iran Administration and we were joined by the US Chamber of Commerce who then kindly translated the framework into Portuguese and we just recently linked to that on our side as well it’s been very exciting to see these various adaptations and translations and definitely as we move forward we want to continue having these bilateral and multilateral discussions with International organizations and governments on their used to the framework and we also want to continue encouraging our own industry and their International engagement send course we also want to continue engaging in the standards development effort as well which is the last area that I wanted to highlight they said we are trying to ensure that the cybersecurity framework Alliance International standards and their kin efforts with an ISO and I see to map the different aspects of the cybersecurity framework to existing standards and the culmination of that wasn’t ISO IEC technical report 27103 which leverages a lot of content of the first version of the framework you’ll see the five functions and their some of the language the language from the categories and some of the ISO standards that are referenced in our informative references and several more there’s also current efforts underway to work in the open and transparent collaborative environment of Standards organizations working with our partners to the Delta Technical specification 27101 which also leverages language of the cybersecurity framework as part of guidance for developing cybersecurity framework so it’s our hope that through these efforts we can continue a caging within International Community and try to identify more these adaptations in these translations in continuing line the framework two International standards and of course we always welcome any feedback you might have on that we’re happy to have any type of discussions and see where the framework is being implemented around the world thank you thanks I mean that was a very thorough review and I hopefully if folks have questions about some the international aspects of this work please don’t hesitate to share them through Twitter or to the slider app we have a couple of questions already let’s start tackling them we have a question that asks what is the value of utilizing assessment tools like those resident on Federer amp to control access of artifacts associated with CSF assessment that you talked a little bit about confidence assessments mechanisms a means of achieving confidence do you want to talk a little bit about how you how you view that and I think with fedramp and we were talking about utilizing Cloud so if you want to dress that a little bit too I think that’d be helpful thanks sure so thanks for the questionAnonymousnymou,s anI are’m doing my best to answer it to make sure I understand correctly, so what’s the value are you lysing assessment tools like that resident on the Federal app to control access to artifacts associated with a CSF .
كما هو الحال بالنسبة للجزء الأول من منطقة خارطة طريق آليات الثقة، إذا أتيحت لك الفرصة لإلقاء نظرة عليها، فقد تحدثنا عن تقييمين مختلفين على مستوى أعلى نرى أنهما بدأا في الظهور من معهد المعايير البريطاني PSI الذي يعتمد على ال يعمل الإطار السيبراني على بناء جمعية مراقبة تدقيق نظام المعلومات أيضًا بعض برامج التقييم التي تركز على الإطار ومن ثم يحتضن برنامج التميز في الأداء بالدريج الذي يتم توفيره كأداة للتقييم الذاتي. خلاصة القول هي أننا نستخدم الأدوات والأهم من ذلك إعادة استخدام نتائج التقييم إلى أقصى حد ممكن، أحد هذه الأشياء هو إذا تم تعيين نتائج التقييم مرة أخرى في إطار العمل ثم يمكنك إعادة استخدام نتائج ذلك وكيفية التعبير عن المخاطر مرة أخرى في العديد من متطلبات الامتثال الأخرى، لذا فهذه إحدى الأدوات المساعدة الرائعة لإطار العمل إذا كان السؤال يتعلق بقيمة الأداة في بيئة سحابية لحماية أصل مثل نتيجة تقييم CSF أو قطعة أثرية للتقييم، فهذا سؤال مختلف ثم نعود إلى خطوة التعريف تقريبًا وهل هذه الأداة مهمة وإذا كان الأمر كذلك فكيف وفي أي يوم تحتوي، وبالتالي قم بإلقاء نظرة على تلك البيئة السحابية حتى بيئة سحابية fedramp هل من المناسب وجودها هناك أم لا، لذلك فهي تقريبًا إجابتان مختلفتان، الشيء الجميل في fedramp هو أنه يحتوي على تقييم طرف ثانٍ أو ثالث لعناصر التحكم المعبر عنها في 853 مرة أخرى الرياضيات في إطار العمل حتى تتمكن من الحصول على فهم مشترك للأمن يتم توفيرها لك من قبل موفر الأمان السحابي ومن ثم يمكنك إلقاء نظرة على ما هو موجود في جانبك من السحابة وما هي مسؤولياتك والتأكد من أن الاثنين متطابقان نوعًا ما مع ما هو تحمل المخاطر الخاص بك، لذلك فهو تقريبًا 2 الشق حسنًا، شكرًا مات كيفن الذي أخذ سؤالًا آخر من slido هل سيتم تحديث CSF مرة أخرى عند الانتهاء من nist 800-53 rev 5، أعتقد أنني سأحصل على صلاحيات المشرفين وأوسع هذا السؤال قليلاً، أعلم أنه تم إطلاق سراحنا اليوم إطار عمل الأمن السيبراني وثيقة المراجع الإعلامية على الإنترنت السيد. 8204 which I think is really about informative references and how do we keep that as a living document so can you answer that specific question around red 5 and also just talked generally about the approaching the straight e204 and how it’s going to drive activities moving forward yeah happy to connection maybe I’ll start with the more General because that will lead into the specific answer again the notion of as folks that are familiar with the framework know to help organizations achieve the outcomes that are expressed in the categories and subcategories we have provided mappings in the framework Core 2 informative references existing standards and practices that that are intended to provide more detail to help guide organizations on their implementation journey to achieve those outcomes some of those are ISO standards ISO IEC standards cobit Miss and resources such as 800-53 rev 4 I do not Envision updating the cybersecurity framework to incorporate under 800-53 rev 5 when that goes final the process that will be using is to leverage the online informative reference approach where is we can using a very consistent repeatable methodology instantiate that mapping between rev-5 and the function categories and subcategories in the cybersecurity framework version 1.18 that mapping outside of the framework version 1.1 proper there’s a lot of benefits to that I think one of those is to overtime really help the Sharpshooter framework the basic framework or to be a little bit more stable and allow the informant of references that frequently change and an update certainly more frequently to kind of live outside the framework as additional resources that that agency agency is another organizations can point to in leverage I think the value of the informant of references approach online informative references at it is that standardized repeatable a kind of consistent methodology that cannot only going to Simply Express relationships between controls and other kind of reference documents to the categories and subcategories but really pretty providing this in a format that could also be machine-readable and ingestible indigestible if you will by manufacturers of tools that are providing different types of services to help organizations with their cybersecurity needs Thanksgiving been since I was listening to your response I think we can address this issue a question which is I will future versions of the CSF have mappings for gdpr I would take your answer to be no that is correct we don’t Envision we don’t plan to map gdpr to the cybersecurity framework but that does bring up another opportunity here like I would drop sharply framework we have initiated a process to develop a privacy framework and we envision the Privacy framework to be a voluntary framework I really an Enterprise risk management tool to help organizations understand manage and communicate privacy risks in the context of their missions and business objectives we initiated this process just a little bit over six months ago in October with a kickoff Workshop that end in Austin Texas and I we’ve had a request for information and got some outstanding feedback from the community had significant numbers of in meetings and engagements with folks throughout the last several months and will be convening the community again just in a couple short weeks three short weeks at Georgia Tech on May 13th and 14th to further refine and develop some of the draft materials related that will contribute to the ultimate privacy framework one. لا أعتقد أننا سنقوم بدمج القانون العام لحماية البيانات (GDPR) في إطار عمل الخصوصية. أعتقد أن نتائج الخصوصية التي قد تسعى المنظمات إلى تحقيقها مرة أخرى تتماشى مع مهمة البؤس الخاصة بها. من المؤكد أن أهداف العمل يمكن أن تكون مفيدة لتحقيق المتطلبات ذات الصلة والمناسبة التي يجب تسجيلها في القانون العام لحماية البيانات (GDPR) أو أنظمة الامتثال الأخرى الموجودة محليًا ودوليًا. شكرا كيفن و. ايو. بالإضافة إلى ورشة العمل في مايو ، كان من المحتمل أن أقوم بسلسلة من الأحداث الإضافية وورش عمل العصا الأخرى ، ويجب على مشاهدي الندوة عبر الإنترنت الانتقال إلى موقعنا على الإنترنت في هذا. إطار عمل الحكومة / الخصوصية لمراجعة المواد والبحث عن الأحداث المستقبلية. لدينا سؤال آخر من زميل من جنوب فرنسا: كيف يمكن قياس عائد الاستثمار من خلال لعب إطار الأمن السيبراني؟ يريد متى أن يأخذ كل منهما الآخر؛ لقد جاء كثيرا. لقد جربته على مدى السنوات الخمس الماضية وطلبت المساعدة من أحد أعضاء اللجنة، لذا فهو سؤال رائع.
تحدث قليلاً عن noon أعتقد أننا سمعنا من Matt أنه بالتأكيد مؤسسات خارج البنية التحتية الحيوية تستخدم إطار عمل الأمن السيبراني بالفعل وقد ذكرت السرير حول بعض قصص النجاح ، لذا إذا كان هناك أشخاص يشاهدون هذا البث عبر الويب الآن ولديهم قصة نجاح جيدة لمشاركتها ، يريدون فقط التحدث مع أقرانهم حول إطار عمل الأمن السيبراني ، كيف يمكنك أن توصي المؤسسات التي تستخدم إطار العمل بمشاركة تجاربها مع nest ، وذلك بفضل قيام Adam Noah بتغطية بعض الأدوات المتوفرة على موقعنا على الويب من أبرز بعض قصص النجاح التي يمكنك العثور عليها هناك إذا كنت مهتمًا عبر قالب موجود إذا كان هناك شخص ذو خبرة ، فإنه يريد مشاركة PayPal المركب مع إطار العمل بالطبع ، اجعل مصمم الإنترنت لدينا يحصل على هذا الحديث عن بريدنا الإلكتروني العنوان الذي ربما يكون أفضل طريقة للتواصل مباشرة إذا كان لديك سؤال أريد أن أشاركه في شيء ما لأن هذا مكثف خاضع للمراقبة وستكون قادرًا على الرد عليك وتوصيلك بشأن الخطوات التالية حول بدء محادثة مع آليات أخرى هي أشياء مثل هذه الأشياء على موقع الويب مثل هذه الأشياء التي يمكنك المشاركة فيها وقراءة بعض هذه الأسئلة و بالطبع يسعدنا دائمًا الرد إذا كان هناك أي أفراد أو مؤسسات يريدون التحدث ومشاركة قصصهم ويمكننا محاولة تحديد الأماكن المناسبة التي لا يمكننا أن نحبها ، شكرًا لك ، سأقوم بعمل إصدار واحد للسؤال الذي تعرفه أن إطار العمل كان في الواقع في سياق الأمن القومي في البنية التحتية الحيوية هو أيضًا في سياق الأمن الاقتصادي في البنية التحتية الحيوية في هذا كونه جزءًا من وزارة التجارة حيث أن زاوية الأمن الاقتصادي أو تحديد الأولويات من الأهمية بمكان لذلك نحن جميعًا تحدثنا قليلاً عن ثروة المعلومات والموارد الموجودة على موقع الويب الخاص بإطار عمل الأمن السيبراني ، وتحدثنا عن قصة نجاح تحدثنا عنها كثيرًا باستخدام الترجمات والتعديلات الدولية ، هناك مجموعة شاملة للغاية وتنمو من خلال مجموعة من الموارد التي أنتجتها الصناعة والوكالات الحكومية وكذلك ليس فقط على المستوى الفيدرالي بشكل أفضل ولكن على مستوى الولاية والمستوى المحلي حتى دوليًا ، حصلت أيضًا على موارد محددة لمنظمة موارد قطاع مطورة من المجتمع تهدف إلى المساعدة في تضخيم الوعي ومن ثم توفير نقطة انطلاق لاستخدامك أيضًا حتى تتمكن المنظمات من أي وجميع الأحجام عبر أي وجميع القطاعات في الاقتصاد والمحلي على الصعيد الدولي ، يمكن الاستفادة من إطار العمل واستخدامه بطرق ستوفر أكبر قيمة ذات مغزى لمؤسستك ، وأبعاد الشركات الصغيرة ، وذلك منذ اليوم الأول لنا عندما بدأنا هذه الرحلة. To develop the framework it we weren’t just focusing on kind of the large multinational to the large critical infrastructure owners and operators are domestically but certainly that the midsize and small and small and medium businesses that that play such a critical role either as owner operators or as a parts of the supply chains of those owner-operators as well it certainly we’ve seen over the last several years that the framework has an increased usage or adoption of the framework has extended well beyond the critical infrastructure and organizations in all different sectors in and of all shapes and sizes just a few months ago we launched at Nesta what we refer to as our small business cybersecurity corner and it’s available on are on this site will make sure to have some links out there available for you to access if you’re not familiar with it already and this site is really intended to be kind of a curation point or a repository of of relevant resources many of which are aligned to the cybersecurity framework that can be most useful to small businesses in any and all sectors there is a growing repository of these resources something developed by Nestor other government agencies we are going to receiving additional resources I candidate resources now that are applicable to small businesses and digestible by small businesses from nonprofits and even in some cases for profits and as we continue to receive those will amplify awareness of those by reflecting the knot on their site as well so we encourage you if you’re in search of resources like that please visit our site if you have resources and I bet you’d like to submit for consideration and posting please do that as well we’re here to receive thanks an end to that end we have a comment about the University of Chicago that’s listening and sharing that they’ve had great success and I think that is an example of the success stories that we we have up on our website so if you’re curious about how I University environment could use the cybersecurity framework it’s up there we have another question up which is cyber security is people process into schools and in that order is it unfair that nist CSF is strong on processing tools not as strong on people Kevin do you want to take that and you can’t just say yes it is unfair yes I will absolutely take that question thank you and the answer is sure so yes I’m sure these people process and Technology we’ve spent a lot of time under the processing technology side I think people are reflected in the cybersecurity framework they’re not necessarily as we as explicitly as they should be in the context of him some of the the categories and subcategories have people can be considered an asset to the organization and that’s really a risk management decision for organizations on how to best kind of incorporating make sure you have the right Workforce but but I think the point is that there’s more that we can do to kind of draw going to stop at the greater relationship in Fulton were the people side of things or as some of our colleagues here in this the end of the who we talked about the the what and the how of us are best rated perspective but really there’s a Hooter mention of who’s going to help you accomplish the weather in the house we’re fortunate in this to to be the lead for the national initiative.
