S vývojem kybernetických rizik společnosti se musíte vyvíjet i vy. Zde je 5 tipů, jak vytvořit kulturu kybernetické bezpečnosti, která ochrání vaši firmu a bude mít smysl pro vaše zaměstnance.
Vytvoření kultury kybernetické bezpečnosti bylo vždy důležitým prvkem strategie kybernetické bezpečnosti organizace. Avšak masivní přechod na práci na dálku, který vyvolal COVID-19, následovaný růstem hybridních pracovišť, zásadně změnil prostředí hrozeb.
Vzhledem k novým výzvám v oblasti kybernetické bezpečnosti je třeba přehodnotit politiky kybernetické bezpečnosti z minulosti, a dokonce i ty, které byly zavedeny na začátku pandemie. Je třeba identifikovat nově vznikající rizika, formulovat je a zajistit jejich soulad s obchodní strategií.
Protože s měnícími se rizikovými profily se musí měnit i kultura kybernetické bezpečnosti organizace. A chování a myšlení potřebné k řešení měnících se bezpečnostních rizik - kultura kybernetické bezpečnosti společnosti - se musí rozšířit do celé organizace.
Co je to kultura kybernetické bezpečnosti a proč je důležitá?
Kultura kybernetické bezpečnosti by měla být chápána jako pracovní prostředí, kde se všichni zajímají o kybernetickou bezpečnost a jsou motivováni k jejímu zlepšování; lidé chápou, proč je kybernetická bezpečnost důležitá, a považují se za součást řešení.
Podpora kultury kybernetické bezpečnosti také zajišťuje, že si zaměstnanci uvědomují, jaká rizika existují nebo by mohla existovat, a chápou, jak na ně reagovat nebo je nahlásit. Toto povědomí zase pomáhá lépe chránit organizaci tím, že vytváří silnou obrannou linii proti kybernetickým útokům a potenciálním únikům dat.
Výzvy
Nedostatek odpovídajícího rozpočtu na bezpečnost je jedním z hlavních problémů každé organizace. Dalším je vytvoření kultury kybernetické bezpečnosti bez podpory vedení společnosti.
Bezpečnost má špatnou pověst. "Značka bezpečnosti" je důležitým prvkem při vytváření kultury kybernetické bezpečnosti. To, že není vždy respektována nebo chápána, je překážkou, kterou musí bezpečnostní týmy překonat tím, že se budou snažit změnit postoje lidí k bezpečnosti.
Hlavní bezpečnostní pracovník organizace musí tuto výzvu zvládnout. Najít transformačního ředitele CISO, který dokáže vést a budovat kulturu kybernetické bezpečnosti - a učinit z ní prioritu - bude pro mnoho společností výzvou.
5 osvědčených postupů pro vytváření kultury
Zde je přehled pěti klíčových osvědčených postupů, které pomohou odborníkům na informační bezpečnost vytvořit kulturu kybernetické bezpečnosti v celé organizaci.
1. Investujte do správných bezpečnostních nástrojů.
Bezpečnostní nástroje jsou nedílnou součástí vrstvené obrany, ale nejsou všelékem na kybernetické útoky. Je vhodné mít promyšlený doplněk nástrojů kybernetické bezpečnosti, který může rozšířit "lidský aspekt" kybernetické bezpečnosti.
Investice do řešení SIEM, která využívají techniky strojového učení, mohou například pomoci pracovníkům bezpečnostních operačních center zvýšit jejich schopnosti detekce a reakce, zlepšit poměr signálu k šumu a umožnit bezpečnostním analytikům zaměřit se na důležité hrozby.
Je však důležité si uvědomit, že s vývojem technologií a nárůstem kybernetických útoků se nedostatek kvalifikovaných pracovníků v oblasti kybernetické bezpečnosti jen prohlubuje. Je nezbytné najímat, školit a udržet si kybernetické talenty z nejrůznějších oborů, abychom si udrželi náskok.
2. Zpřístupnění zabezpečení
Bezpečnostní manažeři musí začít spolupracovat s vyšším vedením. Bezpečnostní odborníci musí pochopit a sladit se s obchodní strategií, identifikovat rizika spojená s touto strategií a vhodně je komunikovat v obchodních termínech.
Jakmile manažeři srozumitelně pochopí, o jaké riziko se jedná a co se od nich požaduje, mohou se posunout vpřed.
3. Podporovat kybernetickou hygienu od začátku do konce.
Abyste dosáhli skutečného účinku, musí správné postupy v oblasti kybernetické bezpečnosti vycházet z úrovně vedení a proniknout do celé organizace. Pokud váš generální ředitel předvádí pozitivní postupy v oblasti kybernetické bezpečnosti a dává dobrý příklad zbytku společnosti, zbytek týmu ho bude pravděpodobně následovat.
Kybernetická bezpečnost se musí stát prioritou a udávat tón zbytku společnosti.
- Povzbuzujte své vedoucí pracovníky k účasti na školeních o kybernetické bezpečnosti.
- Uplatňování zásad a procesů zabezpečení ve všech oblastech bez ohledu na hierarchickou úroveň.
- Spolupracujte s tvůrci politik a upravte postupy podle toho, jak fungují pro členy správní rady: pokud politiky nefungují pro ně, pravděpodobně nefungují ani pro nižší úrovně organizace.
- Předpokládejte, že rozšíření postupů v celé společnosti trvá dlouho: vývoj kultury vyžaduje čas a úsilí.
4. Zaměření na člověka
Bezpečnostní týmy často mylně ztotožňují bezpečnostní program "zaměřený na člověka" se školením o bezpečnosti, které musí absolvovat všichni zaměstnanci.
Musíte začít u lidí. To znamená analyzovat zúčastněné strany, pochopit jejich chování a problémy a zjistit, co je třeba změnit a jak tuto změnu provést. Na základě toho pak vytvoříte iniciativy v oblasti kultury bezpečnosti pro každou z těchto zainteresovaných skupin.
5. Pracujte na strategii nulové důvěry
V kruzích kybernetické bezpečnosti se často diskutuje o bezpečnostních strategiích, jako je vícefaktorové ověřování (MFA) a nulová důvěra, jako o metodách pro zvýšení kontroly přístupu, ale nulová důvěra rychle získává na popularitě a mnoho organizací se nyní snaží tento způsob myšlení přijmout.
Strategie nulové důvěryhodnosti pro podnikovou kybernetickou bezpečnost je rámec, který vyžaduje, aby všichni uživatelé byli průběžně ověřováni, autorizováni a validováni předtím, než je jim udělen přístup k určitým podnikovým systémům nebo datům. To zahrnuje jak uživatele uvnitř podnikové sítě, tak uživatele mimo podnikovou síť, protože vstupujeme do trvalé fáze hybridní práce.
Zavedení tohoto modelu v celé firmě znamená, že všichni ve firmě se setkávají se stejnými bezpečnostními opatřeními, což ponechává jen malý prostor pro chyby, které by vás mohly stát podnikání.
Závěr
Příliš málo organizací zdůrazňuje význam kultury zabezpečení, což může vést k nedostatečně poučenému rozhodování, ohrožení systémů a narušení kybernetické bezpečnosti.
Rozvoj kultury kybernetické bezpečnosti je trvalý proces a vyžaduje zapojení všech úrovní organizace.
Zavedením správných postupů kybernetické bezpečnosti na pracovišti nejenže časem vybudujete kulturu bezpečnosti, ale vaše organizace bude lépe chráněna před kybernetickými hrozbami.
