Καθώς οι κίνδυνοι στον κυβερνοχώρο μιας εταιρείας εξελίσσονται, το ίδιο πρέπει να κάνετε και εσείς. Ακολουθούν 5 συμβουλές για τη δημιουργία μιας κουλτούρας κυβερνοασφάλειας που προστατεύει την επιχείρησή σας και έχει νόημα για τους υπαλλήλους σας.
Η δημιουργία μιας κουλτούρας ασφάλειας στον κυβερνοχώρο αποτελούσε ανέκαθεν σημαντικό στοιχείο της στρατηγικής ενός οργανισμού για την ασφάλεια στον κυβερνοχώρο. Ωστόσο, η μαζική στροφή προς την εξ αποστάσεως εργασία που προκάλεσε το COVID-19, ακολουθούμενη από την ανάπτυξη των υβριδικών χώρων εργασίας, άλλαξε ριζικά το τοπίο των απειλών.
Οι πολιτικές κυβερνοασφάλειας του παρελθόντος, ακόμη και εκείνες που θεσπίστηκαν στην αρχή της πανδημίας, πρέπει να επανεκτιμηθούν μπροστά στις νέες προκλήσεις της κυβερνοασφάλειας. Οι αναδυόμενοι κίνδυνοι πρέπει να εντοπίζονται, να διατυπώνονται και να διασφαλίζεται η ευθυγράμμιση με την επιχειρηματική στρατηγική.
Διότι, καθώς αλλάζει το προφίλ κινδύνου, πρέπει να αλλάζει και η κουλτούρα ασφάλειας στον κυβερνοχώρο ενός οργανισμού. Και οι συμπεριφορές και η νοοτροπία που απαιτούνται για την αντιμετώπιση των εξελισσόμενων κινδύνων ασφάλειας - η κουλτούρα ασφάλειας στον κυβερνοχώρο μιας εταιρείας - πρέπει να επεκταθεί σε ολόκληρο τον οργανισμό.
Τι είναι η κουλτούρα κυβερνοασφάλειας και γιατί είναι σημαντική;
Η κουλτούρα της κυβερνοασφάλειας θα πρέπει να θεωρείται ως ένα εργασιακό περιβάλλον όπου όλοι ενδιαφέρονται για την κυβερνοασφάλεια και έχουν κίνητρα για τη βελτίωσή της- οι άνθρωποι κατανοούν γιατί η κυβερνοασφάλεια είναι σημαντική και βλέπουν τους εαυτούς τους ως μέρος της λύσης.
Η καλλιέργεια μιας κουλτούρας κυβερνοασφάλειας διασφαλίζει επίσης ότι οι εργαζόμενοι γνωρίζουν ποιοι είναι ή θα μπορούσαν να είναι οι κίνδυνοι και κατανοούν πώς να ανταποκρίνονται σε αυτούς ή να τους αναφέρουν. Αυτή η ευαισθητοποίηση, με τη σειρά της, συμβάλλει στην καλύτερη προστασία ενός οργανισμού, δημιουργώντας μια ισχυρή γραμμή άμυνας έναντι κυβερνοεπιθέσεων και πιθανών παραβιάσεων δεδομένων.
Προκλήσεις
Η έλλειψη επαρκούς προϋπολογισμού για την ασφάλεια αποτελεί μια από τις κύριες προκλήσεις για κάθε οργανισμό. Μια άλλη είναι η δημιουργία μιας κουλτούρας ασφάλειας στον κυβερνοχώρο χωρίς την υποστήριξη των στελεχών της εταιρείας.
Η ασφάλεια έχει κακή φήμη. Το "εμπορικό σήμα της ασφάλειας" είναι ένα σημαντικό στοιχείο για τη δημιουργία μιας κουλτούρας κυβερνοασφάλειας. Το γεγονός ότι δεν είναι πάντα σεβαστή ή κατανοητή είναι ένα εμπόδιο που οι ομάδες ασφαλείας πρέπει να ξεπεράσουν, εργαζόμενες για να αλλάξουν τη στάση των ανθρώπων απέναντι στην ασφάλεια.
Ο υπεύθυνος ασφαλείας του οργανισμού πρέπει να ανταποκριθεί στην πρόκληση. Η εύρεση ενός μετασχηματιστικού CISO που μπορεί να ηγηθεί και να οικοδομήσει μια κουλτούρα ασφάλειας στον κυβερνοχώρο - και να την καταστήσει προτεραιότητα - θα αποτελέσει πρόκληση για πολλές εταιρείες.
5 βέλτιστες πρακτικές για τη δημιουργία κουλτούρας
Ακολουθεί μια επισκόπηση πέντε βασικών βέλτιστων πρακτικών που θα βοηθήσουν τους επαγγελματίες της ασφάλειας πληροφοριών να δημιουργήσουν μια κουλτούρα ασφάλειας στον κυβερνοχώρο σε ολόκληρο τον οργανισμό.
1. Επενδύστε στα σωστά εργαλεία ασφαλείας.
Τα εργαλεία ασφαλείας αποτελούν αναπόσπαστο μέρος μιας πολυεπίπεδης άμυνας, αλλά δεν αποτελούν πανάκεια κατά των επιθέσεων στον κυβερνοχώρο. Καλό είναι να υπάρχει ένα καλά μελετημένο συμπλήρωμα εργαλείων ασφάλειας στον κυβερνοχώρο που μπορεί να ενισχύσει την "ανθρώπινη πτυχή" της ασφάλειας στον κυβερνοχώρο.
Η επένδυση σε λύσεις SIEM που χρησιμοποιούν τεχνικές μηχανικής μάθησης, για παράδειγμα, μπορεί να βοηθήσει το προσωπικό του κέντρου επιχειρήσεων ασφαλείας να αυξήσει τις δυνατότητες ανίχνευσης και απόκρισης, να βελτιώσει την αναλογία σήματος προς θόρυβο και να δώσει τη δυνατότητα στους αναλυτές ασφαλείας να επικεντρωθούν στις απειλές που έχουν σημασία.
Ωστόσο, είναι σημαντικό να θυμόμαστε ότι, καθώς η τεχνολογία εξελίσσεται και οι επιθέσεις στον κυβερνοχώρο αυξάνονται, η έλλειψη δεξιοτήτων κυβερνοασφάλειας επιδεινώνεται. Είναι επιτακτική ανάγκη να προσλαμβάνετε, να εκπαιδεύετε και να διατηρείτε ταλέντα στον κυβερνοχώρο από ένα ευρύ φάσμα υποβάθρων, προκειμένου να παραμείνετε μπροστά από την καμπύλη.
2. Προσβασιμότητα στην ασφάλεια
Οι υπεύθυνοι ασφαλείας πρέπει να αρχίσουν να συνεργάζονται με την ανώτερη διοίκηση. Οι επαγγελματίες ασφαλείας πρέπει να κατανοούν και να ευθυγραμμίζονται με την επιχειρησιακή στρατηγική, να εντοπίζουν τους κινδύνους που συνδέονται με την εν λόγω στρατηγική και να τους κοινοποιούν κατάλληλα με επιχειρηματικούς όρους.
Μόλις τα στελέχη κατανοήσουν, με κατανοητούς όρους, ποιος είναι ο κίνδυνος και τι τους ζητείται, είναι σε θέση να προχωρήσουν μπροστά.
3. Προώθηση της κυβερνοϋγιεινής από άκρη σε άκρη.
Για να υπάρξει πραγματικός αντίκτυπος, οι ορθές πρακτικές κυβερνοασφάλειας πρέπει να προέρχονται από την ηγεσία και να διαχέονται στον οργανισμό σας. Εάν ο διευθύνων σύμβουλός σας επιδεικνύει θετικές πρακτικές κυβερνοασφάλειας και δίνει το καλό παράδειγμα στην υπόλοιπη εταιρεία, η υπόλοιπη ομάδα είναι πιθανό να ακολουθήσει το παράδειγμα.
Η ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί προτεραιότητα και να δίνει τον τόνο για την υπόλοιπη εταιρεία.
- Ενθαρρύνετε τα στελέχη σας να συμμετέχουν σε μαθήματα κατάρτισης για την ασφάλεια στον κυβερνοχώρο.
- Εφαρμόστε πολιτικές και διαδικασίες ασφαλείας σε όλους τους τομείς, ανεξάρτητα από το ιεραρχικό επίπεδο.
- Συνεργαστείτε με τους υπεύθυνους χάραξης πολιτικής για να προσαρμόσετε τις διαδικασίες ανάλογα με το πώς λειτουργούν για τα μέλη του διοικητικού συμβουλίου: αν οι πολιτικές δεν λειτουργούν για αυτά, πιθανώς δεν λειτουργούν ούτε για τα χαμηλότερα επίπεδα του οργανισμού.
- Υποθέστε ότι οι πρακτικές χρειάζονται χρόνο για να εξαπλωθούν σε όλη την εταιρεία: χρειάζεται χρόνος και προσπάθεια για να εξελιχθεί η κουλτούρα.
4. Εστίαση στον άνθρωπο
Οι ομάδες ασφαλείας συχνά εξισώνουν λανθασμένα την ύπαρξη ενός "ανθρωποκεντρικού" προγράμματος ασφαλείας με την παροχή εκπαίδευσης ευαισθητοποίησης σε θέματα ασφαλείας, την οποία πρέπει να παρακολουθήσουν όλοι οι εργαζόμενοι.
Πρέπει να ξεκινήσετε με τους ανθρώπους. Αυτό σημαίνει ότι πρέπει να αναλύσετε τα ενδιαφερόμενα μέρη σας, να κατανοήσετε τις συμπεριφορές και τις προκλήσεις τους και να υπολογίσετε τι πρέπει να αλλάξει και πώς να εφαρμόσετε την αλλαγή αυτή. Στη συνέχεια, με βάση αυτό, δημιουργείτε τις πρωτοβουλίες σας για την κουλτούρα ασφάλειας για κάθε μία από αυτές τις κοινότητες ενδιαφερομένων.
5. Εργασία σε μια στρατηγική μηδενικής εμπιστοσύνης
Στρατηγικές ασφαλείας όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και η μηδενική εμπιστοσύνη συζητούνται συχνά στους κύκλους της ασφάλειας στον κυβερνοχώρο ως μέθοδοι αύξησης των ελέγχων πρόσβασης, αλλά η μηδενική εμπιστοσύνη κερδίζει γρήγορα δημοτικότητα και πολλοί οργανισμοί επιδιώκουν τώρα να υιοθετήσουν αυτή τη νοοτροπία.
Η στρατηγική μηδενικής εμπιστοσύνης για την εταιρική ασφάλεια στον κυβερνοχώρο είναι ένα πλαίσιο που απαιτεί από όλους τους χρήστες να πιστοποιούνται συνεχώς, να εξουσιοδοτούνται και να επικυρώνονται πριν τους χορηγηθεί πρόσβαση σε ορισμένα εταιρικά συστήματα ή δεδομένα. Αυτό περιλαμβάνει τόσο τους χρήστες εντός του εταιρικού δικτύου όσο και τους χρήστες εκτός του εταιρικού δικτύου, καθώς εισερχόμαστε σε μια μόνιμη φάση υβριδικής εργασίας.
Η επιβολή αυτού του μοντέλου σε όλη την εταιρεία σημαίνει ότι όλοι στην εταιρεία αντιμετωπίζουν τα ίδια μέτρα ασφαλείας, αφήνοντας ελάχιστα περιθώρια για λάθη που θα μπορούσαν να σας κοστίσουν την επιχείρηση.
Συμπέρασμα
Πολύ λίγοι οργανισμοί δίνουν έμφαση στη σημασία της κουλτούρας ασφάλειας, γεγονός που μπορεί να οδηγήσει σε κακή εκπαίδευση στη λήψη αποφάσεων, σε εκτεθειμένα συστήματα και παραβιάσεις στον κυβερνοχώρο.
Η ανάπτυξη μιας κουλτούρας ασφάλειας στον κυβερνοχώρο είναι μια συνεχής διαδικασία και απαιτεί τη συμμετοχή όλων των επιπέδων ενός οργανισμού.
Με την εφαρμογή ορθών πρακτικών ασφάλειας στον κυβερνοχώρο στο χώρο εργασίας σας, όχι μόνο θα οικοδομήσετε μια κουλτούρα ασφάλειας με την πάροδο του χρόνου, αλλά και ο οργανισμός σας θα είναι καλύτερα προστατευμένος από τις απειλές στον κυβερνοχώρο.
