Ahogy a vállalat kiberkockázatai fejlődnek, Önnek is fejlődnie kell. Íme 5 tipp a vállalkozását védő és az alkalmazottai számára értelmes kiberbiztonsági kultúra kialakításához.
A kiberbiztonsági kultúra megteremtése mindig is fontos eleme volt egy szervezet kiberbiztonsági stratégiájának. A COVID-19 által kiváltott, a távmunka irányába történő tömeges elmozdulás, majd a hibrid munkahelyek növekedése azonban alapvetően megváltoztatta a fenyegetettségi környezetet.
A múltbeli, sőt a világjárvány kezdetén bevezetett kiberbiztonsági politikákat is újra kell értékelni az új kiberbiztonsági kihívásokkal szemben. Az újonnan felmerülő kockázatokat azonosítani, megfogalmazni és az üzleti stratégiával összehangolni kell.
Mert ahogy a kockázati profilok változnak, úgy kell változnia a szervezet kiberbiztonsági kultúrájának is. A változó biztonsági kockázatok kezeléséhez szükséges viselkedésnek és gondolkodásmódnak - a vállalat kiberbiztonsági kultúrájának - pedig ki kell terjednie az egész szervezetre.
Mi az a kiberbiztonsági kultúra, és miért fontos?
A kiberbiztonsági kultúrát olyan munkakörnyezetnek kell tekinteni, ahol mindenki aggódik a kiberbiztonságért, és motivált annak javítására; az emberek megértik, miért fontos a kiberbiztonság, és a megoldás részének tekintik magukat.
A kiberbiztonsági kultúra támogatása azt is biztosítja, hogy az alkalmazottak tisztában legyenek a kockázatokkal, és megértsék, hogyan reagáljanak rájuk, illetve hogyan jelentsék azokat. Ez a tudatosság pedig segít a szervezet jobb védelmében, mivel erős védelmi vonalat hoz létre a kibertámadásokkal és a lehetséges adatszegésekkel szemben.
Kihívások
A megfelelő biztonsági költségvetés hiánya az egyik legnagyobb kihívás minden szervezet számára. A másik a kiberbiztonsági kultúra megteremtése a vállalat vezetőinek támogatása nélkül.
A biztonságnak rossz híre van. A "biztonsági márka" fontos eleme a kiberbiztonsági kultúra megteremtésének. Az, hogy nem mindig tisztelik vagy értik meg, olyan akadály, amelyet a biztonsági csapatoknak le kell küzdeniük azáltal, hogy az emberek biztonsághoz való hozzáállásának megváltoztatásán dolgoznak.
A szervezet biztonsági vezetőjének meg kell felelnie a kihívásnak. Sok vállalat számára kihívást jelent majd egy olyan átalakító CISO megtalálása, aki képes a kiberbiztonsági kultúra vezetésére és kiépítésére - és annak prioritássá tételére -.
5 legjobb gyakorlat a kultúra megteremtéséhez
Az alábbiakban áttekintjük az öt legfontosabb bevált gyakorlatot, amelyek segítségével az információbiztonsági szakemberek a szervezet egészére kiterjedő kiberbiztonsági kultúrát teremthetnek.
1. Fektessen be a megfelelő biztonsági eszközökbe.
A biztonsági eszközök a többszintű védelem szerves részét képezik, de nem jelentenek csodaszert a kibertámadások ellen. Célszerű a kiberbiztonsági eszközök jól átgondolt kiegészítése, amely kiegészítheti a kiberbiztonság "emberi aspektusát".
A gépi tanulási technikákat alkalmazó SIEM-megoldásokba való befektetés például segíthet a biztonsági műveleti központok munkatársainak növelni észlelési és reagálási képességeiket, javíthatja a jel-zaj arányt, és lehetővé teszi a biztonsági elemzők számára, hogy a fontos fenyegetésekre összpontosítsanak.
Fontos azonban megjegyezni, hogy a technológia fejlődésével és a kibertámadások számának növekedésével a kiberbiztonsági készségek hiánya csak fokozódik. Ahhoz, hogy az élvonalban maradjunk, elengedhetetlen a legkülönfélébb háttérrel rendelkező kibertehetségek toborzása, képzése és megtartása.
2. A biztonság hozzáférhetővé tétele
A biztonsági vezetőknek el kell kezdeniük együttműködni a felső vezetéssel. A biztonsági szakembereknek meg kell érteniük az üzleti stratégiát, és ahhoz kell igazodniuk, azonosítaniuk kell a stratégiához kapcsolódó kockázatokat, és azokat megfelelően, üzleti nyelven kell kommunikálniuk.
Ha a vezetők érthetően megértik, hogy mi a kockázat és mit kérnek tőlük, akkor képesek lesznek továbblépni.
3. A kiberhigiénia előmozdítása a végponttól a végpontig.
Ahhoz, hogy valódi hatást érjünk el, a helyes kiberbiztonsági gyakorlatoknak a C-szintről kell kiindulniuk, és végig kell szűrődniük a szervezeten. Ha a vezérigazgatója pozitív kiberbiztonsági gyakorlatot mutat be, és jó példát mutat a vállalat többi részének, a csapat többi tagja valószínűleg követni fogja a példáját.
A kiberbiztonságot prioritássá kell tenni, és meg kell határozni az alaphangot a vállalat többi része számára.
- Ösztönözze vezetőit, hogy vegyenek részt kiberbiztonsági képzéseken.
- Alkalmazza a biztonsági irányelveket és folyamatokat mindenhol, függetlenül a hierarchikus szinttől.
- Dolgozzon együtt a döntéshozókkal, hogy az eljárásokat aszerint igazítsák ki, hogy azok hogyan működnek az igazgatótanácsi tagok számára: ha a politikák nem működnek számukra, akkor valószínűleg a szervezet alacsonyabb szintjein sem működnek.
- Feltételezzük, hogy a gyakorlatok elterjedése az egész vállalaton belül időbe telik: a kultúra fejlődéséhez időre és erőfeszítésre van szükség.
4. Az emberre összpontosítani
A biztonsági csapatok gyakran tévesen egyenlőségjelet tesznek az "emberközpontú" biztonsági programmal és a biztonságtudatossági képzéssel, amelyet minden alkalmazottnak el kell végeznie.
Az emberekkel kell kezdeni. Ez azt jelenti, hogy elemezni kell az érdekelt feleket, meg kell érteni a viselkedésüket és a kihívásaikat, és ki kell találni, hogy mit kell megváltoztatni, és hogyan kell ezt a változást végrehajtani. Ezután ennek alapján hozza létre a biztonsági kultúrára vonatkozó kezdeményezéseit az egyes érdekeltek közösségei számára.
5. A zéró bizalom stratégiáján való munka
Az olyan biztonsági stratégiákat, mint a többfaktoros hitelesítés (MFA) és a zéró bizalom, gyakran tárgyalják kiberbiztonsági körökben a hozzáférés ellenőrzésének fokozására szolgáló módszerekként, de a zéró bizalom gyorsan népszerűvé vált, és sok szervezet mostanában igyekszik átvenni ezt a gondolkodásmódot.
A vállalati kiberbiztonság zéró bizalmi stratégiája olyan keretrendszer, amely megköveteli, hogy minden felhasználót folyamatosan hitelesítsenek, engedélyezzenek és validáljanak, mielőtt hozzáférést kapnának bizonyos vállalati rendszerekhez vagy adatokhoz. Ez a vállalati hálózaton belüli és a vállalati hálózaton kívüli felhasználókra egyaránt vonatkozik, mivel a hibrid munkavégzés állandó szakaszába lépünk.
Ha ezt a modellt az egész vállalatra rákényszerítjük, az azt jelenti, hogy a vállalatnál mindenki ugyanazokkal a biztonsági intézkedésekkel szembesül, így kevés hely marad a hibáknak, amelyek az üzletébe kerülhetnek.
Következtetés
Túl kevés szervezet hangsúlyozza a biztonsági kultúra fontosságát, ami rosszul megalapozott döntéshozatalhoz, veszélyeztetett rendszerekhez és kiberbiztonsági jogsértésekhez vezethet.
A kiberbiztonsági kultúra kialakítása folyamatos folyamat, és a szervezet minden szintjének bevonását igényli.
A helyes kiberbiztonsági gyakorlatok munkahelyi bevezetésével nemcsak a biztonság kultúráját építheti ki idővel, hanem szervezete is jobban védetté válik a kiberfenyegetésekkel szemben.
