Kylant įmonės kibernetinei rizikai, turite keistis ir jūs. Pateikiame 5 patarimus, kaip sukurti kibernetinio saugumo kultūrą, kuri apsaugotų jūsų verslą ir būtų reikšminga jūsų darbuotojams.
Kibernetinio saugumo kultūros kūrimas visada buvo svarbus organizacijos kibernetinio saugumo strategijos elementas. Tačiau COVID-19 paskatintas masinis perėjimas prie nuotolinio darbo ir hibridinių darbo vietų augimas iš esmės pakeitė grėsmių kraštovaizdį.
Atsižvelgiant į naujus kibernetinio saugumo iššūkius, reikia iš naujo įvertinti praeities kibernetinio saugumo politiką ir net tą, kuri buvo pradėta taikyti pandemijos pradžioje. Reikia nustatyti, aiškiai išreikšti ir užtikrinti, kad kylanti rizika būtų suderinta su verslo strategija.
Kadangi keičiantis rizikos profiliams, turi keistis ir organizacijos kibernetinio saugumo kultūra. O elgesys ir mąstysena, reikalingi kintančiai saugumo rizikai įveikti, t. y. įmonės kibernetinio saugumo kultūra, turi apimti visą organizaciją.
Kas yra kibernetinio saugumo kultūra ir kodėl ji svarbi?
Kibernetinio saugumo kultūra turėtų būti suprantama kaip darbo aplinka, kurioje visi rūpinasi kibernetiniu saugumu ir yra motyvuoti jį gerinti; žmonės supranta, kodėl kibernetinis saugumas yra svarbus, ir laiko save sprendimo dalimi.
Kibernetinio saugumo kultūros puoselėjimas taip pat užtikrina, kad darbuotojai žinotų, kokia yra ar gali būti rizika, ir suprastų, kaip į ją reaguoti ar apie ją pranešti. Šis informuotumas savo ruožtu padeda geriau apsaugoti organizaciją, nes sukuria tvirtą gynybos liniją nuo kibernetinių išpuolių ir galimų duomenų pažeidimų.
Iššūkiai
Tinkamo biudžeto saugumui užtikrinti trūkumas yra vienas iš pagrindinių iššūkių bet kuriai organizacijai. Kitas - kibernetinio saugumo kultūros kūrimas be įmonės vadovų paramos.
Saugumas turi blogą reputaciją. Saugumo prekės ženklas yra svarbus kibernetinio saugumo kultūros kūrimo elementas. Tai, kad jie ne visada gerbiami ar suprantami, yra kliūtis, kurią saugumo komandos turi įveikti stengdamosi pakeisti žmonių požiūrį į saugumą.
Organizacijos vyriausiasis saugumo pareigūnas turi priimti šį iššūkį. Daugeliui įmonių bus sudėtinga rasti transformuojantį CISO, kuris galėtų vadovauti ir kurti kibernetinio saugumo kultūrą bei padaryti ją prioritetine.
5 geriausios kultūros kūrimo praktikos pavyzdžiai
Toliau apžvelgiame penkias pagrindines gerąsias praktikas, kurios padės informacijos saugumo specialistams sukurti kibernetinio saugumo kultūrą visoje organizacijoje.
1. Investuokite į tinkamas saugumo priemones.
Saugumo priemonės yra neatsiejama daugiasluoksnės gynybos dalis, tačiau jos nėra panacėja nuo kibernetinių atakų. Patartina turėti gerai apgalvotą kibernetinio saugumo priemonių rinkinį, kuris galėtų papildyti kibernetinio saugumo "žmogiškąjį aspektą".
Pavyzdžiui, investicijos į SIEM sprendimus, kuriuose naudojami mašininio mokymosi metodai, gali padėti saugumo operacijų centro darbuotojams padidinti aptikimo ir reagavimo pajėgumus, pagerinti signalo ir triukšmo santykį ir leisti saugumo analitikams sutelkti dėmesį į svarbiausias grėsmes.
Tačiau svarbu prisiminti, kad tobulėjant technologijoms ir didėjant kibernetinių atakų skaičiui, kibernetinio saugumo įgūdžių trūkumas tik didėja. Norint išlikti priekyje, būtina įdarbinti, apmokyti ir išlaikyti įvairių sričių kibernetinius talentus.
2. Saugumo prieinamumo užtikrinimas
Saugumo vadovai turi pradėti dirbti su vyresniąja vadovybe. Saugumo specialistai turi suprasti verslo strategiją ir ją suderinti su verslo strategija, nustatyti su šia strategija susijusią riziką ir tinkamai apie ją informuoti verslo terminais.
Kai vadovai suprantamai supranta, kokia yra rizika ir ko iš jų reikalaujama, jie gali judėti pirmyn.
3. Skatinkite kibernetinę higieną nuo galo iki galo.
Kad kibernetinio saugumo praktika turėtų realų poveikį, ji turi būti pradėta taikyti nuo aukščiausiojo lygio vadovų ir per visą organizaciją. Jei jūsų generalinis direktorius demonstruoja teigiamą kibernetinio saugumo praktiką ir rodo gerą pavyzdį likusiai įmonės daliai, tikėtina, kad jo pavyzdžiu paseks ir kiti komandos nariai.
Kibernetinis saugumas turi tapti prioritetu ir tapti tonu visai likusiai įmonės veiklai.
- Skatinkite vadovus dalyvauti kibernetinio saugumo mokymo kursuose.
- Taikykite saugumo politiką ir procesus visose įstaigose, nepriklausomai nuo hierarchijos lygio.
- Bendradarbiaukite su politikos formuotojais, kad pritaikytumėte procedūras pagal tai, kaip jos veikia valdybos narius: jei politika neveikia jų atžvilgiu, greičiausiai ji neveikia ir žemesnių organizacijos lygių darbuotojų atžvilgiu.
- Tarkime, kad praktikai pasklisti įmonėje reikia laiko: kultūrai vystytis reikia laiko ir pastangų.
4. Dėmesys žmogui
Saugumo komandos dažnai klaidingai tapatina "į žmogų orientuotą" saugumo programą su saugumo supratimo mokymais, kuriuos privalo išklausyti visi darbuotojai.
Reikia pradėti nuo žmonių. Tai reiškia, kad reikia išanalizuoti suinteresuotąsias šalis, suprasti jų elgseną ir iššūkius, išsiaiškinti, ką reikia keisti ir kaip tai įgyvendinti. Tada, remdamiesi tuo, kurkite saugos kultūros iniciatyvas kiekvienai iš šių suinteresuotųjų šalių bendruomenių.
5. Dirbti su "nulinio pasitikėjimo" strategija
Kibernetinio saugumo sluoksniuose dažnai diskutuojama apie tokias saugumo strategijas kaip daugiafaktorinis autentiškumo patvirtinimas (MFA) ir "nulinis pasitikėjimas" kaip prieigos kontrolės didinimo metodus, tačiau "nulinis pasitikėjimas" sparčiai populiarėja ir daugelis organizacijų dabar siekia perimti šią mąstyseną.
Nulinio pasitikėjimo strategija įmonių kibernetinio saugumo srityje - tai sistema, pagal kurią reikalaujama, kad prieš suteikiant prieigą prie tam tikrų įmonės sistemų ar duomenų, visi naudotojai būtų nuolat autentifikuojami, autorizuojami ir patvirtinami. Tai apima ir įmonės tinkle esančius, ir už įmonės tinklo ribų esančius naudotojus, nes pereiname į nuolatinį hibridinio darbo etapą.
Šio modelio taikymas visoje įmonėje reiškia, kad visi įmonės darbuotojai taiko tas pačias saugumo priemones, todėl lieka nedaug vietos klaidoms, kurios gali kainuoti jūsų verslui.
Išvada
Per mažai organizacijų pabrėžia saugumo kultūros svarbą, todėl gali būti, kad priimami nepakankamai pagrįsti sprendimai, pažeidžiamos sistemos ir įvykdomi kibernetiniai pažeidimai.
Kibernetinio saugumo kultūros kūrimas yra nuolatinis procesas, į kurį reikia įtraukti visus organizacijos lygmenis.
Įgyvendindami gerą kibernetinio saugumo praktiką savo darbo vietoje ne tik ilgainiui sukursite saugumo kultūrą, bet ir geriau apsaugosite savo organizaciją nuo kibernetinių grėsmių.
