Mainoties uzņēmuma kiberdraudiem, ir jāmainās arī jums. Šeit ir 5 padomi, kā izveidot kiberdrošības kultūru, kas aizsargā jūsu uzņēmumu un ir nozīmīga jūsu darbiniekiem.
Kiberdrošības kultūras veidošana vienmēr ir bijis svarīgs organizācijas kiberdrošības stratēģijas elements. Tomēr COVID-19 izraisītā masveida pāreja uz attālināto darbu, kam sekoja hibrīdo darbavietu pieaugums, ir būtiski mainījusi draudu ainavu.
Ņemot vērā jaunos kiberdrošības izaicinājumus, ir jāpārvērtē pagātnes kiberdrošības politika un pat tā, kas tika ieviesta pandēmijas sākumā. Ir jāidentificē, jāformulē un jānodrošina, lai jaunie riski tiktu saskaņoti ar uzņēmējdarbības stratēģiju.
Tā kā, mainoties riska profiliem, mainās arī organizācijas kiberdrošības kultūra. Un uzvedībai un domāšanas veidam, kas nepieciešams, lai risinātu mainīgos drošības riskus, - uzņēmuma kiberdrošības kultūrai - ir jāattiecas uz visu organizāciju.
Kas ir kiberdrošības kultūra un kāpēc tā ir svarīga?
Kiberdrošības kultūra ir jāuztver kā darba vide, kurā ikviens ir ieinteresēts kiberdrošībā un motivēts to uzlabot; cilvēki saprot, kāpēc kiberdrošība ir svarīga, un uzskata sevi par daļu no risinājuma.
Kiberdrošības kultūras veicināšana nodrošina arī to, ka darbinieki apzinās, kādi ir vai varētu būt riski, un saprot, kā uz tiem reaģēt vai ziņot par tiem. Šī informētība, savukārt, palīdz labāk aizsargāt organizāciju, radot spēcīgu aizsardzības līniju pret kiberuzbrukumiem un iespējamiem datu aizsardzības pārkāpumiem.
Izaicinājumi
Atbilstoša budžeta trūkums drošībai ir viena no galvenajām problēmām jebkurā organizācijā. Otra problēma ir kiberdrošības kultūras izveide bez uzņēmuma vadītāju atbalsta.
Drošībai ir slikta reputācija. "Drošības zīmols" ir svarīgs elements kiberdrošības kultūras veidošanā. Tas, ka tās ne vienmēr tiek respektētas vai saprastas, ir šķērslis, kas drošības komandām jāpārvar, strādājot pie tā, lai mainītu cilvēku attieksmi pret drošību.
Organizācijas galvenajam drošības speciālistam ir jāpieņem izaicinājums. Daudziem uzņēmumiem būs grūti atrast pārveidojošu CISO, kas spētu vadīt un veidot kiberdrošības kultūru un padarīt to par prioritāti.
5 labākās prakses piemēri kultūras veidošanai
Šeit ir sniegts pārskats par pieciem galvenajiem paraugprakses piemēriem, kas palīdzēs informācijas drošības speciālistiem izveidot kiberdrošības kultūru visā organizācijā.
1. Ieguldiet līdzekļus pareizos drošības rīkos.
Drošības rīki ir neatņemama daudzpakāpju aizsardzības sastāvdaļa, taču tie nav panaceja pret kiberuzbrukumiem. Ieteicams izveidot pārdomātu kiberdrošības rīku papildinājumu, kas var papildināt kiberdrošības "cilvēcisko aspektu".
Ieguldījumi SIEM risinājumos, kuros izmanto mašīnmācīšanās metodes, piemēram, var palīdzēt drošības operāciju centru darbiniekiem palielināt atklāšanas un reaģēšanas spējas, uzlabot signāla un trokšņa attiecību un ļaut drošības analītiķiem koncentrēties uz svarīgākajiem apdraudējumiem.
Tomēr ir svarīgi atcerēties, ka, attīstoties tehnoloģijām un pieaugot kiberuzbrukumu skaitam, kiberdrošības prasmju trūkums tikai palielinās. Lai saglabātu priekšplānu, ir obligāti jāpieņem darbā, jāapmāca un jāsaglabā kiberdrošības talanti no visdažādākajām nozarēm.
2. Drošības pieejamības nodrošināšana
Drošības vadītājiem jāsāk sadarboties ar augstākā līmeņa vadību. Drošības speciālistiem ir jāsaprot un jāsaskaņo ar uzņēmējdarbības stratēģiju, jāidentificē ar šo stratēģiju saistītie riski un atbilstoši jāinformē par tiem, izmantojot uzņēmējdarbības terminus.
Kad vadītāji saprotamā veidā saprot, kāds ir risks un kas no viņiem tiek prasīts, viņi var virzīties uz priekšu.
3. Veicināt kiberhigiēnu no gala līdz galam.
Lai panāktu reālu ietekmi, laba kiberdrošības praksei ir jānāk no vadības līmeņa un jāfiltrējas visā organizācijā. Ja jūsu izpilddirektors demonstrē pozitīvu kiberdrošības praksi un rāda labu piemēru pārējiem uzņēmuma darbiniekiem, pārējā komanda, visticamāk, sekos viņa piemēram.
Kiberdrošībai ir jākļūst par prioritāti un jākļūst par toni pārējā uzņēmuma darbībā.
- Mudiniet vadītājus piedalīties kiberdrošības apmācības kursos.
- Drošības politiku un procesu piemērošana visās struktūrvienībās neatkarīgi no hierarhijas līmeņa.
- Sadarbojieties ar politikas veidotājiem, lai pielāgotu procedūras atbilstoši tam, kā tās darbojas valdes locekļiem: ja politika nedarbojas viņiem, tā, visticamāk, nedarbojas arī organizācijas zemākajiem līmeņiem.
- Pieņemiet, ka prakses izplatībai uzņēmumā ir nepieciešams laiks: lai kultūra attīstītos, ir nepieciešams laiks un pūles.
4. Koncentrējieties uz cilvēku
Drošības komandas bieži vien kļūdaini pielīdzina "uz cilvēku orientētu" drošības programmu drošības apmācībai, kas jānodrošina visiem darbiniekiem.
Ir jāsāk ar cilvēkiem. Tas nozīmē analizēt ieinteresētās personas, izprast viņu uzvedību un problēmas, kā arī noskaidrot, kas jāmaina un kā šīs izmaiņas īstenot. Pēc tam, pamatojoties uz to, jūs izveidojat savas drošības kultūras iniciatīvas katrai no šīm ieinteresēto personu kopienām.
5. Darbs pie nulles uzticības stratēģijas
Kiberdrošības aprindās bieži tiek apspriestas tādas drošības stratēģijas kā daudzfaktoru autentifikācija (MFA) un nulles uzticēšanās (Zero Trust) kā metodes piekļuves kontroles uzlabošanai, taču nulles uzticēšanās (Zero Trust) strauji kļūst aizvien populārāka, un daudzas organizācijas tagad cenšas pārņemt šo domāšanas veidu.
Uzņēmumu kiberdrošības nulles uzticamības stratēģija ir sistēma, kas paredz, ka visiem lietotājiem pirms piekļuves piešķiršanas noteiktām uzņēmuma sistēmām vai datiem ir jāveic nepārtraukta autentifikācija, autorizācija un validācija. Tas ietver gan lietotājus uzņēmuma tīklā, gan lietotājus ārpus uzņēmuma tīkla, jo mēs sākam pastāvīgu hibrīda darba fāzi.
Šāda modeļa ieviešana visā uzņēmumā nozīmē, ka visi uzņēmuma darbinieki saskaras ar vienādiem drošības pasākumiem, tādējādi atstājot maz vietas kļūdām, kas var maksāt jums zaudējumus.
Secinājums
Pārāk maz organizāciju uzsver drošības kultūras nozīmi, kas var novest pie nepietiekami izglītotu lēmumu pieņemšanas, apdraudētu sistēmu un kibernoziegumu.
Kiberdrošības kultūras veidošana ir nepārtraukts process, un tajā ir jāiesaista visi organizācijas līmeņi.
Ieviešot labu kiberdrošības praksi savā darbavietā, jūs ne tikai laika gaitā izveidosiet drošības kultūru, bet arī jūsu organizācija būs labāk aizsargāta pret kiberapdraudējumiem.
