Pe măsură ce riscurile cibernetice ale unei companii evoluează, trebuie să evoluați și dumneavoastră. Iată 5 sfaturi pentru a crea o cultură a securității cibernetice care să vă protejeze afacerea și să fie semnificativă pentru angajații dvs.
Crearea unei culturi a securității cibernetice a fost întotdeauna un element important al strategiei de securitate cibernetică a unei organizații. Cu toate acestea, trecerea masivă la munca la distanță indusă de COVID-19, urmată de creșterea numărului de locuri de muncă hibride, a schimbat în mod fundamental peisajul amenințărilor.
Politicile de securitate cibernetică din trecut, și chiar cele instituite la începutul pandemiei, trebuie reevaluate în fața noilor provocări în materie de securitate cibernetică. Riscurile emergente trebuie să fie identificate, articulate și asigurate pentru a fi aliniate cu strategia de afaceri.
Deoarece, pe măsură ce profilurile de risc se schimbă, trebuie să se schimbe și cultura de securitate cibernetică a unei organizații. Iar comportamentele și mentalitatea necesare pentru a aborda riscurile de securitate în continuă evoluție - cultura de securitate cibernetică a unei companii - trebuie să se extindă la nivelul întregii organizații.
Ce este o cultură a securității cibernetice și de ce este importantă?
Cultura securității cibernetice ar trebui să fie văzută ca un mediu de lucru în care toată lumea este preocupată de securitatea cibernetică și motivată să o îmbunătățească; oamenii înțeleg de ce este importantă securitatea cibernetică și se consideră parte a soluției.
Promovarea unei culturi a securității cibernetice asigură, de asemenea, că angajații sunt conștienți de riscurile existente sau care ar putea exista și că înțeleg cum să reacționeze sau să le raporteze. Această conștientizare, la rândul său, ajută la o mai bună protecție a unei organizații prin crearea unei linii puternice de apărare împotriva atacurilor cibernetice și a potențialelor încălcări ale datelor.
Provocări
Lipsa unui buget adecvat pentru securitate este una dintre principalele provocări pentru orice organizație. O alta este crearea unei culturi de securitate cibernetică fără sprijinul executivilor companiei.
Securitatea are o reputație proastă. "Marca de securitate" este un element important în crearea unei culturi de securitate cibernetică. Faptul că nu este întotdeauna respectată sau înțeleasă este un obstacol pe care echipele de securitate trebuie să îl depășească, lucrând pentru a schimba atitudinea oamenilor față de securitate.
Responsabilul principal de securitate al organizației trebuie să facă față provocării. Găsirea unui CISO transformațional care să poată conduce și să construiască o cultură a securității cibernetice - și să facă din aceasta o prioritate - va fi o provocare pentru multe companii.
5 cele mai bune practici pentru crearea unei culturi
Iată o trecere în revistă a cinci bune practici cheie pentru a-i ajuta pe profesioniștii din domeniul securității informațiilor să creeze o cultură a securității cibernetice în întreaga organizație.
1. Investiți în instrumente de securitate adecvate.
Instrumentele de securitate sunt o parte integrantă a unei apărări stratificate, dar nu sunt un panaceu împotriva atacurilor cibernetice. Este recomandabil să aveți o gamă bine gândită de instrumente de securitate cibernetică, care pot spori "aspectul uman" al securității cibernetice.
De exemplu, investiția în soluții SIEM care utilizează tehnici de învățare automată poate ajuta personalul centrului operațional de securitate să își sporească capacitățile de detectare și de răspuns, să îmbunătățească raportul semnal-zgomot și să permită analiștilor de securitate să se concentreze asupra amenințărilor care contează.
Cu toate acestea, este important de reținut că, pe măsură ce tehnologia evoluează și atacurile cibernetice se intensifică, deficitul de competențe în domeniul securității cibernetice se agravează. Este imperativ să recrutăm, să formăm și să reținem talente în domeniul cibernetic dintr-o gamă largă de medii pentru a rămâne în fața curbei.
2. Asigurarea accesului la securitate
Managerii de securitate trebuie să înceapă să colaboreze cu conducerea superioară. Profesioniștii din domeniul securității trebuie să înțeleagă și să se alinieze la strategia de afaceri, să identifice riscurile asociate cu această strategie și să le comunice în mod corespunzător în termeni de afaceri.
Odată ce managerii înțeleg, în termeni ușor de înțeles, care este riscul și ce li se cere, ei sunt capabili să meargă mai departe.
3. Promovarea igienei cibernetice de la un capăt la altul.
Pentru a avea un impact real, bunele practici de securitate cibernetică trebuie să vină de la nivelul C și să se extindă în întreaga organizație. Dacă directorul general demonstrează practici pozitive în materie de securitate cibernetică și dă un exemplu bun pentru restul companiei, este probabil ca restul echipei să urmeze exemplul.
Securitatea cibernetică trebuie să devină o prioritate și să dea tonul pentru restul companiei.
- Încurajați-vă directorii să participe la cursuri de formare în domeniul securității cibernetice.
- Aplicați politicile și procesele de securitate la nivelul întregii companii, indiferent de nivelul ierarhic.
- Colaborați cu factorii de decizie politică pentru a adapta procedurile în funcție de modul în care acestea funcționează pentru membrii consiliului de administrație: dacă politicile nu funcționează pentru ei, probabil că nu funcționează nici pentru nivelurile inferioare ale organizației.
- Să presupunem că practicile au nevoie de timp pentru a se răspândi în întreaga companie: este nevoie de timp și de efort pentru ca cultura să evolueze.
4. Concentrarea asupra ființei umane
Deseori, echipele de securitate consideră în mod eronat că un program de securitate "centrat pe om" înseamnă că toți angajații trebuie să urmeze cursuri de sensibilizare la securitate.
Trebuie să începi cu oamenii. Aceasta înseamnă să vă analizați părțile interesate, să le înțelegeți comportamentele și provocările și să vă dați seama ce trebuie să se schimbe și cum să implementați această schimbare. Apoi, pe această bază, creați inițiative privind cultura de siguranță pentru fiecare dintre aceste comunități de părți interesate.
5. Lucrați la o strategie de încredere zero
Strategiile de securitate, cum ar fi autentificarea multifactorială (MFA) și Zero Trust, sunt adesea discutate în cercurile de securitate cibernetică ca metode de sporire a controalelor de acces, dar Zero Trust a câștigat rapid popularitate și multe organizații caută acum să adopte această mentalitate.
O strategie de încredere zero pentru securitatea cibernetică a întreprinderilor este un cadru care impune ca toți utilizatorii să fie autentificați, autorizați și validați în mod continuu înainte de a li se acorda acces la anumite sisteme sau date ale întreprinderii. Acest lucru include atât utilizatorii din interiorul rețelei companiei, cât și utilizatorii din afara rețelei companiei, pe măsură ce intrăm într-o fază permanentă de lucru hibrid.
Impunerea acestui model la nivelul întregii companii înseamnă că fiecare persoană din companie se confruntă cu aceleași măsuri de securitate, lăsând puțin loc pentru greșeli care ar putea să vă coste afacerea.
Concluzie
Prea puține organizații pun accentul pe importanța culturii de securitate, ceea ce poate duce la un proces decizional prost educat, la sisteme compromise și la breșe cibernetice.
Dezvoltarea unei culturi a securității cibernetice este un proces continuu și necesită implicarea tuturor nivelurilor unei organizații.
Prin implementarea unor bune practici de securitate cibernetică la locul de muncă, nu numai că veți crea în timp o cultură a securității, dar organizația dvs. va fi mai bine protejată împotriva amenințărilor cibernetice.
