По мере того как развиваются киберриски компании, должны развиваться и вы. Вот 5 советов по созданию культуры кибербезопасности, которая защищает ваш бизнес и является значимой для ваших сотрудников.
Формирование культуры кибербезопасности всегда было важным элементом стратегии кибербезопасности организации. Однако массовый переход к удаленной работе, вызванный COVID-19, а также рост гибридных рабочих мест коренным образом изменили картину угроз.
Политика кибербезопасности прошлых лет и даже та, которая была принята в начале пандемии, должна быть переоценена перед лицом новых вызовов кибербезопасности. Возникающие риски должны быть выявлены, сформулированы и согласованы с бизнес-стратегией.
Поскольку по мере изменения профилей рисков должна меняться и культура кибербезопасности организации. А поведение и образ мышления, необходимые для устранения меняющихся рисков безопасности, - культура кибербезопасности компании - должны распространяться на всю организацию.
Что такое культура кибербезопасности и почему она важна?
Культура кибербезопасности должна рассматриваться как рабочая среда, в которой все заинтересованы в кибербезопасности и мотивированы на ее улучшение; люди понимают, почему кибербезопасность важна, и считают себя частью решения.
Формирование культуры кибербезопасности также гарантирует, что сотрудники осведомлены о том, какие риски существуют или могут существовать, и понимают, как реагировать на них или сообщать о них. Такая осведомленность, в свою очередь, помогает лучше защитить организацию, создавая надежную линию обороны от кибератак и потенциальных утечек данных.
Вызовы
Отсутствие достаточного бюджета на обеспечение безопасности - одна из главных проблем любой организации. Другая проблема - создание культуры кибербезопасности без поддержки руководства компании.
У безопасности плохая репутация. Бренд безопасности" - важный элемент в создании культуры кибербезопасности. То, что его не всегда уважают или понимают, является препятствием, которое команды безопасности должны преодолеть, работая над изменением отношения людей к безопасности.
Руководитель службы безопасности организации должен справиться с этой задачей. Найти преобразующего CISO, который сможет возглавить и сформировать культуру кибербезопасности - и сделать ее приоритетной - будет непростой задачей для многих компаний.
5 лучших практик по созданию культуры
Здесь представлен обзор пяти ключевых лучших практик, которые помогут специалистам по информационной безопасности создать культуру кибербезопасности во всей организации.
1. Инвестируйте в правильные инструменты безопасности.
Средства безопасности являются неотъемлемой частью многоуровневой защиты, но они не являются панацеей от кибератак. Рекомендуется иметь хорошо продуманный набор инструментов кибербезопасности, которые могут дополнить "человеческий аспект" кибербезопасности.
Инвестиции в SIEM-решения, использующие методы машинного обучения, например, помогут сотрудникам операционных центров безопасности расширить возможности обнаружения и реагирования, повысить соотношение сигнал/шум и позволить аналитикам безопасности сосредоточиться на важных угрозах.
Однако важно помнить, что с развитием технологий и ростом числа кибератак нехватка специалистов в области кибербезопасности только усугубляется. Чтобы не отстать от времени, необходимо набирать, обучать и удерживать талантливых киберспециалистов из самых разных сфер деятельности.
2. Сделать безопасность доступной
Руководителям служб безопасности необходимо начать работу с высшим руководством. Специалисты по безопасности должны понимать стратегию бизнеса и согласовывать ее с ним, определять риски, связанные с этой стратегией, и сообщать о них в соответствующих бизнес-терминах.
Как только менеджеры в понятной форме объяснят, в чем заключается риск и что от них требуется, они смогут двигаться вперед.
3. Продвигайте кибергигиену из конца в конец.
Чтобы добиться реальных результатов, хорошие методы обеспечения кибербезопасности должны исходить от руководителей высшего звена и распространяться по всей организации. Если ваш генеральный директор демонстрирует позитивные методы обеспечения кибербезопасности и подает хороший пример остальным сотрудникам компании, остальные члены команды, скорее всего, последуют его примеру.
Кибербезопасность должна стать приоритетом и задавать тон всей остальной компании.
- Поощряйте своих руководителей к прохождению курсов по кибербезопасности.
- Применяйте политики и процессы безопасности повсеместно, независимо от иерархического уровня.
- Работайте с разработчиками политики, чтобы адаптировать процедуры в соответствии с тем, как они работают для членов совета директоров: если политика не работает для них, она, вероятно, не работает и для более низких уровней организации.
- Предположите, что для распространения практики по всей компании потребуется время: для развития культуры нужно время и усилия.
4. Сосредоточьтесь на человеке
Сотрудники служб безопасности часто ошибочно отождествляют программу безопасности, ориентированную на человека, с обучением по вопросам безопасности, которое должны пройти все сотрудники.
Начинать нужно с людей. Это означает анализ заинтересованных сторон, понимание их поведения и проблем, а также определение того, что необходимо изменить и как это сделать. Затем, основываясь на этом, вы разрабатываете свои инициативы в области культуры безопасности для каждого из этих заинтересованных сообществ.
5. Работайте над стратегией нулевого доверия
Такие стратегии безопасности, как многофакторная аутентификация (MFA) и Zero Trust, часто обсуждаются в кругах кибербезопасности как методы усиления контроля доступа, но Zero Trust быстро набирает популярность, и многие организации теперь стремятся перенять этот образ мышления.
Стратегия "нулевого доверия" для корпоративной кибербезопасности - это основа, требующая постоянной аутентификации, авторизации и проверки всех пользователей перед предоставлением им доступа к определенным корпоративным системам или данным. Это касается как пользователей внутри сети компании, так и пользователей за ее пределами, поскольку мы вступаем в постоянную фазу гибридной работы.
Навязывание этой модели всей компании означает, что все сотрудники сталкиваются с одинаковыми мерами безопасности, что оставляет мало места для ошибок, которые могут стоить вам бизнеса.
Заключение
Слишком мало организаций подчеркивают важность культуры безопасности, что может привести к принятию недостаточно грамотных решений, взлому систем и кибервзломам.
Формирование культуры кибербезопасности - это постоянный процесс, требующий участия всех уровней организации.
Внедряя на своем рабочем месте передовые методы обеспечения кибербезопасности, вы не только со временем сформируете культуру безопасности, но и сделаете свою организацию более защищенной от киберугроз.
