S vývojom kybernetických rizík spoločnosti sa musíte vyvíjať aj vy. Tu je 5 tipov na vytvorenie kultúry kybernetickej bezpečnosti, ktorá chráni vašu firmu a má význam pre vašich zamestnancov.
Vytvorenie kultúry kybernetickej bezpečnosti bolo vždy dôležitým prvkom stratégie kybernetickej bezpečnosti organizácie. Avšak masívny posun smerom k práci na diaľku, ktorý vyvolal COVID-19, a následný nárast hybridných pracovísk zásadne zmenil prostredie hrozieb.
V súvislosti s novými výzvami v oblasti kybernetickej bezpečnosti je potrebné prehodnotiť politiky kybernetickej bezpečnosti z minulosti, a dokonca aj tie, ktoré boli zavedené na začiatku pandémie. Je potrebné identifikovať nové riziká, vyjadriť ich a zabezpečiť, aby boli v súlade s obchodnou stratégiou.
Pretože so zmenou rizikových profilov sa musí meniť aj kultúra kybernetickej bezpečnosti organizácie. A správanie a myslenie potrebné na riešenie vyvíjajúcich sa bezpečnostných rizík - kultúra kybernetickej bezpečnosti spoločnosti - sa musí rozšíriť na celú organizáciu.
Čo je to kultúra kybernetickej bezpečnosti a prečo je dôležitá?
Kultúra kybernetickej bezpečnosti by sa mala chápať ako pracovné prostredie, v ktorom sa všetci zaujímajú o kybernetickú bezpečnosť a sú motivovaní ju zlepšovať; ľudia chápu, prečo je kybernetická bezpečnosť dôležitá a považujú sa za súčasť riešenia.
Podpora kultúry kybernetickej bezpečnosti tiež zabezpečuje, že zamestnanci si uvedomujú, aké riziká existujú alebo by mohli existovať, a chápu, ako na ne reagovať alebo ich nahlásiť. Toto povedomie následne pomáha lepšie chrániť organizáciu vytvorením silnej obrannej línie proti kybernetickým útokom a potenciálnym únikom údajov.
Výzvy
Nedostatok primeraného rozpočtu na bezpečnosť je jedným z hlavných problémov každej organizácie. Ďalším je vytvorenie kultúry kybernetickej bezpečnosti bez podpory vedenia spoločnosti.
Bezpečnosť má zlú povesť. "Značka bezpečnosti" je dôležitým prvkom pri vytváraní kultúry kybernetickej bezpečnosti. To, že nie je vždy rešpektovaná alebo pochopená, je prekážka, ktorú musia bezpečnostné tímy prekonať tým, že sa budú snažiť zmeniť postoj ľudí k bezpečnosti.
Hlavný bezpečnostný pracovník organizácie musí túto výzvu prijať. Nájsť transformačného CISO, ktorý dokáže viesť a budovať kultúru kybernetickej bezpečnosti - a urobiť z nej prioritu - bude pre mnohé spoločnosti výzvou.
5 osvedčených postupov na vytváranie kultúry
Tu je prehľad piatich kľúčových osvedčených postupov, ktoré pomáhajú odborníkom na informačnú bezpečnosť vytvoriť kultúru kybernetickej bezpečnosti v celej organizácii.
1. Investujte do správnych bezpečnostných nástrojov.
Bezpečnostné nástroje sú neoddeliteľnou súčasťou viacvrstvovej obrany, ale nie sú všeliekom proti kybernetickým útokom. Odporúča sa mať dobre premyslený doplnok nástrojov kybernetickej bezpečnosti, ktoré môžu rozšíriť "ľudský aspekt" kybernetickej bezpečnosti.
Investícia do riešení SIEM, ktoré využívajú techniky strojového učenia, môže napríklad pomôcť pracovníkom bezpečnostného operačného centra zvýšiť ich schopnosti detekcie a reakcie, zlepšiť pomer signálu k šumu a umožniť bezpečnostným analytikom sústrediť sa na dôležité hrozby.
Je však dôležité si uvedomiť, že s vývojom technológií a nárastom počtu kybernetických útokov sa nedostatok zručností v oblasti kybernetickej bezpečnosti len zhoršuje. Je nevyhnutné prijímať, školiť a udržať si kybernetické talenty zo širokého spektra oblastí, aby sme si udržali náskok.
2. Sprístupnenie bezpečnosti
Bezpečnostní manažéri musia začať spolupracovať s vyšším manažmentom. Bezpečnostní odborníci musia pochopiť a zosúladiť sa s obchodnou stratégiou, identifikovať riziká spojené s touto stratégiou a vhodne ich komunikovať v obchodnom jazyku.
Keď manažéri zrozumiteľne pochopia, aké je riziko a čo sa od nich žiada, môžu sa pohnúť dopredu.
3. Podporovať kybernetickú hygienu od konca po koniec.
Ak chcete dosiahnuť skutočný vplyv, dobré postupy v oblasti kybernetickej bezpečnosti musia vychádzať z úrovne riaditeľov a prechádzať celou organizáciou. Ak váš generálny riaditeľ preukazuje pozitívne postupy v oblasti kybernetickej bezpečnosti a dáva dobrý príklad zvyšku spoločnosti, zvyšok tímu ho bude pravdepodobne nasledovať.
Kybernetická bezpečnosť sa musí stať prioritou a udávať tón zvyšku spoločnosti.
- Povzbudzujte svojich vedúcich pracovníkov, aby sa zúčastňovali na školeniach o kybernetickej bezpečnosti.
- Uplatňovanie bezpečnostných zásad a procesov vo všetkých oblastiach bez ohľadu na hierarchickú úroveň.
- Spolupracujte s tvorcami politík s cieľom prispôsobiť postupy podľa toho, ako fungujú pre členov správnej rady: ak politiky nefungujú pre nich, pravdepodobne nefungujú ani pre nižšie úrovne organizácie.
- Predpokladajte, že rozšírenie postupov v celej spoločnosti si vyžaduje čas a úsilie: vývoj kultúry si vyžaduje čas a úsilie.
4. Zameranie na človeka
Bezpečnostné tímy často mylne stotožňujú bezpečnostný program "zameraný na človeka" s poskytovaním školení o bezpečnosti, ktoré musia absolvovať všetci zamestnanci.
Musíte začať s ľuďmi. To znamená analyzovať zainteresované strany, pochopiť ich správanie a problémy a zistiť, čo je potrebné zmeniť a ako túto zmenu realizovať. Potom na základe toho vytvoríte iniciatívy v oblasti kultúry bezpečnosti pre každú z týchto komunít zainteresovaných strán.
5. Pracujte na stratégii nulovej dôvery
Bezpečnostné stratégie ako viacfaktorová autentifikácia (MFA) a nulová dôvera sa v kruhoch kybernetickej bezpečnosti často diskutujú ako metódy na zvýšenie kontroly prístupu, ale nulová dôvera rýchlo získava na popularite a mnohé organizácie sa teraz snažia prijať tento spôsob myslenia.
Stratégia nulovej dôveryhodnosti pre podnikovú kybernetickú bezpečnosť je rámec, ktorý vyžaduje, aby všetci používatelia boli neustále overovaní, autorizovaní a validovaní predtým, ako im bude udelený prístup k určitým podnikovým systémom alebo údajom. To zahŕňa používateľov v rámci podnikovej siete aj používateľov mimo podnikovej siete, keďže vstupujeme do trvalej fázy hybridnej práce.
Zavedenie tohto modelu v celej spoločnosti znamená, že všetci vo firme sa stretávajú s rovnakými bezpečnostnými opatreniami, čo ponecháva len malý priestor na chyby, ktoré by vás mohli stáť podnikanie.
Záver
Príliš málo organizácií zdôrazňuje dôležitosť kultúry bezpečnosti, čo môže viesť k nedostatočne vzdelanému rozhodovaniu, ohrozeniu systémov a narušeniu kybernetickej bezpečnosti.
Rozvoj kultúry kybernetickej bezpečnosti je nepretržitý proces a vyžaduje si zapojenie všetkých úrovní organizácie.
Zavedením správnych postupov kybernetickej bezpečnosti na pracovisku nielenže časom vybudujete kultúru bezpečnosti, ale vaša organizácia bude lepšie chránená pred kybernetickými hrozbami.
