Z razvojem kibernetskih tveganj v podjetju se morate razvijati tudi vi. Tukaj je 5 nasvetov za ustvarjanje kulture kibernetske varnosti, ki ščiti podjetje in je pomembna za zaposlene.
Ustvarjanje kulture kibernetske varnosti je že od nekdaj pomemben element strategije kibernetske varnosti organizacije. Vendar pa se je zaradi množičnega prehoda na delo na daljavo, ki ga je povzročil COVID-19, in rasti hibridnih delovnih mest pokrajina groženj temeljito spremenila.
Zaradi novih izzivov na področju kibernetske varnosti je treba ponovno oceniti pretekle politike kibernetske varnosti in celo tiste, ki so bile uvedene na začetku pandemije. Nova tveganja je treba opredeliti, izraziti in zagotoviti, da so usklajena s poslovno strategijo.
Ker se s spreminjanjem profilov tveganj spreminja tudi kultura kibernetske varnosti v organizaciji. Obnašanje in miselnost, ki sta potrebna za obvladovanje spreminjajočih se varnostnih tveganj, torej kultura kibernetske varnosti podjetja, morata biti razširjena po vsej organizaciji.
Kaj je kultura kibernetske varnosti in zakaj je pomembna?
Kultura kibernetske varnosti bi morala biti razumljena kot delovno okolje, v katerem so vsi zainteresirani za kibernetsko varnost in motivirani za njeno izboljšanje; ljudje razumejo, zakaj je kibernetska varnost pomembna, in se vidijo kot del rešitve.
Spodbujanje kulture kibernetske varnosti zagotavlja tudi, da se zaposleni zavedajo, kakšna so ali bi lahko bila tveganja, in razumejo, kako se nanje odzvati ali jih prijaviti. To zavedanje pripomore k boljši zaščiti organizacije, saj ustvarja močno obrambno linijo pred kibernetskimi napadi in morebitnimi kršitvami varstva podatkov.
Izzivi
Pomanjkanje ustreznega proračuna za varnost je eden glavnih izzivov vsake organizacije. Drugi je oblikovanje kulture kibernetske varnosti brez podpore vodstva podjetja.
Varnost ima slab sloves. "Varnostna znamka" je pomemben element pri ustvarjanju kulture kibernetske varnosti. To, da ni vedno spoštovana ali razumljena, je ovira, ki jo morajo varnostne ekipe premagati tako, da si prizadevajo za spremembo odnosa ljudi do varnosti.
Glavni varnostni uradnik organizacije se mora spoprijeti z izzivom. Iskanje transformativnega CISO, ki lahko vodi in gradi kulturo kibernetske varnosti - in jo postavi za prednostno nalogo -, bo za mnoga podjetja izziv.
5 najboljših praks za ustvarjanje kulture
Tukaj je pregled petih ključnih najboljših praks, ki strokovnjakom za informacijsko varnost pomagajo ustvariti kulturo kibernetske varnosti v celotni organizaciji.
1. Vložite v prava varnostna orodja.
Varnostna orodja so sestavni del večplastne obrambe, vendar niso rešitev za kibernetske napade. Priporočljivo je imeti dobro premišljeno dopolnilo orodij za kibernetsko varnost, ki lahko povečajo "človeški vidik" kibernetske varnosti.
Vlaganje v rešitve SIEM, ki uporabljajo tehnike strojnega učenja, lahko na primer pomaga osebju varnostnih operativnih centrov povečati zmogljivosti odkrivanja in odzivanja, izboljšati razmerje med signalom in šumom ter varnostnim analitikom omogočiti, da se osredotočijo na pomembne grožnje.
Vendar se je treba zavedati, da se z razvojem tehnologije in povečanjem števila kibernetskih napadov pomanjkanje znanja in spretnosti na področju kibernetske varnosti samo še povečuje. Da bi ostali v ospredju, je treba zaposliti, usposobiti in obdržati kibernetske talente iz najrazličnejših področij.
2. Zagotavljanje dostopnosti varnosti
Varnostni vodje morajo začeti sodelovati z višjim vodstvom. Varnostni strokovnjaki morajo razumeti poslovno strategijo in se z njo uskladiti, opredeliti tveganja, povezana s to strategijo, ter jih ustrezno sporočiti v poslovnem smislu.
Ko vodje razumljivo razumejo, kakšno je tveganje in kaj se od njih zahteva, se lahko premaknejo naprej.
3. Spodbujanje kibernetske higiene od konca do konca.
Da bi dosegli resničen učinek, morajo dobre prakse na področju kibernetske varnosti izhajati z vodilnih položajev in se razširiti po celotni organizaciji. Če vaš izvršni direktor izkazuje pozitivne prakse kibernetske varnosti in daje dober zgled preostalim delom podjetja, mu bodo verjetno sledili tudi preostali člani ekipe.
Kibernetska varnost mora postati prednostna naloga in dajati ton preostalim delom podjetja.
- Spodbujajte svoje vodstvo k udeležbi na tečajih usposabljanja o kibernetski varnosti.
- Varnostne politike in postopke uporabljajte v vseh okoljih, ne glede na hierarhično raven.
- Sodelujte z oblikovalci politik in prilagodite postopke glede na to, kako delujejo za člane upravnega odbora: če politike ne delujejo zanje, verjetno ne delujejo tudi za nižje ravni organizacije.
- Predvidevajte, da se bodo prakse v podjetju razširile šele čez nekaj časa: razvoj kulture zahteva čas in trud.
4. Osredotočenost na človeka
Varnostne ekipe pogosto napačno enačijo varnostni program, usmerjen k človeku, z usposabljanjem za ozaveščanje o varnosti, ki ga morajo opraviti vsi zaposleni.
Začeti morate pri ljudeh. To pomeni, da je treba analizirati interesne skupine, razumeti njihovo vedenje in izzive ter ugotoviti, kaj je treba spremeniti in kako te spremembe izvesti. Nato na podlagi tega oblikujete pobude za varnostno kulturo za vsako od teh skupnosti deležnikov.
5. Delo na strategiji ničelnega zaupanja
Varnostne strategije, kot sta večfaktorsko preverjanje pristnosti (MFA) in ničelno zaupanje, se v krogih kibernetske varnosti pogosto obravnavajo kot metodi za povečanje nadzora dostopa, vendar je ničelno zaupanje hitro pridobilo na priljubljenosti in številne organizacije zdaj želijo sprejeti to miselnost.
Strategija ničelnega zaupanja za kibernetsko varnost podjetij je okvir, ki zahteva, da se vsi uporabniki nenehno avtentificirajo, pooblaščajo in potrjujejo, preden se jim odobri dostop do določenih sistemov podjetja ali podatkov. To vključuje tako uporabnike v omrežju podjetja kot tudi uporabnike zunaj omrežja podjetja, saj vstopamo v stalno fazo hibridnega dela.
Uvedba tega modela v celotnem podjetju pomeni, da se vsi v podjetju soočajo z enakimi varnostnimi ukrepi, kar pušča malo prostora za napake, ki bi vas lahko stale posla.
Zaključek
Premalo organizacij poudarja pomen varnostne kulture, kar lahko privede do slabo osveščenih odločitev, ogroženih sistemov in kibernetskih kršitev.
Razvijanje kulture kibernetske varnosti je stalen proces, ki zahteva sodelovanje vseh ravni organizacije.
Z izvajanjem dobrih praks kibernetske varnosti na svojem delovnem mestu ne boste le zgradili varnostne kulture, temveč bo vaša organizacija bolje zaščitena pred kibernetskimi grožnjami.
