När ett företags cyberrisker utvecklas måste du också göra det. Här är fem tips på hur du skapar en cybersäkerhetskultur som skyddar ditt företag och är meningsfull för dina anställda.
Att skapa en cybersäkerhetskultur har alltid varit en viktig del av en organisations cybersäkerhetsstrategi. Men den massiva övergången till distansarbete som orsakades av covid-19, följt av tillväxten av hybridarbetsplatser, har förändrat hotbilden i grunden.
Tidigare cybersäkerhetspolicyer, och även de som infördes i början av pandemin, måste omvärderas mot bakgrund av nya cybersäkerhetsutmaningar. Nya risker måste identifieras, formuleras och säkerställas så att de anpassas till affärsstrategin.
För när riskprofilerna förändras måste också en organisations cybersäkerhetskultur göra det. Och de beteenden och tankesätt som krävs för att hantera föränderliga säkerhetsrisker - ett företags cybersäkerhetskultur - måste genomsyra hela organisationen.
Vad är en cybersäkerhetskultur och varför är den viktig?
Cybersäkerhetskultur bör ses som en arbetsmiljö där alla bryr sig om cybersäkerhet och är motiverade att förbättra den. Människor förstår varför cybersäkerhet är viktigt och ser sig själva som en del av lösningen.
Genom att främja en cybersäkerhetskultur säkerställer man också att de anställda är medvetna om vilka riskerna är eller kan vara och förstår hur de ska reagera på eller rapportera dem. Denna medvetenhet bidrar i sin tur till att bättre skydda en organisation genom att skapa en stark försvarslinje mot cyberattacker och potentiella dataintrång.
Utmaningar
Bristen på en tillräcklig budget för säkerhet är en av de största utmaningarna för alla organisationer. En annan är att skapa en cybersäkerhetskultur utan stöd från företagsledningen.
Säkerhet har dåligt rykte. "Säkerhetsvarumärket" är en viktig del i att skapa en cybersäkerhetskultur. Att de inte alltid respekteras eller förstås är ett hinder som säkerhetsteamen måste övervinna genom att arbeta för att förändra människors attityder till säkerhet.
Organisationens Chief Security Officer måste anta utmaningen. Att hitta en CISO som kan leda och bygga upp en kultur för cybersäkerhet - och göra den till en prioritet - kommer att vara en utmaning för många företag.
5 bästa metoder för att skapa kultur
Här är en översikt över fem viktiga bästa metoder som hjälper informationssäkerhetsexperter att skapa en cybersäkerhetskultur i hela organisationen.
1. Investera i rätt säkerhetsverktyg.
Säkerhetsverktyg är en integrerad del av ett skiktat försvar, men de är inte ett universalmedel mot cyberattacker. Det är tillrådligt att ha ett väl genomtänkt komplement av cybersäkerhetsverktyg som kan förstärka den "mänskliga aspekten" av cybersäkerhet.
Att investera i SIEM-lösningar som använder maskininlärningstekniker kan till exempel hjälpa personalen på säkerhetscentraler att öka sin förmåga att upptäcka och reagera, förbättra signal-brus-förhållandet och göra det möjligt för säkerhetsanalytiker att fokusera på de hot som är viktiga.
Det är dock viktigt att komma ihåg att bristen på kompetens inom cybersäkerhet bara blir värre i takt med att tekniken utvecklas och cyberattackerna ökar. Det är absolut nödvändigt att rekrytera, utbilda och behålla cybertalanger från ett brett spektrum av bakgrunder för att ligga steget före.
2. Att göra säkerheten tillgänglig
Säkerhetscheferna måste börja arbeta med den högsta ledningen. Säkerhetsexperter måste förstå och anpassa sig till affärsstrategin, identifiera de risker som är förknippade med strategin och kommunicera dem på lämpligt sätt i affärstermer.
När cheferna förstår, i begripliga termer, vad risken är och vad som krävs av dem, kan de gå vidare.
3. Främja cyberhygien från början till slut.
För att verkligen få genomslag måste bra cybersäkerhetsrutiner komma från C-nivån och genomsyra hela organisationen. Om er VD visar prov på positiva cybersäkerhetsrutiner och föregår med gott exempel för resten av företaget kommer resten av teamet sannolikt att följa efter.
Cybersäkerhet måste prioriteras och sätta tonen för resten av företaget.
- Uppmuntra era chefer att delta i utbildningskurser om cybersäkerhet.
- Tillämpa säkerhetspolicyer och processer över hela linjen, oavsett hierarkisk nivå.
- Arbeta med beslutsfattare för att anpassa förfarandena efter hur de fungerar för styrelseledamöterna: om riktlinjerna inte fungerar för dem fungerar de förmodligen inte heller för lägre nivåer i organisationen.
- Antag att det tar tid innan praxis sprids i hela företaget: det tar tid och ansträngning för kulturen att utvecklas.
4. Fokus på människan
Säkerhetsteam likställer ofta felaktigt ett "människocentrerat" säkerhetsprogram med att tillhandahålla utbildning i säkerhetsmedvetenhet som alla anställda måste genomgå.
Man måste börja med människorna. Det innebär att man analyserar sina intressenter, förstår deras beteenden och utmaningar och tar reda på vad som behöver förändras och hur man ska genomföra förändringen. Utifrån detta skapar du sedan dina initiativ för säkerhetskultur för var och en av dessa intressentgrupper.
5. Arbeta med en nollförtroendestrategi
Säkerhetsstrategier som multifaktorautentisering (MFA) och Zero Trust diskuteras ofta i cybersäkerhetskretsar som metoder för att öka åtkomstkontrollen, men Zero Trust har snabbt blivit allt populärare och många organisationer vill nu anta detta tankesätt.
En Zero Trust-strategi för företagets cybersäkerhet är ett ramverk som kräver att alla användare kontinuerligt autentiseras, auktoriseras och valideras innan de får tillgång till vissa företagssystem eller data. Detta omfattar både användare inom och utanför företagets nätverk, eftersom vi går in i en permanent fas av hybridarbete.
Att införa denna modell i hela företaget innebär att alla i företaget omfattas av samma säkerhetsåtgärder, vilket lämnar lite utrymme för misstag som kan kosta er affärer.
Slutsats
Alltför få organisationer betonar vikten av en säkerhetskultur, vilket kan leda till dåligt underbyggda beslut, komprometterade system och cyberintrång.
Att utveckla en cybersäkerhetskultur är en ständigt pågående process som kräver engagemang på alla nivåer i en organisation.
Genom att införa god praxis för cybersäkerhet på din arbetsplats kommer du inte bara att bygga upp en säkerhetskultur över tid, utan din organisation kommer också att vara bättre skyddad mot cyberhot.
