Type to search

Надежная кибербезопасность требует больше месяца нашего внимания

25 января, 2023
Share

Рами Сасс, соучредитель и генеральный директор Mend.

Защитный замок и сетевые данные

гетти

Месяц осведомленности о кибербезопасности (CAM) знаменует собой призыв к действиям со стороны правительства и частного сектора по повышению осведомленности как отдельных лиц, так и организаций, чтобы они понимали риски киберпреступности и взлома. Благодаря разнообразным программам и темам CAM помогает количественно оценить риски, связанные со слабыми или несуществующими методами защиты данных или информации (InfoSec) среди потребителей и предприятий.

В октябре прошлого года мы видели, как лидеры отрасли приветствовали эту инициативу, которой уже восемнадцать лет. Но, к сожалению, акцент на кибербезопасности только в октябре оказывает медвежью услугу многим людям и компаниям. Почему? Он предлагает ограничить эти инициативы одним месяцем в году и оставляет киберпреступникам возможность охотиться на организации, пренебрегающие критически важными мерами безопасности в течение оставшихся одиннадцати месяцев.

Осведомленность о кибербезопасности важна, но это лишь первый шаг эффективной инициативы в области кибербезопасности. Устойчивые организации понимают важность непрерывной круглогодичной программы и делают кибербезопасность главным приоритетом за счет инвестиций и культуры.

Вот как наиболее оснащенные компании думают о кибербезопасности и что лидеры должны рассмотреть в новом году.

Осознание — это первый шаг, но действие имеет значение.

Кибербезопасность — это развивающаяся отрасль, и злоумышленники постоянно меняют свои методы, чтобы быть на шаг впереди — невозможно по-настоящему провести комплексную проверку кибербезопасности в течение одного месяца.

Таким образом, кибербезопасность требует постоянных усилий, инвестиций, поддержки со стороны высшего руководства и культуры безопасности в организациях.

Что касается исполнения, это требует значительной работы, особенно для компаний-разработчиков программного обеспечения. Подумайте об огромном количестве кода, на котором работает любое данное приложение или служба. Для команд крайне важно знать, где могут возникнуть угрозы. Но инициативы в области кибербезопасности также должны выходить за рамки кибербезопасности или ИТ-специалистов — киберпреступники и хакеры могут получить доступ к критически важным данным из-за чего угодно, от слабых паролей сотрудников до плохой гигиены данных.

Это не означает, что формальное время, посвященное осведомленности о кибербезопасности, не важно — на самом деле, октябрь — отличное время для компаний, чтобы провести время, защищая свои активы. Прямо перед сезоном праздников киберпреступники делают ставку на слабый контроль и используют в своих интересах скелетные группы безопасности. Но эти угрозы не исчезают с окончанием курортного сезона. Киберпреступники всегда ищут способ проникнуть внутрь, поэтому компании должны предлагать обучение и проводить стресс-тестирование в течение всего года.

Инвестируйте в правильные инструменты, чтобы защититься от сегодняшних угроз.

Внедрение эффективной процедуры безопасности начинается с обеспечения того, что у вас есть правильные инструменты для решения текущей проблемы, которую вы хотите решить, и наличия протокола для возможных будущих проблем.

Важно, чтобы организации пересматривали свои текущие решения и определяли, какие из них нуждаются в обновлении или замене — инструмент, выпущенный несколько лет назад, мог быть отличным в то время, но, возможно, в него не были внесены значимые изменения или обновления, чтобы оставаться в курсе.

В рамках этого процесса важно учитывать, какие процессы и ручная работа потенциально могут быть заменены автоматизированными решениями. Благодаря достижениям в отрасли ряд рутинных процессов, таких как выявление критических уязвимостей, автоматизирован, что позволяет командам сосредоточиться на более важных задачах.

Инвестиции в эти инструменты особенно важны, учитывая огромное количество приложений, на которые в настоящее время полагаются организации. Компании используют сотни приложений в разных подразделениях, и это число продолжает расти из года в год. По данным Forrester Research, приложения также являются основной причиной внешних утечек, поскольку киберпреступники рассматривают их как одну из самых простых точек входа для атаки. По мере увеличения количества атак на цепочку поставок игнорировать безопасность приложений (AppSec) нельзя.

Кибербезопасность является фактором бизнес-планирования, начиная с самого верха.

По мере того как угрозы становятся все более распространенными и изощренными, функция безопасности должна выходить за пределы периметра ИТ-отдела, требуя внимания как со стороны высшего руководства, так и со стороны Совета директоров. Тем не менее, пятая часть директоров по информационной безопасности сообщает о малом контакте с генеральным директором своих компаний.

Даже если правление и генеральный директор организации понимают ценность и необходимость методов информационной безопасности, опытное руководство, которое понимает, как расставить приоритеты в работе с инвентаризацией кода (или спецификациями программного обеспечения) и техническим долгом, а также отслеживать известные уязвимости и потенциальные угрозы в экосистемы — имеют решающее значение для обеспечения безопасности организаций.

Включите работу: комплексная безопасность означает создание культуры безопасности.

Формирование культуры безопасности и поощрение совместного рабочего процесса между разработчиками и командами безопасности укрепляет программу кибербезопасности любой организации.

Последовательное обучение, фишинговые тесты и требования многофакторной проверки подлинности — отличные тактики, помогающие создать корпоративную культуру, которая ценит безопасность и побуждает сотрудников лучше понимать свою роль в обеспечении безопасности.

Компании, которые не следят за методами кибербезопасности с той же скоростью, что и за инновациями и разработкой новых продуктов в своей организации, рискуют потерять миллионы долларов, не говоря уже о запятнанной репутации и потенциальных обязательствах в отношении конфиденциальных данных потребителей.

Ключевые выводы

Серьезный недостаток CAM в его нынешнем виде заключается в том, что кибербезопасность позиционируется как разовая инициатива, но это далеко не так.

Защита организации означает круглогодичные постоянные инвестиции и усилия. Это также означает немного усилий и бюджета, но эти усилия обязательно окупятся, если появится еще одна катастрофическая уязвимость, такая как Spring4Shell или Log4j.

Не будьте легкой мишенью, ограничивая свои задачи по кибербезопасности поверхностным уровнем осведомленности всего лишь один месяц в году. Включите работу: заручитесь поддержкой на уровне руководства, инвестируйте в инструменты, которые нужны вашей команде, и работайте над внедрением безопасности во всю корпоративную культуру.

Технологический совет Forbes — это сообщество только по приглашению для ИТ-директоров, технических директоров и руководителей технологических компаний мирового класса. Имею ли я право?

Previous Article
Next Article

Trending & Hot

¿Qué es la inflación transitoria? (1) Los hechos
Dinero
Navegando el acto de equilibrio del matrimonio y la propiedad empresarial
Liderazgo
Hot Headed: Las alarmantes formas en que el calor extremo afecta tu cerebro
Innovación
Can Elon Musk Succeed In Developing Generative AI ChatGPT Knockoff “TruthGPT” That Would Be Stoically Truthful At All Times, Asks AI Ethics And AI Law
Innovation
¿Las acciones de Microsoft superan el consenso en el segundo trimestre?
Dinero
With love by SkyBuss ©All rights reservd.