Старанна кібербезпека потребує більше місяця нашої уваги
Рамі Сасс, співзасновник і генеральний директор компанії Mend.
Гетті
Місяць поінформованості про кібербезпеку (CAM) знаменує собою заклик до дій з боку уряду та приватного сектору для підвищення обізнаності як окремих осіб, так і організацій, щоб зрозуміти ризики кіберзлочинності та хакерства. Завдяки різноманітному програмуванню та темам CAM допомагає кількісно оцінити ризики, пов’язані зі слабкими — або неіснуючими — методами безпеки даних або інформації (InfoSec) серед споживачів і підприємств.
У жовтні минулого року ми побачили, як лідери в галузі визнали цю ініціативу, яка триває вже вісімнадцятий рік. Але, на жаль, привернення уваги до кібербезпеки лише в жовтні завдає ведмежої послуги багатьом людям і компаніям. чому Він пропонує обмежити ці ініціативи одним місяцем у році — і залишає відкритими двері для кіберзлочинців, щоб полювати на організації, які нехтують критичними заходами безпеки протягом решти одинадцяти місяців.
Поінформованість про кібербезпеку важлива, але це лише перший крок ефективної ініціативи з кібербезпеки. Довготривалі організації розуміють важливість безперервної цілорічної програми та роблять кібербезпеку головним пріоритетом через інвестиції та культуру.
Ось як найкраще оснащені компанії думають про кібербезпеку та про що варто подумати керівникам, починаючи новий рік.
Усвідомлення – це перший крок, але дія має значення.
Кібербезпека — це галузь, що розвивається, і зловмисники постійно змінюють свої методи, щоб бути на крок попереду — неможливо по-справжньому завершити належну перевірку кібербезпеки протягом одного місяця.
Таким чином, кібербезпека потребує постійних зусиль, інвестицій, підтримки з боку виконавчого керівництва та культур, що розуміють безпеку в організаціях.
З боку виконання це вимагає значної роботи, особливо для компаній, що займаються програмним забезпеченням. Подумайте про величезну кількість коду, який підтримує будь-яку програму чи службу. Для команд вкрай важливо знати, де можуть виникнути загрози. Але ініціативи з кібербезпеки також мають виходити за рамки кібербезпеки чи ІТ-команди: кіберзлочинці та хакери можуть отримати доступ до критично важливих даних через будь-що: від слабких паролів працівників до поганої гігієни даних.
Це не означає, що офіційний час, присвячений обізнаності про кібербезпеку, не є важливим — насправді жовтень — чудовий час для компаній, щоб приділити час захисту своїх активів. Саме напередодні святкового сезону кіберзлочинці роблять ставку на слабкий нагляд і користуються перевагами скелетних команд безпеки. Але ці загрози не зникають просто так, коли сезон відпусток закінчується. Кіберзлочинці завжди шукають шлях, тому компанії повинні пропонувати навчання та вимагати стрес-тестування протягом року.
Інвестуйте в правильні інструменти, захищайте від сьогоднішньої загрози.
Впровадження ефективної процедури безпеки починається з того, що ви маєте правильні інструменти для вирішення поточної проблеми, яку ви хочете вирішити, і наявність протоколу для потенційних майбутніх проблем.
Важливо, щоб організації переглядали свої поточні рішення та визначали, які потребують оновлення або заміни. Інструмент, випущений кілька років тому, міг бути чудовим на той час, але він міг не мати значущих змін або оновлень, щоб залишатися актуальним.
У рамках цього процесу важливо розглянути, які процеси та ручну роботу потенційно можна замінити автоматизованими рішеннями. Завдяки прогресу в галузі низка повсякденних процесів, таких як виявлення критичних вразливостей, автоматизовано, щоб дозволити командам зосередитися на більш важливих завданнях.
Інвестиції в ці інструменти особливо важливі, враховуючи величезний обсяг додатків, на які сьогодні покладаються організації. Компанії використовують сотні програм у різних відділах, і ця кількість продовжує зростати з року в рік. А за даними Forrester Research, додатки також є головною причиною зовнішніх зломів, оскільки кіберзлочинці вважають їх однією з найпростіших точок входу для атаки. Оскільки атаки на ланцюжок поставок зростають, ігнорувати безпеку програм (AppSec) не можна.
Кібербезпека є фактором бізнес-планування, починаючи з самого верху.
Оскільки загрози стають все більш поширеними та складними, функція безпеки має виходити за межі ІТ-відділу, вимагаючи уваги як з боку керівника, так і з боку правління. Проте п’ята частина CISO повідомляє про те, що мало спілкується з керівниками своїх компаній.
Навіть якщо правління та генеральний директор організації розуміють цінність і необхідність практики інформаційної безпеки, досвідчене керівництво, яке розуміє, як визначити пріоритети щодо інвентаризації коду (або програмного забезпечення) і технічної заборгованості, а також постійно оцінювати відомі вразливості та потенційні загрози в екосистема — мають вирішальне значення для забезпечення безпеки організацій.
Включіть роботу: комплексна безпека означає створення культури безпеки.
Побудова культури безпеки та сприяння спільному робочому процесу між розробниками та командами безпеки посилює програму кібербезпеки будь-якої організації.
Послідовне навчання, тести на фішинг і вимоги до багатофакторної автентифікації є чудовою тактикою для створення корпоративної культури, яка цінує безпеку та заохочує співробітників краще розуміти роль, яку вони відіграють у безпеці.
Компанії, які не дотримуються практики кібербезпеки з тією ж швидкістю, що й інновації та розробка нових продуктів у своїй організації, ризикують втратити мільйони доларів, не кажучи вже про заплямовану репутацію та потенційні зобов’язання, пов’язані з конфіденційними даними споживачів.
Ключові висновки
Серйозним недоліком CAM є те, що вона позиціонує кібербезпеку як одноразову ініціативу, але це не може бути дальшим від істини.
Захист організації означає цілий рік, постійні інвестиції та зусилля. Це також означає трохи змащення ліктів і бюджету, але ці зусилля неминуче окупляться, якщо з’явиться інша катастрофічна вразливість, як-от Spring4Shell або Log4j.
Не будьте легкою мішенню, обмежуючи свої завдання з кібербезпеки обізнаністю на поверхневому рівні лише протягом місяця в році. Покладіть роботу: забезпечте підтримку керівників, інвестуйте в інструменти, необхідні вашій команді, і працюйте над тим, щоб захистити всю культуру вашої організації.
Технологічна рада Forbes — це спільнота для ІТ-директорів, технічних директорів і технічних керівників світового рівня. Чи маю я право?
