Безбедноста на информациите e неверојатно стресна: постојаната потрага по потенцијални инциденти и хронично долгите часови се надополнети со бескрајната битка со другите оддели кои ја гледаат сајбер безбедноста како непотребна непријатност. Во најдобар случај, тие се обидуваат да не размислуваат за тоа, но во особено тешки случаи, тие се трудат да избегнат сè што е поврзано со сајбер безбедноста. Како логичен резултат, 62% од врвните менаџери признаваат дека недоразбирањата меѓу одделите за деловна и информациска безбедност доведоа до сериозни сајбер инциденти. За да се сменат ставовите кон безбедноста на информациите во една организација, од витално значење е да се добие поддршка на највисоко ниво – од одборот на директори. Значи, што да му кажете на вашиот извршен директор или претседател, кој секогаш е зафатен и веројатно ретко е расположен да размислува за безбедноста на информациите? Еве пет едноставни, клучни забелешки кои треба постојано да се повторуваат на состаноците додека повисокото раководство не ја сфати пораката.
Научете го тимот за сајбер-безбедност – и почнете од С-ниво
Секоја обука бара доверба во наставникот, што може да биде тешко ако ученикот е вашиот извршен директор. Воспоставувањето на интерперсонален мост и стекнувањето на кредибилитет ќе биде полесно ако не започнете со стратегија, туку со личната сајбер-безбедност на највисокото раководство. Ова директно влијае на безбедноста на целата компанија, бидејќи личните податоци и лозинките на извршниот директор често се мета на напаѓачите.
Земете го, на пример, скандалот од крајот на 2022 година во САД, кога напаѓачите навлегоа во ВИП социјалната мрежа Инфрагард, што ја користеше ФБИ за доверливо да ги информира извршните директори на големите претпријатија за најсериозните сајбер-закани. Хакери украле база на податоци со е-пошта и телефонски броеви на повеќе од 80.000 членови и ја ставиле на продажба за 50.000 американски долари. Вооружени со овие информации за контакт, оние што ги купиле ќе можат да ја добијат довербата на погодените извршни директори или да ги користат во нападите на BEC.
Што е клучно?
Имајќи го предвид горенаведеното, од клучно значење е раководството да користи двофакторска автентикација со USB или NFC токени на сите уреди, да има долги и уникатни лозинки за сите работни сметки, да ги заштити сите лични и работни уреди со соодветен софтвер и да ја задржи работата и личните дигитални работи одделно. Сè на сè, вообичаените совети за претпазливиот корисник – но засилени со свесноста за потенцијалната цена на грешката. Од истата причина, важно е повторно да ги проверите сите сомнителни е-пошта и прилози. На некои директори можеби ќе им треба помош од некој од областа на безбедноста на информациите за да се справат со особено сомнителни врски или датотеки.
Откако менаџментот ќе се справи со основните безбедносни лекции, можете нежно да ги водите кон стратешка одлука: редовна обука за безбедност на информациите за сите вработени во компанијата. Постојат различни барања за знаење за секое ниво на вработени. Секој, вклучително и вработените во првите редови, треба да ги имплементира гореспоменатите правила за сајбер-хигиена, како и совети за тоа како да реагираат на сомнителни или нестандардни ситуации. Менаџерите – особено оние во ИТ – би имале корист од подлабоко разбирање за тоа како безбедноста е интегрирана во животниот циклус на развој и користење на производите, кои безбедносни политики да се усвојат во нивните одделенија и како сето тоа може да влијае на деловните перформанси. Спротивно на тоа, самите вработени во infosec треба да ги проучат деловните процеси усвоени во компанијата за да добијат подобро чувство за тоа како безболно да ги интегрираат потребните заштитни мерки.
Интегрирајте ја сајбер безбедноста во стратегијата и процесите на компанијата
При дигитализација на економијата, бидејќи пејзажот на сајбер криминал се комплицира, регулативите се интензивираат, управувањето со сајбер-ризиците станува неотповиклива обврска. Постојат технолошки, човечки, финансиски, правни и организациски аспекти за ова, така што лидерите во сите овие области треба да бидат вклучени во прилагодувањето на стратегијата и процесите на компанијата.
Како да го минимизираме ризикот од хакирање на добавувачот или изведувачот, имајќи предвид дека би можеле да станеме секундарна цел во такво сценарио? Кои закони во нашата индустрија го регулираат складирањето и преносот на чувствителни податоци како што се личните информации на клиентите? Какво би било оперативното влијание на нападот со откупни софтвер кој ги блокира и брише сите компјутери, и колку време ќе биде потребно за да се обноват од резервните копии? Дали штетата на угледот може да се мери во пари, кога нападот врз нас ќе им стане познат на партнерите и на јавноста? Кои дополнителни безбедносни мерки ќе ги преземеме за да ги заштитиме вработените кои работат на далечина? Ова се прашањата што службите за информациска безбедност и експертите од другите сектори мора да ги решат, поткрепени со организациски и технички мерки.
Важно е да се потсети на високото раководство дека „купувањето на овој [или оној] систем за заштита“ не е сребрен куршум за ниту еден од овие проблеми, бидејќи, според различни проценки, помеѓу 46% и 77% од сите инциденти се поврзани со човечкиот фактор: од непочитување на прописите и злонамерните инсајдери до недостаток на ИТ транспарентност од страна на изведувачите.
Инвестирајте соодветно
Финансиите што треба да се инвестираат за безбедност на информациите секогаш се дефицитарни, додека проблемите што треба да се решат во оваа област изгледаат бесконечни. Важно е да се даде приоритет, во согласност со барањата на индустријата за која станува збор, но и со заканите кои се најрелевантни за вашата организација и имаат потенцијал да предизвикаат најголема штета. Ова е можно практично во сите области – од затворање на ранливост до обука на персоналот. Никој не може да се игнорира, секој ќе има свои приоритети и редослед на првенство. Работејќи во рамките на доделениот буџет, ги елиминираме клучните ризици, а потоа продолжуваме кон помалку веројатните. Речиси невозможна задача е самостојно да ги рангирате веројатностите за ризик, бидејќи ќе треба да ги проучувате извештаите за пејзажот на заканите за вашата индустрија и да ги анализирате типичните вектори на напад.
Работите стануваат навистина интересни, се разбира, кога треба да се зголеми буџетот. Најзрелиот пристап кон буџетирањето е оној заснован на ризиците и соодветните трошоци за нивно актуелизирање и минимизирање, но исто така е и најтрудоинтензивен. Живите примери – идеално од искуството на конкурентите – играат важна помошна улога во дискусиите во одборот. Сепак, не е лесно да се дојде до нив, па затоа е вообичаено да се прибегне кон просечни буџети за одредена деловна област и земја.
Размислете за сите видови ризик
Дискусиите за безбедноста на информациите обично се фокусираат премногу на хакерите и софтверските решенија за да ги поразат. Но, секојдневните операции на многу организации се соочуваат со други ризици, кои исто така се однесуваат на безбедноста на информациите.
Без сомнение, еден од најраспространетите во последниве години е ризикот од прекршување на законите за складирање и користење на лични податоци: GPDR, CCPA и слично. Сегашната практика на спроведување на законот покажува дека нивното игнорирање не е опција: порано или подоцна регулаторот ќе наметне парична казна и во многу случаи – особено во Европа – зборуваме за значителни суми. Уште поалармантна перспектива што се наѕира за компаниите е наметнувањето на казни за протекување или неправилно ракување со лични податоци, така што сеопфатната ревизија на информациските системи и процеси со цел чекор-по-чекор елиминација на прекршувањата би била многу навремена.Навистина.
Голем број индустрии имаат свои, уште построги критериуми, особено финансискиот, телекомуникацискиот и медицинскиот сектор, како и операторите со критична инфраструктура. Мора да биде редовно следена задача на менаџерите во овие области да ја подобрат усогласеноста со регулаторните барања во нивните одделенија.
Одговорете правилно
За жал, и покрај најдобрите напори, инцидентите во сајбер безбедноста се прилично неизбежни. Ако размерот на нападот е доволно голем за да го привлече вниманието на управата, тоа речиси сигурно значи нарушување на операциите или истекување на важни податоци. Не само безбедноста на информациите, туку и деловните единици мора да бидат подготвени да одговорат и затоа идеално е ако поминат низ вежби. Барем повисокото раководство мора да ги знае и да ги следи процедурите за одговор, за да не ги намали шансите за поволен исход. Во продолжение се трите основни чекори кои треба да ги следи извршниот директор:
-
Веднаш известете ги клучните страни за инцидентот;
Во зависност од контекстот: финансиските и правните одделенија, осигурителните компании, регулаторите на индустријата, регулаторите за заштита на податоци, органите за спроведување на законот, засегнатите клиенти. Во многу случаи, временската рамка за такво известување е утврдена со закон, но доколку не, таа треба да биде утврдена во внатрешните прописи. Здравиот разум налага известувањето да биде брзо, но информативно; односно, пред да се извести, мора да се соберат информации за природата на инцидентот, вклучително и првична проценка на обемот и преземените мерки за прв одговор.
-
Истражете го инцидентот.
Важно е да се преземат различни мерки за да може правилно да се процени обемот и последиците од нападот. Покрај чисто технички мерки, важни се и анкетите на вработените, на пример. За време на истрагата, од витално значење е да не се оштетат дигиталните докази за нападот или други артефакти. Во многу случаи има смисла да се доведат надворешни експерти за да го истражат и расчистат инцидентот.
-
Подгответе распоред за комуникација.
Типична грешка што ја прават компаниите е да се обидат да скријат или минимизираат инцидент. Порано или подоцна, вистинскиот обем на проблемот ќе се појави, продолжувајќи и зголемувајќи ја штетата – од репутацијата до финансиската штета. Затоа, надворешните и внатрешните комуникации мора да бидат редовни и систематски, обезбедувајќи информации кои се конзистентни и за практична употреба за клиентите и вработените. Тие мора да имаат јасно насоки за тоа какви активности треба да преземат сега и што да очекуваат во иднина. Би било добра идеја да се централизираат комуникациите; односно да се назначат внатрешни и надворешни портпароли и да се забрани неовластени лица да ја вршат оваа улога.
Заклучок
Споделувањето на прашањата за безбедноста на информациите со повисокото раководство побарува прилично време и не секогаш е благодарно, така што овие пет пораки веројатно нема да се пренесат и да се имплементираат само преку еден или два состаноци. Интеракцијата помеѓу бизнисот и безбедноста на информациите е тековен процес кој бара заеднички напор за подобро да се разбереме. Само со систематски пристап, чекор-по-чекор, кој се спроведува на редовна основа и ги вклучува практично сите директори, вашата компанија може да ја добие предноста над конкурентите во доброто справување со заканите од актуелниот сајбер-пејсаж.
