Žmonės, procesai, technologijos: stipraus saugumo požiūrio kūrimas auksiniame trikampyje

Net jei dauguma ir supranta, kad saugumui svarbu teikti pirmenybę, tačiau tam tikros strategijos ir praktikos (paprastai pati pagrindinė) dažnai yra nepakankamai vertinamos arba į jas per mažai atsižvelgiama. Darbuotojų mokymas ir geros kibernetinės higienos pagrindinės praktikos palaikymas yra pamirštamas, pirmenybė skiriama įrankiams, kurti dirbtinį intelektą (angl. AI – artificial intelligence), atsirandančioms technologijoms ir strategijoms, kurios patraukia verslo suinteresuotųjų šalių ir sprendimus priimančių asmenų susidomėjimą. Beveik visi pažeidimai rodo poreikį, kad pirmenybę saugumui reikia teikti per žmones, procesus ir technologijas – „auksinį trikampį“.

Kaip vadovybė gali sukurti saugumo strategiją, kuri nagrinėtų šiuos pagrindinius verslo aspektus, ir užtikrintų apsisaugojimą nuo galimo pažeidžiamumo?

Žmonės – didžiausia rizika, tačiau naudojant tinkamus procesus, jie neprivalo tokiais būti

Pasak neseniai atliktos apklausos, viešai neskleidžiama informacija ir vartotojo klaidos yra dažnesnės saugumo pažeidimo priežastys nei išorinės grėsmės. Kadangi dauguma jų yra netyčinės ar net atsitiktinės, galutinių vartotojų švietimas apie geriausios kibernetinės higienos praktiką gali padaryti reikšmingą pokytį užtikrinant verslo saugumą. Pagaliau, įmonės vadovų atsakomybė yra užtikrinti, kad visi darbuotojai, nuo vykdomojo asistento iki direktoriaus , suprastų ir padėtų palaikyti saugumo praktikas.

Privalomos mokymo programos yra raktas, skatinantis saugumą versle. Mokymas reiškia daugiau nei nemokamas ar savarankiškas pamokas internetu; tai, tam tikra prasme, taip pat naudinga, tačiau kad mokymai būtų tikrai veiksmingi, jie turi būti pritaikyti jūsų verslui ir darbuotojams. Aukščiausio lygio mokymas turėtų:

Parodyti, kaip atrodo „įtartinas“:

Labai svarbu darbuotojams parodyti sukčiavimo išpuolių požymius ar kitas problemas, kurios gali sukelti išpirkos programos išpuolį, virusus, ar kitas nuostolingas saugumo problemas. Įtartini elektroniniai laiškai neturėtų būti atidaromi, įtartinos nuorodos neturėtų būti spaudžiamos, o duomenimis neturėtų būti dalinamasi per nešifruotus kanalus – įmonės vadovo darbas užtikrinti, kad darbuotojai žinotų visa tai.

Paaiškinti, kad svarbu ne tik tai, kas nutinka prisijungus internete:

Pagalvokite apie darbuotoją, kuris stovėjimo aikštelėje randa USB raktą. USB raktas gali atrodyti kaip pasenęs, nebenaudojamas būdas saugoti duomenis prieš serverius, išorinius kietuosius diskus, debesų saugyklas, tačiau jei darbuotojas nežino, kaip galėtų tinkamiau pasielgti nei stovėjimo aikštelėje rastą USB raktą įkišti į darbo nešiojamą kompiuterį vien tam, kad pamatytų, kas jame yra, jūsų verslas gali tapti pažeidžiamas virusų ir problemų, kurios gali visiškai sunaikinti jūsų verslą.

Švieskite darbuotojus apie darbo su savo kompiuteriu (angl. BYOD – Bring Your Own Device) praktikas:

Nuotolinio darbo laikais, saugumo praktikos turi išsiplėsti toli nuo biuro sienų. Darbuotojai privalo suprasti, kad tokios praktikos, kaip prisijungimas prie atviro „Wi-Fi“ tinklo, atidaro duris daugybei saugumo problemų, jei tai nėra apsaugota slaptažodžiais.

Pasinaudokite technologijomis ir diekite procesus, kad pasiektumėte organizacinį saugumą

Apsauga per dažnai kviečiama tuomet, kai būna pagrindas reaguoti, o ne laikas imtis iniciatyvos. Kuomet į apsaugą kreipiamasi, kai problema jau įvyko, tuomet įmonei tai daug daugiau kainuoja. Įmonės tikslas visuomet turėtų būti pirmenybę teikti iniciatyviam saugumui. Siekdami padėti išspręsti galimas saugumo problemas, organizacijos vadovai gali vadovautis keliomis geriausiomis praktikomis:

Mokykite darbuotojus konkrečių jų darbų:

Žinokite, kurie asmenys jūsų versle yra susipažinę su klientų ar įmonės duomenų saugumu ir tinkamai juos mokykite. Kuo jie susiję su saugumu ir privatumu, ar jie iš tiesų supranta, kas yra saugumas ir kaip jam suteikti pirmenybę? Tai itin svarbu B2C verslams, kurie susiję su saugiais mokėjimais, konfidencialiais klientų duomenimis ir kredito kortelėmis.

Pirmenybę teikite dokumentacijai ir sąmoningumui:

Ar darbuotojai, ypač asmeniškai vadovaujantys naujiems projektams, ar atsakingi už jau vykdomus projektus, žino tinkamą saugos dokumentaciją? Ar jie supranta, kaip nuolat užtikrinti saugumą, pvz., ar inžinieriai savo serverių prisijungimus laiko saugiai? Pagrindinė taisyklė – skatinkite iniciatyvumą, o ne veikimą, kai problema jau įvyksta.

Pasinaudokite patikimu partneriu:

Daugumai įmonių, ypač mažiems verslams ar tiems, kurie turi ribotą biudžetą, išteklius ar įmonėms, neturinčioms specialios apsaugos komandos, bus naudinga, jei pasinaudos patikimu partneriu. Saugumo perdavimas įmonei, kuri nuolat atnaujina savo serverius, naudoja užšifruotą tinklą ir nuolat stebi saugumo pažeidimus bei problemas, yra svarbiausia norint išvengti problemų ir užtikrinti duomenų apsaugą bei bendrą saugumą.

Įdiekite saugumo priemones:

Jei jūs vadovaujate savo saugumui, apsvarstykite galimybę įdiegti apsaugos informacijos ir įvykių valdymo įrankius ( angl. SIEM), kurie padės stebėti ir valdyti saugumą, perspėjant apie galimas problemas prieš joms tampant katastrofa.

Saugumo demonstravimas: vadovo atsakomybė

Daugumoje verslų yra priimtina klaidinga saugumo samprata, kad jis turi būti laikomas paslaptimi nuo darbuotojų, ir žinomas tik asmeniui (-ims), kurie vadovauja bendrajai įmonės saugumo strategijai. Galų gale, įmonių vadovai turi išsklaidyti klaidingą sampratą ir paneigti tokį įmonės saugumo požiūrį. Reguliarūs pokalbiai apie saugumą padidins darbuotojų dėmesį, sąmoningumą ir prioritetų nustatymą.

Apibendrinimas

Kad įmonė pasiektų stiprią saugumo poziciją, ji turi veiksmingai išspręsti kiekvieną „auksinio trikampio“ aspektą, tokį kaip vadovų mokymą, tinkamų procesų ir technologijų diegimą. Procesų ir strategijų įgyvendinimas padės valdyti žmones, procesus ir technologijas, kurie verslui padės išvengti galimai kenksmingų saugumo problemų, taip pat padės palaikyti įprastą bet kokio dydžio įmonės veiklą.