Samloðun – Samþætt öryggisáætlanir með virkni algerlega viðskipta


Hvað geturðu sagt okkur um faglegan bakgrunn þinn??

Fyrri reynsla mín felur í sér þrjú ár með KMPG, netöryggisvenju, og átta ár í Detica, sem seinna var keypt af varnarmálaráðherra BAE Systems. Þegar ég fór lengra til baka var ég 13 ár í breska hernum. Hver þessara áfanga á ferli mínum stuðlaði að sýn minni á netöryggi og getu Cyhesion.

Hver eru nokkur meginreglur sem þú fylgir í starfi þínu?

Í fyrsta lagi ætti Cyber ​​öryggi að vera í takt við fyrirtækið. Fyrirtæki verður viðkvæmt þegar það kannast ekki við þörf fyrir öryggislausnir. Til að vera árangursríkur ætti öryggi að vera skiljanlegt; fyrirtækið þarf að skilja hvað öryggi er að ná og hvers vegna það er mikilvægt. Of oft sé ég öryggissveitir leggja mikið á sig til að innleiða lausnirnar, en enda á því að skilja eftir viðskipti.

Við verðum líka að hætta að leita eingöngu að tæknilegum lausnum og einbeita okkur einnig að kröfum um viðskipti breytast; þetta mun breyta tengslum fyrirtækja og öryggis. Við þurfum getu sem jafnvægi gegn ógn gegn uppgötvun og viðbrögðum. Þetta ætti ekki að vera erfitt hugtak fyrir fyrirtækið að skilja. Til dæmis, gæti forstjóri eða forstjóri verið ánægður með að treysta bara á hurðarlásana, eða myndu þeir líka viðurkenna þörfina fyrir CCTV, öryggisverði og viðvörunarkerfi? Lykilatriðið hér er að ganga lengra en forvarnir vegna þess að stundum munu ógnir komast í gegn. Fyrirtækið þarf þá að vera tilbúið til að takast á við þessi viðbrögð og þetta er jafn mikil stjórnunaráskorun og þau eru tæknileg.

Það er mjög mikilvægt að breyta gangverki. Ef við erum dugleg við að koma auga á ógn og geta brugðist hratt við, getum við dregið úr einhverju ósveigjanlegasta öryggiseftirliti og gefið fyrirtækinu aukið frelsi til að starfa, hjálpað því að verða lipurari og sveigjanlegri til að ná meiri markmiðum.

Við verðum að breyta samtalinu um öryggi þannig að það sé ekki bara litið á drifið á viðskiptunum, heldur sem virkjari, sem styður slétt viðskipti samfellu og seiglu. Þetta snýst um að hjálpa fyrirtækjum að skilja hlutinn sem þeir hafa að gegna og ekki bara að velja tæki eða tækni til að fjárfesta í.

Hvað eru nokkrar krefjandi þættir sem stofnanir fást við varðandi framkvæmd öryggisstefnu?

Að mínu mati er ekki lagt nógu mikið á við þætti í viðskiptabreytingum, svo sem stjórnarháttum, stefnu, skipulagi, rekstrarlíkani, færni og ferlum. Þessi hæfileiki þarf að þola og aðlagast með tímanum. Oft hjá stofnunum, eftir að tæki hefur verið til staðar í nokkurn tíma, uppgötva þeir að hegðun og því er undirliggjandi öryggi vanrækt. Þetta er ekki vandamál sem hægt er að leysa og gleyma og það er bráðnauðsynlegt að fylgjast með hótunum, skilja breytingar á tækninni sem verið er að verja og fylgjast vel með forgangsröðun fyrirtækja. Allar þrjár víddir munu breytast stöðugt og öryggisstofnunin (jafnvel þó að það séu aðeins fáir) þurfa að aðlaga sig í samræmi við það.

Okkar nálgun byrjar með stefnu. Þetta ætti að byrja á því að skilja hvað þarf að vernda. Hvað telur stjórnin hafa gildi fyrirtækisins? Það gæti verið hugverk, upplýsingar um viðskiptavini, seiglu í aðfangakeðjunni eða fjármál og ríkissjóður. Þetta er ekki tæknileg spurning. Það snýst um að skilja hvaða hlutir eru dýrmætastir fyrir fyrirtækið og hverjir eru líklega hvattir til að skaða þá.

Einfaldlega sagt, ef það er eitthvað sem enginn er áhugasamur um að ráðast á, þá er ekki mikið að hafa áhyggjur af. Mesta magn alvarlegra ógna hefur tilhneigingu til að stafa af sakamálum. Ef glæpamaður getur ekki þénað peninga úr árásinni er ólíklegt að hann fjárfesti tíma og fyrirhöfn í það. Þess vegna er mikilvægt að flokka hvaða eignir eru verðmætar og hvað gæti ógnað þeim, þróaðu síðan stefnu um það sem þú vilt koma í veg fyrir og hvað þú þarft að greina og bregðast við.

Þegar þú hefur verið með öryggisstefnu geturðu tryggt að allar aðgerðir sem þú grípur til stuðli að því að skila tilætluðum árangri.

Oft er skilvirkara og skilvirkara að skila þessari stefnu í formi umbreytingaráætlunar, frekar en safn af taktískum verkefnum.

Hvernig á að byrja að skipuleggja öryggisstefnu fyrir fyrirtæki?

Það eru 4 lykilspurningar sem við reynum að svara við viðskiptavini okkar áður en einhverjar ákvarðanir eru teknar um hvaða tækni eða þjónustu á að afla.

Í fyrsta lagi, hvað erum við að reyna að ná? Það hljómar eins og augljós spurning, en ég hef fundið margar stofnanir, þar á meðal ríkisdeildir, samtök og fyrirtæki, sem verkefnin áttu í erfiðleikum með að skila vegna þess að þetta hafði ekki verið skilgreint. Til dæmis, ef um er að ræða verkefni öryggisaðgerða, verður eflaust eitt markmið að greina atvik. En hvaða hlut eiga þeir að gegna við mat á skilvirkni eftirlits; eða beina viðbrögðum við atvikum; eða stuðla að aukinni viðskiptavitund? Hvert er umfang þeirra; er það takmarkað við innanhúss upplýsingatækni; eða nær það til skýsins og inn í birgðakeðjuna; bera þeir einnig ábyrgð með rekstrartækni eða bygging stjórnunarkerfa?

Önnur spurningin ætti að greina hvaða getu þarf til að ná þessum markmiðum? Þetta ætti ekki að draga í tæknival. Það skilgreinir blokkir af getu eða aðgerðum og takmarkast við að skilgreina tilgang þeirra.

Þriðja spurningin er um hvernig þessi hæfileiki verður fenginn eða aflað? Hvaða þættir verða í húsinu og hverjir verða fengnir?

Fjórða spurningin, þegar við höfum ákveðið hvert meginverkefnið er, hvaða getu þarf og hvaðan þau verða fengin, er að skilgreina rekstrarlíkanið sem tengir þetta allt saman.

Ef þú reynir að þróa þetta smáatriði í upphafi getur þú verið viss um það meðan á framkvæmd stendur að þú verður að þróa réttu ferla, stefnur og tækni og greina framan frá hvaða breytingum og breytingum verður þörf á hinum ýmsu hagsmunasamtökum innan starfseminnar.

 Hvernig jafnvægir þú átökin milli notkunar og öryggis?

Þau átök verða alltaf til staðar. Að mínu mati þarf öryggi að starfa með samþykki fyrirtækjanna. Ef litið er á öryggi sem vandamál eða óþægindi mun það hætta að skila árangri. Til dæmis, ef öryggisaðgerð innan stofnunar bannar notkun skráaþjónustu eins og Dropbox og setur stjórn á til að koma í veg fyrir það en án þess að bjóða upp á aðra hentuga leið til að deila upplýsingum með utanaðkomandi aðilum, mun fólk finna leið í kringum þetta eftirlit til að gera hlutina.

Á hinn bóginn, ef öryggisaðgerðin tekur þátt í viðskiptunum, getur það komið upp með lausnir sem vinna fyrir þann rekstur. Það er sjaldgæft að starfsmenn vilji raunverulega stofna starfseminni í hættu; aðallega, þeir eru bara að reyna að vinna vinnuna sína. En oft geta aðgerðir sem þær grípa skaðað reksturinn án þess að þeir geri sér grein fyrir því.

Í síðasta dæminu er mikilvægt að hafa stjórn á skráaskiptum og það eru fjölmargir þjónustuaðilar þarna úti svo það þurfa að vera takmörk. Með því að skilja viðskiptaþörfina, í tengslum við viðskiptaáhættu, ætti að vera mögulegt að velja viðeigandi skýjafyrirtæki eða smíða húslausn sem gerir þér kleift að reka viðskipti þín á skilvirkan og öruggan hátt.

Gott öryggi er kleift og snýst um að veita lausnir til að fá starfið. Oft er ekki auðvelt að skapa þá skoðanaskipti við fyrirtækið en það er mikilvægt. Þetta byrjar á toppnum, og ég hef oft hrifið viðskiptavini mína trú á að yfirmaður upplýsingaöryggisfulltrúa gæti þurft að eyða meira en helmingi tíma sinn í að ná til starfseminnar og byggja upp sambönd þar. Þetta er ekki alltaf viðurkennt með það í huga að tími þeirra mun ráðast af framkvæmd og stjórnun öryggiseftirlitsins. En viðskiptin eru mikilvægur þáttur í því eftirliti, svo ekki er hægt að horfa framhjá því.

Ég held að það séu líkt sögu úr upplýsingatækniheiminum. Fyrir nokkrum tuttugu árum voru miklar umræður um hlutverk og vald upplýsingatækni. Fjölmargar umræður urðu um hvort CIO ætti að vera í stjórninni eða ekki. Þegar ég horfði á fyrirtæki sem náðu árangri áttaði ég mig á því að það snýst ekki sérstaklega um hver CIO skýrði frá, heldur meira um þá tegund sem CIO var og um sambandið sem hann eða hún hafði við fyrirtækið.

Ef öryggi hefur heilbrigð tengsl við fyrirtækið er líklegra að allir skilji hvað þeir eru að reyna að ná.

Aðferðin sem Cyhesion notar eykur líkurnar á því að jafnvægið milli stjórnunar og virkjunar fyrirtækja verði rétt. Við teljum að leyndarmál velgengni byggist á:

  • Góð stefna – Að skilgreina hvað við erum að reyna að ná og gera okkur hart um hvernig við munum ná því áður en við förum í það áhugaverða fyrirtæki að kaupa tækni.
  • Árangursrík umbreyting – Að hafa aga til að breyta rekstrinum þannig að það skili réttri niðurstöðu, frekar en að einblína of mikið á að innleiða nýja tækni.
  • Viðhalda getu – Þetta snýst um að láta breytinguna standa. Stundum getur það hjálpað til við að keyra þá breytingu innan frá og tímabundna stjórnun getur spilað hér hlutverk, tilfærsla þekkingar og aðlagað líkanið til að það virki. Enda er það viðskiptavinurinn sem mun þurfa að halda áfram að viðhalda og aðlaga getu stöðugt eftir því sem aðstæður breytast.

Ertu með þína eigin tækni?

Cyhesion þróar ekki eigin tækni. Við höfum sterk tengsl við margs konar tækniaðila, sérstaklega á nýjum sviðum sem við teljum mikilvæg eins og er. Við hjálpum viðskiptavinum okkar að skilja hvaða tækni er fyrir hendi og skiptir máli fyrir þá og hvernig á að útfæra þá á sem árangursríkastan hátt.

Hvaða tækni finnst þér skipta mestu máli um þessar mundir?

Ein tækni sem ég held að geti bætt mikið við sjálfvirkni og útfærslu öryggisstarfsemi. Of of daglega hefur þetta svæði verið vanrækt en notað á réttan hátt, það hefur mikið að leggja sitt af mörkum. Það er til mörg tækni sem er góð í að greina ógnir en þegar þær hafa verið gerðar er verkið nýhafið. Sjálfvirkni er nauðsynleg til að draga úr hversdagslegu starfi og leyfa öryggissveitum að einbeita sér að því svæði þar sem þau skila mestu gildi.

Ég lít á hótanir í 3 mismunandi flokkum:

  • Þekktar og vel skilgreindar ógnir, þar sem þú veist nákvæmlega hvað þarf að gera til að útrýma þeim.
  • Ógnir sem eru þekktar en ekki vel skilgreindar sem krefjast rannsóknar, rannsóknar og dómgreindar til að leysa.
  • Alveg óþekktar ógnir, eða árásir á núll dögum, sem eru áhyggjuefni en einnig þær sem eru síst.

Þekktar ógnir neyta mikils meirihluta öryggisátaks, vegna þess að þær eru oftast, en þær eru í raun tiltölulega hversdagslegar, og mikið af því átaki er hægt að taka fullkomlega yfir með tækninni. Þetta eru eins konar ógnir þar sem hægt væri að gera sjálfvirk viðbrögð að fullu og gera greiningaraðilum kleift að eyða tíma í óljósari verkefnin.

Það er erfitt að ráða öryggissérfræðinga; og þeir hafa tilhneigingu til að fara vegna þess að þeim leiðist hversdagsleg vinna. Sérfræðingar eru ánægðari og ólíklegri til að fara ef þeim finnst vinna þeirra skipta máli. Notkun tækja til sjálfvirkni og stuðnings ákvarðana þýðir einnig að viðbrögð eru stöðugri. Ef tækin gera greiningaraðilum kleift að þróa eigin runbooks og hljómsveitarmynstur, þá er sú þekking innan fyrirtækisins, sem gerir ráð fyrir sjálfbærari lausnum meðan færri auðlindir eru notaðar.

Önnur tækni sem hefur mikinn áhuga á er fjarkönnun. Þetta er nokkuð vaxandi svæði, en ég geri mér grein fyrir því að það getur skilað verulegum ávinningi. Vafrar eru mjög viðkvæmir fyrir ógnum einfaldlega vegna þess að þeir hafa að mestu leyti óheftan aðgang að internetinu. Svo ef þú flytur alla nema traustustu vafravirkni í burtu frá rekstrareignum, getur þú bætt öryggi fyrirtækisins verulega. Eins og með hvaða tækni sem er, lykillinn hér væri að gera það án þess að skerða notendaupplifunina, eða þú munt hafa mjög reiða viðskiptatilfinningu að þeir séu sendir aftur til daga netsókna.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map