セキュリティ コミュニティのほとんどのメンバーは、セキュリティ文化の改善の必要性を認識しています。つまり、全体的なリスクを軽減するために、サイバーセキュリティの改善に向けた組織的な認識、測定、および監視を意味します。 ただ見てください Kim Zetter の Black Hat USA 2022 基調講演、重要なインフラストラクチャ全体で重要なセキュリティの改善を求めました。
多くの場合、効果的なセキュリティの障害は必ずしも技術的なものではなく、文化的な問題です。 多くの場合、誤ってユーザーの教育とトレーニングを セキュリティ文化の創造. ユーザー教育は、問題と義務に関する情報共有に関するものですが、セキュリティ文化は、セキュリティをサポートするための行動の変化に関するものです。
ユーザーの意識を通じてセキュリティ文化を構築する
ユーザーの意識とセキュリティ文化の構築は、異なる課題を伴う別の課題ですが、共通点が XNUMX つあります。: 彼らは真剣な注意とサポートを必要としています。 そのことを念頭に置いて、これら XNUMX つの演習は実際には互いに補完し合っています。
次のことを考慮してください。CISO の報告構造については多くの議論がありますが、セキュリティ文化を推進するために必要なサポートは、この階層に依存していません。 これは、一般に受け入れられているビジネス オペレーションによるユーザーの行動の変更に依存しています。 この全体的なビジネス プロセスの変更が、セキュリティ文化をトップダウンで推進する必要がある理由です。
ユーザーの認識は、組織のセキュリティ ツールに組み込まれ、侵害の兆候がないかシステムを検索するのと同じくらい一貫して行われるべきです。 ユーザーの意識は、セキュリティ文化の創造に取って代わるものではなく、また同じものでもありません。むしろ、それは効果的なセキュリティ文化に必要な要素です。
乗船
セキュリティ文化を構築するためのオーナーシップとサポートは、取締役会レベルで推進する必要があります。 これは、多くのエクスプロイトや攻撃が管理すべき別のセキュリティ アラートに過ぎない一方で、熟練した攻撃者が関与すると深刻なリスクが発生するためです。 私がいつも言っているように、アマチュアはシステムをハッキングします。 専門家は人々をハッキングします。 セキュリティ リスク カテゴリとしての人間のハッキングは、成功率が高く、技術的な保護手段を超えています。
その秘訣は、動作を制御して彫刻することにより、人間の性質の落とし穴から人間のオペレーターを保護することです。 これには、多くの場合、根深いビジネス慣行について批判的に考える必要があります。 必要な変更を実現するためのサポートは、トップダウンの影響に大きく依存します。
OT 環境におけるセキュリティ文化
OT 環境は、セキュリティ文化の調査と育成において、さらに重大な課題に直面しています。 ビジネス ユーザーが不可欠な役割を果たすだけでなく、セキュリティ イベントの防止と対応には OT エンジニアも同様に重要です。
ITとOTの関係 全体的なセキュリティ文化を構築するには、ビジネスおよび運用プロセス全体を批判的に見るトップダウンのサポートが必要です。 個々の場所に予算を適用するための会計プロセスや、セキュリティに対する所有権の認識と同じくらい疑いを持たないことは、セキュリティの取り組みを強化するための最も真剣な試みを台無しにする可能性があります。
これらの例は氷山の一角ですが、組織内で全体的かつ継続的なプロセス改善プログラムを作成し、「セキュリティ文化をどのように改善できるか」を問い続けることが重要です。
IT 環境におけるセキュリティ文化
OT とは異なり、テクノロジーの必要性の認識は IT で明確に定義されています。 たとえば、資産のインベントリと可視性は、IT 向けのコモディティ製品セットです。 選択できる資産管理ベンダーは多数あり、熟練した IT チームはこれらのツールをすぐに採用できます。 テクノロジーを選択するプロセスは、IT 中心のプロセスの影響を受ける場合があります。 の選択により適した文化的変化が見られる場合があります。 OT側の補完製品.
テクノロジーとトポロジーの性質上、OT では資産インベントリ、脆弱性、およびリスク管理がより困難になります。 担当者は通常、プロセスを専門とするエンジニアであり、移動する分子の操作とどのように相互作用するかに関するツール (システム) とは限りません。 OT 資産の所有者は、IT 所有者とは異なる使命の焦点を持っており、彼らのトレーニングには必ずしもセキュリティが含まれているわけではありません。 セキュリティ文化を構築するには、これらのさまざまな考え方を考慮に入れ、関連性のある戦術を使用して行動を変える必要があります。
文化の融合: IT と OT
リスクベースのアプローチは、生産能力と効率への影響は言うまでもなく、生命、健康、安全などの主要な指標を標準化することで、IT および OT の専門家を支援します。 このアプローチには、最大許容ダウンタイム (MTD) と平均復旧時間 (MTR) も含める必要があります。
これにより、担当者がセキュリティを気にする必要がある理由についての答えが導き出されます。 組織は、集団チームに成功のチャンスを与えたいと思うでしょう。 グループ間でタスクを割り当てるビジネス プロセスを見ていると、セキュリティのレンズを通して見ると微妙な変化が明らかになる場合があります。 システムの所有権は、固有の運用上のニーズのために二分されたままにしておく必要がありますが、IT/セキュリティ/OT チームはすべて、重大な脆弱性、潜在的なセキュリティ イベント、およびインシデントの対応/回復に対処するために、足並みをそろえて作業する必要があります。 スピードと効率が最も重要です。
これらは、セキュリティ カルチャーを構築するための XNUMX つの側面にすぎませんが、単に情報を共有するだけでなく、行動を変えることが重要である理由の優れた例として役立ちます。 セキュリティ カルチャーを構築することは、セキュリティ テクノロジーへの投資を強化するためにどの組織にとっても不可欠ですが、ペースの速い侵害対応プロセスで OT オペレーターが生き残るためには不可欠です。
