Większość członków społeczności zajmującej się bezpieczeństwem uznaje potrzebę poprawy kultury bezpieczeństwa — co oznacza systemową świadomość korporacyjną, pomiary i monitorowanie w celu poprawy cyberbezpieczeństwa w celu zmniejszenia ogólnego ryzyka. Po prostu spójrz na Przemówienie Kim Zetter w Black Hat USA 2022, który wymagał istotnych ulepszeń bezpieczeństwa w całej infrastrukturze krytycznej.
W wielu przypadkach przeszkodą w skutecznym bezpieczeństwie nie jest koniecznie kwestia techniczna, ale raczej kwestia kulturowa. Wiele osób często błędnie utożsamia edukację i szkolenie użytkowników z tworzenie kultury bezpieczeństwa. Edukacja użytkowników dotyczy dzielenia się informacjami o problemach i obowiązkach — podczas gdy kultura bezpieczeństwa dotyczy zmian behawioralnych wspierających bezpieczeństwo.
Budowanie kultury bezpieczeństwa poprzez świadomość użytkownika
Chociaż świadomość użytkowników i budowanie kultury bezpieczeństwa to różne ćwiczenia z różnymi wyzwaniami, łączy je jedna cecha wspólna: Wymagają poważnej uwagi i wsparcia. Mając to na uwadze, te dwa ćwiczenia faktycznie się uzupełniają.
Rozważ to: Chociaż istnieje wiele debat na temat struktur raportowania CISO, wsparcie niezbędne do kształtowania kultury bezpieczeństwa nie zależy od tej hierarchii; jest to uzależnione od modyfikacji zachowań użytkowników poprzez ogólnie przyjęte operacje biznesowe. Ta holistyczna modyfikacja procesów biznesowych jest powodem, dla którego kultura bezpieczeństwa musi być kierowana odgórnie.
Świadomość użytkownika powinna być zakorzeniona w narzędziach bezpieczeństwa organizacji i odbywać się tak konsekwentnie, jak przeszukiwanie systemów pod kątem oznak naruszenia. Świadomość użytkownika nie zastępuje i nie jest tym samym, co tworzenie kultury bezpieczeństwa — jest raczej niezbędnym elementem każdej efektywnej kultury bezpieczeństwa.
Wejście na pokład
Własność i wsparcie dla tworzenia kultury bezpieczeństwa muszą być kierowane na poziomie zarządu. Dzieje się tak, ponieważ podczas gdy wiele nadużyć i ataków to tylko kolejny alert bezpieczeństwa do zarządzania, gdy w grę wchodzi wykwalifikowany przeciwnik, pojawia się poważne ryzyko. Jak zawsze mówię: amatorzy włamują się do systemów; profesjonaliści hakują ludzi. Hakowanie człowieka jako kategoria zagrożenia bezpieczeństwa ma wysoki plon sukcesu i wykracza poza zabezpieczenia technologiczne.
Sztuką jest ochrona operatora przed pułapkami ludzkiej natury poprzez kontrolowanie i rzeźbienie zachowania. Często wymaga to krytycznego myślenia o zakorzenionych praktykach biznesowych. Wsparcie dla realizacji niezbędnych zmian będzie w dużej mierze zależeć od wpływu odgórnego.
Kultura bezpieczeństwa w środowiskach OT
Środowiska OT są obarczone jeszcze większymi wyzwaniami związanymi z badaniem i kultywowaniem własnej kultury bezpieczeństwa. Nie tylko użytkownicy biznesowi odgrywają integralną rolę, ale inżynierowie OT są równie ważni w zapobieganiu i reagowaniu na zdarzenia związane z bezpieczeństwem.
Związek między IT a OT jest tam, gdzie tworzenie holistycznej kultury bezpieczeństwa będzie wymagało odgórnego wsparcia, aby krytycznie spojrzeć na ogólne procesy biznesowe i operacyjne. Rzeczy, które mogą storpedować najpoważniejsze próby podparcia wysiłków związanych z bezpieczeństwem, mogą być równie niepodejrzewające, jak proces księgowania dotyczący stosowania budżetów w poszczególnych lokalizacjach lub postrzeganie własności dla bezpieczeństwa.
Chociaż te przykłady są wierzchołkiem góry lodowej, ważne jest, aby stworzyć całościowy i ciągły program doskonalenia procesów w organizacji, aby nadal pytać: „Jak można ulepszyć naszą kulturę bezpieczeństwa?”
Kultura bezpieczeństwa w środowiskach IT
W przeciwieństwie do OT, rozpoznanie zapotrzebowania na technologie jest dobrze zdefiniowane w IT. Na przykład inwentaryzacja i widoczność zasobów to zestaw produktów towarowych dla IT. Do wyboru jest wielu dostawców usług zarządzania zasobami, a wykwalifikowany zespół IT może szybko zastosować te narzędzia. Na proces wyboru technologii może mieć wpływ proces skoncentrowany na IT. Można znaleźć zmiany kulturowe, które lepiej pasowałyby do wyboru produkty uzupełniające po stronie OT.
Inwentaryzacja zasobów, podatność na zagrożenia i zarządzanie ryzykiem stanowią większe wyzwanie w OT ze względu na charakter technologii i topologii. Personel to zazwyczaj inżynierowie, którzy specjalizują się w procesie, a niekoniecznie w narzędziu (systemach) w interakcji z operacjami poruszających się cząsteczek. Właściciele aktywów OT mają inną misję niż właściciele IT, a ich szkolenie niekoniecznie obejmuje bezpieczeństwo. Stworzenie kultury bezpieczeństwa musi uwzględniać te różne sposoby myślenia i stosować możliwe do powiązania taktyki w celu zmiany zachowania.
Mieszanie kultur: IT i OT
Podejście oparte na ryzyku pomoże specjalistom IT i OT poprzez standaryzację kluczowych wskaźników, takich jak życie, zdrowie, bezpieczeństwo, nie wspominając o wpływie na zdolność produkcyjną i wydajność. Podejście to powinno również obejmować maksymalny tolerowany czas przestoju (MTD) i średni czas do przywrócenia (MTR).
To dostarczy odpowiedzi na pytanie, dlaczego personel powinien dbać o bezpieczeństwo. Organizacje będą chciały dać zespołowi kolektywnemu szansę na sukces. Przyglądając się procesom biznesowym służącym do przydzielania zadań między grupami, subtelne zmiany mogą być widoczne przez pryzmat zabezpieczeń. Podczas gdy własność systemu musi pozostać rozdwojona ze względu na nieodłączne, operacyjne potrzeby, wszystkie zespoły IT/bezpieczeństwa/OT muszą pracować w ukryciu, aby zająć się krytycznymi lukami w zabezpieczeniach, potencjalnymi zdarzeniami związanymi z bezpieczeństwem oraz reagowaniem/naprawianiem incydentów. Najważniejsza jest szybkość i wydajność.
To tylko dwa aspekty tworzenia kultury bezpieczeństwa, ale stanowią doskonały przykład tego, dlaczego zmiana zachowań to coś więcej niż zwykłe udostępnianie informacji. Stworzenie kultury bezpieczeństwa ma kluczowe znaczenie dla każdej organizacji, aby zwiększyć inwestycje w technologie bezpieczeństwa, ale jest niezbędne do przetrwania operatora OT w szybkim procesie reagowania na naruszenia.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
