A maioria dos membros da comunidade de segurança reconhece a necessidade de uma cultura de segurança aprimorada – o que significa conscientização corporativa sistêmica, medição e monitoramento para melhoria da segurança cibernética para reduzir o risco geral. Basta olhar para Keynote do Black Hat USA 2022 de Kim Zetter, que exigia melhorias de segurança cruciais em toda a infraestrutura crítica.
Muitas vezes, o impedimento a uma segurança eficaz não é necessariamente técnico, mas sim uma questão cultural. Muitas vezes, muitos equiparam erroneamente a educação e o treinamento do usuário com o criação de uma cultura de segurança. A educação do usuário é sobre o compartilhamento de informações sobre problemas e obrigações – enquanto a cultura de segurança trata de mudanças comportamentais em apoio à segurança.
Construindo uma cultura de segurança por meio da conscientização do usuário
Embora a conscientização do usuário e a construção de uma cultura de segurança sejam exercícios diferentes com desafios distintos, eles compartilham uma semelhança: Eles exigem atenção e apoio sérios. Com isso em mente, esses dois exercícios se complementam.
Considere o seguinte: embora haja muitos debates sobre as estruturas de relatórios do CISO, o suporte necessário para impulsionar uma cultura de segurança não depende dessa hierarquia; depende da modificação do comportamento do usuário por meio de operações comerciais geralmente aceitas. Essa modificação holística do processo de negócios é o motivo pelo qual a cultura de segurança precisa ser conduzida de cima para baixo.
A conscientização do usuário deve ser incorporada às ferramentas de segurança de uma organização e ocorrer de forma tão consistente quanto a busca de indícios de comprometimento nos sistemas. A conscientização do usuário não substitui e não é o mesmo que a criação de uma cultura de segurança – em vez disso, é um componente necessário de qualquer cultura de segurança eficaz.
Embarque
A propriedade e o suporte para a criação de uma cultura de segurança devem ser conduzidos no nível do conselho. Isso ocorre porque, embora muitas explorações e ataques não sejam mais do que outro alerta de segurança para gerenciar, quando um adversário habilidoso se envolve, surgem sérios riscos. Como sempre digo: Amadores hackeiam sistemas; profissionais hackeiam pessoas. Hackear o humano como uma categoria de risco de segurança tem um alto rendimento de sucesso e transcende as salvaguardas tecnológicas.
O truque é proteger o operador humano das armadilhas da natureza humana, controlando e esculpindo o comportamento. Isso geralmente requer uma reflexão crítica sobre as práticas de negócios arraigadas. O apoio para a realização das mudanças necessárias dependerá fortemente da influência de cima para baixo.
Cultura de segurança em ambientes OT
Os ambientes de TO estão sobrecarregados com desafios ainda mais significativos para examinar e cultivar sua cultura de segurança. Não apenas os usuários de negócios desempenham um papel integral, mas os engenheiros de OT são igualmente vitais para prevenir e responder a eventos de segurança.
A relação entre TI e TO é onde a criação de uma cultura de segurança holística precisará de suporte de cima para baixo para analisar criticamente os processos gerais de negócios e operacionais. Coisas que podem torpedear as tentativas mais sérias de escorar um esforço de segurança podem ser tão insuspeitas quanto o processo de contabilidade para aplicar orçamentos em locais individuais ou a percepção de propriedade para segurança.
Embora esses exemplos sejam a ponta do iceberg, é importante criar um programa holístico e contínuo de melhoria de processos dentro da organização para continuar perguntando: “Como nossa cultura de segurança pode ser melhorada?”
Cultura de segurança em ambientes de TI
Diferentemente da TO, o reconhecimento da necessidade de tecnologias é bem definido em TI. Por exemplo, o inventário e a visibilidade de ativos são um conjunto de produtos de commodities para TI. Há muitos fornecedores de gerenciamento de ativos para escolher, e uma equipe de TI qualificada pode adotar essas ferramentas rapidamente. O processo de seleção de tecnologia pode ser influenciado por um processo centrado em TI. Podem ser encontradas mudanças culturais que melhor se ajustem à seleção de produtos complementares no lado OT.
Inventário de ativos, vulnerabilidade e gerenciamento de risco são mais desafiadores em OT devido à natureza da tecnologia e da topologia. O pessoal é tipicamente engenheiros que se especializam no processo e não necessariamente na ferramenta (sistemas) com a forma como eles interagem com as operações de moléculas em movimento. Os proprietários de ativos de TO têm um foco de missão diferente dos proprietários de TI e seu treinamento não inclui necessariamente segurança. A criação de uma cultura de segurança deve levar em conta essas diferentes mentalidades e usar táticas relacionáveis para mudar o comportamento.
Misturando culturas: TI e OT
Uma abordagem baseada em risco ajudará os profissionais de TI e OT ao padronizar as principais métricas como vida, saúde, segurança, sem mencionar o impacto na capacidade e eficiência de produção. Essa abordagem também deve incluir o tempo de inatividade máximo tolerável (MTD) e o tempo médio de recuperação (MTR).
Isso gerará respostas sobre por que os funcionários devem se preocupar com a segurança. As organizações vão querer dar à equipe coletiva uma chance de sucesso. Ao observar os processos de negócios para atribuir tarefas entre grupos, mudanças sutis podem se tornar aparentes quando vistas através de lentes de segurança. Embora a propriedade do sistema deva permanecer bifurcada devido a necessidades inerentes e orientadas operacionalmente, as equipes de TI/segurança/TO devem trabalhar em sintonia para lidar com vulnerabilidades críticas, possíveis eventos de segurança e resposta/recuperação de incidentes. Rapidez e eficiência são fundamentais.
Esses são apenas dois aspectos da criação de uma cultura de segurança, mas servem como um excelente exemplo de por que há mais na mudança de comportamento do que o simples compartilhamento de informações. A criação de uma cultura de segurança é vital para qualquer organização para aumentar os investimentos em tecnologia de segurança, mas é indispensável para a sobrevivência de um operador de TO no processo acelerado de resposta a violações.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
