Большинство членов сообщества безопасности признают необходимость улучшения культуры безопасности, что означает системную корпоративную осведомленность, измерение и мониторинг для улучшения кибербезопасности для снижения общего риска. Просто посмотри Основной доклад Ким Зеттер Black Hat USA 2022, что потребовало значительных улучшений безопасности во всей критически важной инфраструктуре.
Во многих случаях препятствием для эффективной безопасности является не обязательно техническая, а скорее культурная проблема. Многие часто ошибочно отождествляют обучение и подготовку пользователей с создание культуры безопасности. Обучение пользователей — это обмен информацией по вопросам и обязательствам, тогда как культура безопасности — это изменение поведения в поддержку безопасности.
Формирование культуры безопасности посредством информирования пользователей
Хотя осведомленность пользователей и построение культуры безопасности — это разные упражнения с разными задачами, их объединяет одно общее.: Они требуют серьезного внимания и поддержки. Имея это в виду, эти два упражнения фактически дополняют друг друга.
Учтите следующее: несмотря на то, что существует много споров о структурах отчетности CISO, поддержка, необходимая для развития культуры безопасности, не зависит от этой иерархии; это зависит от изменения поведения пользователя посредством общепринятых бизнес-операций. Это целостное изменение бизнес-процессов является причиной того, что культура безопасности должна управляться сверху вниз.
Осведомленность пользователей должна быть встроена в инструменты безопасности организации и осуществляться так же последовательно, как поиск в системах признаков компрометации. Осведомленность пользователей не заменяет создание культуры безопасности и не равнозначна ему — скорее, это необходимый компонент любой эффективной культуры безопасности.
Попасть на борт
Ответственность и поддержка создания культуры безопасности должны осуществляться на уровне совета директоров. Это связано с тем, что, хотя многие эксплойты и атаки являются не более чем очередным предупреждением о безопасности, когда в дело вмешивается опытный злоумышленник, возникают серьезные риски. Как я всегда говорю: любители взламывают системы; профессионалы взламывают людей. Взлом человека как категории риска безопасности имеет высокий выход успеха и выходит за рамки технических гарантий.
Хитрость заключается в том, чтобы защитить человека-оператора от ловушек человеческой природы, контролируя и моделируя поведение. Это часто требует критического осмысления укоренившейся деловой практики. Поддержка реализации необходимых изменений будет в значительной степени зависеть от влияния сверху вниз.
Культура безопасности в средах OT
Среды OT сталкиваются с еще более серьезными проблемами при изучении и развитии своей культуры безопасности. Неотъемлемую роль играют не только бизнес-пользователи, но и инженеры OT, которые не менее важны для предотвращения событий безопасности и реагирования на них.
Отношения между ИТ и ОТ Именно здесь для создания целостной культуры безопасности потребуется поддержка сверху вниз, чтобы критически взглянуть на общие бизнес-процессы и операционные процессы. Вещи, которые могут подорвать самые искренние попытки укрепить усилия по обеспечению безопасности, могут быть столь же ничего не подозревающими, как процесс учета для применения бюджетов в отдельных местах или восприятие ответственности за безопасность.
Хотя эти примеры являются верхушкой айсберга, важно создать целостную и непрерывную программу улучшения процессов внутри организации, чтобы продолжать задаваться вопросом: «Как можно улучшить нашу культуру безопасности?»
Культура безопасности в ИТ-среде
В отличие от ОТ, в ИТ осознание потребности в технологиях четко определено. Например, инвентаризация и видимость активов — это стандартный набор продуктов для ИТ. Существует множество поставщиков услуг по управлению активами, и квалифицированная ИТ-команда может быстро освоить эти инструменты. На процесс выбора технологии может повлиять процесс, ориентированный на ИТ. Могут быть обнаружены культурные изменения, которые лучше соответствовали бы выбору дополнительные продукты на стороне OT.
Инвентаризация активов, уязвимости и управление рисками являются более сложными в OT из-за характера технологии и топологии. Персонал, как правило, инженеры, которые специализируются на процессах, а не обязательно на инструментах (системах), в том, как они взаимодействуют с операциями движущихся молекул. Владельцы активов OT имеют другую направленность миссии, чем владельцы ИТ, и их обучение не обязательно включает безопасность. При создании культуры безопасности необходимо учитывать эти различные образы мышления и использовать соответствующие тактики для изменения поведения.
Смешение культур: ИТ и ОТ
Подход, основанный на оценке риска, поможет специалистам в области ИТ и ОТ путем стандартизации ключевых показателей, таких как жизнь, здоровье, безопасность, не говоря уже о влиянии на производственные мощности и эффективность. Этот подход также должен включать максимально допустимое время простоя (MTD) и среднее время восстановления (MTR).
Это даст ответы на вопрос, почему персонал должен заботиться о безопасности. Организации захотят дать коллективной команде шанс на успех. При рассмотрении бизнес-процессов для распределения задач между группами тонкие изменения могут стать очевидными, если рассматривать их через призму безопасности. В то время как владение системой должно оставаться раздвоенным из-за неотъемлемых, обусловленных операционными потребностями, группы ИТ/безопасности/ОТ должны работать синхронно для устранения критических уязвимостей, потенциальных событий безопасности и реагирования/восстановления инцидентов. Скорость и эффективность имеют первостепенное значение.
Это только два аспекта создания культуры безопасности, но они служат прекрасным примером того, почему изменение поведения — это нечто большее, чем просто обмен информацией. Создание культуры безопасности жизненно важно для любой организации, чтобы увеличить инвестиции в технологии безопасности, но необходимо для выживания оператора OT в быстро меняющемся процессе реагирования на нарушения.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
