วัฒนธรรมความปลอดภัย: เรื่องราวการเอาชีวิตรอด

สมาชิกส่วนใหญ่ของชุมชนการรักษาความปลอดภัยรับทราบถึงความจำเป็นในการปรับปรุงวัฒนธรรมการรักษาความปลอดภัย ซึ่งหมายถึงการรับรู้ขององค์กรอย่างเป็นระบบ การวัดผล และการตรวจสอบเพื่อปรับปรุงความปลอดภัยทางไซเบอร์เพื่อลดความเสี่ยงโดยรวม แค่มองดู คำปราศรัย Black Hat USA 2022 ของ Kim Zetterซึ่งเรียกร้องให้มีการปรับปรุงความปลอดภัยที่สำคัญตลอดโครงสร้างพื้นฐานที่สำคัญ

หลายครั้ง อุปสรรคต่อการรักษาความปลอดภัยที่มีประสิทธิผลไม่จำเป็นต้องเป็นเรื่องทางเทคนิค แต่เป็นประเด็นทางวัฒนธรรม หลายๆ คนมักเข้าใจผิดว่าการให้ความรู้และการฝึกอบรมแก่ผู้ใช้ถือเป็นเรื่องเข้าใจผิด การสร้างวัฒนธรรมความมั่นคง. การให้ความรู้แก่ผู้ใช้เป็นเรื่องเกี่ยวกับการแบ่งปันข้อมูลเกี่ยวกับปัญหาและภาระผูกพัน ในขณะที่วัฒนธรรมการรักษาความปลอดภัยเป็นเรื่องเกี่ยวกับการเปลี่ยนแปลงพฤติกรรมเพื่อสนับสนุนการรักษาความปลอดภัย

การสร้างวัฒนธรรมความปลอดภัยผ่านการตระหนักรู้ของผู้ใช้

แม้ว่าการรับรู้ของผู้ใช้และการสร้างวัฒนธรรมการรักษาความปลอดภัยเป็นแบบฝึกหัดที่แตกต่างกันโดยมีความท้าทายที่แตกต่างกัน แต่ก็มีความคล้ายคลึงเหมือนกัน: พวกเขาต้องการความสนใจและการสนับสนุนอย่างจริงจัง โดยที่ในใจ แบบฝึกหัดทั้งสองนี้ช่วยเสริมซึ่งกันและกันอย่างแท้จริง

พิจารณาสิ่งนี้: แม้ว่าจะมีการถกเถียงกันมากมายเกี่ยวกับโครงสร้างการรายงานของ CISO การสนับสนุนที่จำเป็นสำหรับการขับเคลื่อนวัฒนธรรมความปลอดภัยไม่ได้ขึ้นอยู่กับลำดับชั้นนี้ ขึ้นอยู่กับการปรับเปลี่ยนพฤติกรรมของผู้ใช้ผ่านการดำเนินธุรกิจที่ยอมรับโดยทั่วไป การปรับเปลี่ยนกระบวนการทางธุรกิจแบบองค์รวมนี้เป็นเหตุว่าทำไมวัฒนธรรมการรักษาความปลอดภัยจึงต้องถูกขับเคลื่อนจากบนลงล่าง

การรับรู้ของผู้ใช้ควรถูกรวมเข้ากับเครื่องมือรักษาความปลอดภัยขององค์กรและเกิดขึ้นอย่างสม่ำเสมอเหมือนกับการค้นหาระบบเพื่อหาข้อบ่งชี้ของการประนีประนอม การรับรู้ของผู้ใช้ไม่ได้เข้ามาแทนที่ และไม่เหมือนกับการสร้างวัฒนธรรมความปลอดภัย — แต่เป็นองค์ประกอบที่จำเป็นของวัฒนธรรมความปลอดภัยที่มีประสิทธิภาพใดๆ

ขึ้นเรือ

ความเป็นเจ้าของและการสนับสนุนในการสร้างวัฒนธรรมการรักษาความปลอดภัยต้องขับเคลื่อนในระดับคณะกรรมการ เนื่องจากในขณะที่การแสวงประโยชน์และการโจมตีจำนวนมากนั้นไม่ได้มากไปกว่าการแจ้งเตือนด้านความปลอดภัยอีกรายการที่ต้องจัดการ เมื่อฝ่ายตรงข้ามที่มีทักษะเข้ามาเกี่ยวข้อง ความเสี่ยงที่ร้ายแรงก็เกิดขึ้น อย่างที่ฉันพูดเสมอ: ระบบแฮ็คมือสมัครเล่น; มืออาชีพแฮ็คคน การแฮ็กมนุษย์ในฐานะความเสี่ยงด้านความปลอดภัยนั้นให้ผลสำเร็จสูง และอยู่เหนือการป้องกันทางเทคโนโลยี

เคล็ดลับคือการปกป้องผู้ปฏิบัติงานที่เป็นมนุษย์จากหลุมพรางของธรรมชาติของมนุษย์โดยการควบคุมและกำหนดพฤติกรรม ซึ่งมักต้องใช้ความคิดเชิงวิพากษ์เกี่ยวกับการดำเนินธุรกิจที่ฝังแน่น การสนับสนุนให้เกิดการเปลี่ยนแปลงที่จำเป็นจะขึ้นอยู่กับอิทธิพลจากบนลงล่างเป็นอย่างมาก

วัฒนธรรมความปลอดภัยในสภาพแวดล้อม OT

สภาพแวดล้อม OT ต้องแบกรับความท้าทายที่สำคัญยิ่งกว่าในการตรวจสอบและปลูกฝังวัฒนธรรมการรักษาความปลอดภัย ผู้ใช้ทางธุรกิจไม่เพียงแต่มีบทบาทสำคัญเท่านั้น แต่วิศวกร OT ก็มีความสำคัญในการป้องกันและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยด้วยเช่นกัน

ความสัมพันธ์ระหว่างไอทีกับ OT เป็นที่ที่การสร้างวัฒนธรรมการรักษาความปลอดภัยแบบองค์รวมจะต้องได้รับการสนับสนุนจากบนลงล่างเพื่อดูกระบวนการทางธุรกิจและการดำเนินงานโดยรวมในเชิงวิพากษ์ สิ่งต่าง ๆ ที่สามารถทำให้ความพยายามอย่างจริงจังที่สุดในการเพิ่มความพยายามด้านความปลอดภัยอาจไม่สงสัยเท่ากระบวนการบัญชีสำหรับการใช้งบประมาณในแต่ละสถานที่หรือการรับรู้ถึงความเป็นเจ้าของในการรักษาความปลอดภัย

แม้ว่าตัวอย่างเหล่านี้เป็นเพียงส่วนเล็กๆ ของภูเขาน้ำแข็ง สิ่งสำคัญคือต้องสร้างโปรแกรมปรับปรุงกระบวนการแบบองค์รวมและต่อเนื่องภายในองค์กรเพื่อถามต่อไปว่า "วัฒนธรรมการรักษาความปลอดภัยของเราจะดีขึ้นได้อย่างไร"

วัฒนธรรมความปลอดภัยในสภาพแวดล้อมไอที

ต่างจาก OT ตรงที่การรับรู้ถึงความต้องการเทคโนโลยีนั้นถูกกำหนดไว้อย่างดีในด้านไอที ตัวอย่างเช่น สินค้าคงคลังและการมองเห็นสินทรัพย์คือชุดผลิตภัณฑ์โภคภัณฑ์สำหรับไอที มีผู้จำหน่ายการจัดการสินทรัพย์จำนวนมากให้เลือก และทีมไอทีที่มีทักษะสามารถนำเครื่องมือเหล่านี้ไปใช้ได้อย่างรวดเร็ว กระบวนการคัดเลือกเทคโนโลยีอาจได้รับอิทธิพลจากกระบวนการที่เน้นไอทีเป็นหลัก อาจพบการเปลี่ยนแปลงทางวัฒนธรรมที่เหมาะสมกับการเลือก สินค้าเสริมด้าน OT.

สินค้าคงคลัง ความเปราะบาง และการจัดการความเสี่ยงเป็นสิ่งที่ท้าทายมากขึ้นใน OT เนื่องจากธรรมชาติของเทคโนโลยีและโทโพโลยี โดยทั่วไปแล้วบุคลากรจะเป็นวิศวกรที่เชี่ยวชาญในกระบวนการและไม่จำเป็นต้องเป็นเครื่องมือ (ระบบ) กับวิธีที่พวกเขาโต้ตอบกับการทำงานของโมเลกุลที่เคลื่อนที่ เจ้าของทรัพย์สิน OT มีภารกิจที่แตกต่างจากเจ้าของไอที ​​และการฝึกอบรมไม่จำเป็นต้องรวมถึงการรักษาความปลอดภัย การสร้างวัฒนธรรมการรักษาความปลอดภัยต้องคำนึงถึงความคิดที่แตกต่างกันเหล่านี้ และใช้กลยุทธ์ที่เกี่ยวข้องเพื่อเปลี่ยนพฤติกรรม

การผสมผสานวัฒนธรรม: IT และ OT

แนวทางที่อิงตามความเสี่ยงจะช่วยผู้เชี่ยวชาญด้านไอทีและ OT โดยกำหนดมาตรฐานตัวชี้วัด เช่น ชีวิต สุขภาพ ความปลอดภัย โดยไม่ต้องพูดถึงผลกระทบต่อกำลังการผลิตและประสิทธิภาพ แนวทางนี้ควรรวมถึงเวลาหยุดทำงานสูงสุดที่ยอมรับได้ (MTD) และเวลาเฉลี่ยในการกู้คืน (MTR)

สิ่งนี้จะช่วยขับเคลื่อนคำตอบว่าทำไมบุคลากรจึงควรใส่ใจเรื่องความปลอดภัย องค์กรต่างๆ ต้องการให้ทีมโดยรวมมีโอกาสประสบความสำเร็จ ขณะดูกระบวนการทางธุรกิจสำหรับการมอบหมายงานข้ามกลุ่ม การเปลี่ยนแปลงที่ละเอียดอ่อนอาจปรากฏขึ้นเมื่อมองผ่านเลนส์รักษาความปลอดภัย แม้ว่าความเป็นเจ้าของระบบจะต้องถูกแยกออกเป็นสองส่วนเนื่องจากความต้องการที่มาจากการทำงานโดยธรรมชาติ ทีมงาน IT/ความปลอดภัย/OT ทั้งหมดต้องทำงานในขั้นตอนล็อกเพื่อแก้ไขจุดอ่อนที่สำคัญ เหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น และการตอบสนอง/การกู้คืนเหตุการณ์ ความเร็วและประสิทธิภาพเป็นสิ่งสำคัญยิ่ง

นี่เป็นเพียงสองแง่มุมของการสร้างวัฒนธรรมความปลอดภัย แต่เป็นตัวอย่างที่ดีเยี่ยมว่าทำไมพฤติกรรมที่เปลี่ยนแปลงไปมากกว่าการแบ่งปันข้อมูลทั่วไป การสร้างวัฒนธรรมการรักษาความปลอดภัยมีความสำคัญต่อองค์กรใดๆ ในการเพิ่มการลงทุนด้านเทคโนโลยีความปลอดภัย แต่จำเป็นต่อการอยู่รอดของผู้ปฏิบัติงาน OT ในกระบวนการตอบสนองการละเมิดที่รวดเร็ว