Hầu hết các thành viên của cộng đồng bảo mật đều thừa nhận sự cần thiết của một nền văn hóa bảo mật được cải thiện - nghĩa là nhận thức, đo lường và giám sát của doanh nghiệp có hệ thống để cải thiện an ninh mạng nhằm giảm rủi ro tổng thể. Chỉ cần nhìn vào Bài phát biểu quan trọng của Black Hat USA 2022 của Kim Zetter, đã kêu gọi các cải tiến bảo mật quan trọng trên toàn bộ cơ sở hạ tầng quan trọng.
Nhiều khi, trở ngại đối với việc bảo mật hiệu quả không nhất thiết phải là kỹ thuật mà chính là vấn đề văn hóa. Nhiều người thường nhầm lẫn việc đánh đồng giáo dục và đào tạo của người dùng với tạo ra một nền văn hóa an ninh. Giáo dục người dùng là chia sẻ thông tin về các vấn đề và nghĩa vụ - trong khi văn hóa bảo mật là về những thay đổi hành vi để hỗ trợ bảo mật.
Xây dựng văn hóa bảo mật thông qua nhận thức của người dùng
Mặc dù nhận thức của người dùng và xây dựng văn hóa bảo mật là những bài tập khác nhau với những thách thức riêng biệt, chúng có chung một điểm chung: Họ yêu cầu sự quan tâm và hỗ trợ nghiêm túc. Với ý nghĩ đó, hai bài tập này thực sự bổ sung cho nhau.
Hãy xem xét điều này: Mặc dù có nhiều cuộc tranh luận về cấu trúc báo cáo CISO, nhưng sự hỗ trợ cần thiết để thúc đẩy văn hóa bảo mật không phụ thuộc vào hệ thống phân cấp này; nó phụ thuộc vào việc sửa đổi hành vi của người dùng thông qua các hoạt động kinh doanh được chấp nhận rộng rãi. Việc sửa đổi quy trình kinh doanh toàn diện này là lý do tại sao văn hóa bảo mật cần được thúc đẩy từ trên xuống.
Nhận thức của người dùng phải được đưa vào các công cụ bảo mật của tổ chức và diễn ra một cách nhất quán như việc tìm kiếm các dấu hiệu xâm phạm trong hệ thống. Nhận thức của người dùng không thay thế và không giống với việc tạo ra văn hóa bảo mật — đúng hơn, đó là một thành phần cần thiết của bất kỳ văn hóa bảo mật hiệu quả nào.
Lên tàu
Quyền sở hữu và hỗ trợ tạo ra văn hóa an ninh phải được thúc đẩy ở cấp hội đồng quản trị. Điều này là do trong khi nhiều vụ khai thác và tấn công không chỉ là một cảnh báo bảo mật khác để quản lý, nhưng khi một đối thủ lành nghề tham gia, rủi ro nghiêm trọng sẽ phát sinh. Như tôi luôn nói: Hệ thống hack nghiệp dư; chuyên gia hack người. Lấy cắp dữ liệu con người như một loại rủi ro bảo mật có khả năng thành công cao và vượt qua các biện pháp bảo vệ công nghệ.
Bí quyết là bảo vệ người vận hành khỏi cạm bẫy của bản chất con người bằng cách kiểm soát và điêu khắc hành vi. Điều này thường đòi hỏi những suy nghĩ phản biện về các phương thức kinh doanh đã ăn sâu. Việc hỗ trợ thực hiện những thay đổi cần thiết sẽ phụ thuộc rất nhiều vào ảnh hưởng từ trên xuống.
Văn hóa an ninh trong môi trường Cựu ước
Môi trường Cựu ước phải đối mặt với những thách thức thậm chí còn đáng kể hơn trong việc kiểm tra và trau dồi văn hóa an ninh của họ. Không chỉ người dùng doanh nghiệp đóng một vai trò không thể thiếu, mà các kỹ sư OT cũng đóng vai trò quan trọng không kém trong việc ngăn chặn và ứng phó với các sự kiện bảo mật.
Mối quan hệ giữa CNTT và Cựu ước là nơi mà việc tạo ra một nền văn hóa an ninh toàn diện sẽ cần sự hỗ trợ từ trên xuống để xem xét một cách nghiêm túc các quy trình hoạt động và kinh doanh tổng thể. Những thứ có thể đánh bại những nỗ lực nghiêm túc nhất nhằm tăng cường nỗ lực bảo mật có thể không đáng nghi ngờ như quy trình kế toán để áp dụng ngân sách trên các địa điểm riêng lẻ hoặc nhận thức về quyền sở hữu đối với bảo mật.
Mặc dù những ví dụ này chỉ là phần nổi của tảng băng trôi, nhưng điều quan trọng là phải tạo ra một chương trình cải tiến quy trình toàn diện và liên tục trong tổ chức để tiếp tục đặt câu hỏi “Làm cách nào để cải thiện văn hóa bảo mật của chúng ta?”
Văn hóa bảo mật trong môi trường CNTT
Không giống như OT, việc công nhận sự cần thiết của các công nghệ được xác định rõ ràng trong CNTT. Ví dụ: kiểm kê tài sản và khả năng hiển thị là một bộ sản phẩm hàng hóa cho CNTT. Có nhiều nhà cung cấp quản lý tài sản để bạn lựa chọn và đội ngũ CNTT có kỹ năng có thể nhanh chóng áp dụng các công cụ này. Quá trình lựa chọn công nghệ có thể bị ảnh hưởng bởi một quá trình lấy CNTT làm trung tâm. Có thể thấy những thay đổi về văn hóa sẽ phù hợp hơn với việc lựa chọn các sản phẩm bổ sung ở phía OT.
Kiểm kê tài sản, tính dễ bị tổn thương và quản lý rủi ro là thách thức hơn trong OT do bản chất của công nghệ và cấu trúc liên kết. Nhân viên thường là các kỹ sư chuyên về quy trình và không nhất thiết phải là công cụ (hệ thống) với cách họ tương tác với hoạt động của các phân tử chuyển động. Chủ sở hữu tài sản OT có trọng tâm sứ mệnh khác với chủ sở hữu CNTT và việc đào tạo của họ không nhất thiết phải bao gồm bảo mật. Việc tạo ra một nền văn hóa an ninh phải tính đến những suy nghĩ khác nhau này và sử dụng các chiến thuật phù hợp để thay đổi hành vi.
Kết hợp các nền văn hóa: CNTT và OT
Phương pháp tiếp cận dựa trên rủi ro sẽ giúp các chuyên gia CNTT và OT bằng cách tiêu chuẩn hóa các chỉ số chính như tuổi thọ, sức khỏe, an toàn, chưa kể đến tác động đến năng lực và hiệu quả sản xuất. Cách tiếp cận này cũng nên bao gồm thời gian ngừng hoạt động tối đa có thể chấp nhận được (MTD) và thời gian trung bình để phục hồi (MTR).
Điều này sẽ đưa ra câu trả lời cho lý do tại sao nhân viên nên quan tâm đến bảo mật. Các tổ chức sẽ muốn tạo cho tập thể một cơ hội thành công. Trong khi xem xét các quy trình kinh doanh để phân công nhiệm vụ giữa các nhóm, những thay đổi nhỏ có thể trở nên rõ ràng khi nhìn qua lăng kính an ninh. Trong khi quyền sở hữu hệ thống vẫn phải phân chia do các nhu cầu vốn có, được định hướng hoạt động, các nhóm CNTT / bảo mật / OT đều phải làm việc trong bước khóa để giải quyết các lỗ hổng nghiêm trọng, các sự kiện bảo mật tiềm ẩn và phản ứng / phục hồi sự cố. Tốc độ và hiệu quả là điều tối quan trọng.
Đây chỉ là hai khía cạnh của việc tạo ra văn hóa bảo mật nhưng lại là một ví dụ tuyệt vời về lý do tại sao cần phải thay đổi hành vi hơn là chia sẻ thông tin đơn giản. Tạo ra văn hóa bảo mật là điều quan trọng đối với bất kỳ tổ chức nào để tăng cường đầu tư vào công nghệ bảo mật nhưng không thể thiếu đối với sự tồn tại của nhà điều hành OT trong quá trình ứng phó vi phạm nhịp độ nhanh.
