Znovuobjevte důvěru v kybernetickou bezpečnost

Poskytuje Kód42





Svět se během krátké doby dramaticky změnil – spolu s tím se změnil i svět práce. Nový hybridní svět práce na dálku a v kanceláři má důsledky pro technologie – konkrétně kybernetickou bezpečnost – a signalizuje, že je čas uznat, jak jsou lidé a technologie skutečně propojeni.

Umožnění rychle se rozvíjející kultury spolupráce založené na cloudu je pro rychle rostoucí společnosti zásadní, protože je umí inovovat, překonávat výkony a přechytračit své konkurenty. Dosažení této úrovně digitální rychlosti však přichází s rychle rostoucí výzvou v oblasti kybernetické bezpečnosti, která je často přehlížena nebo upřednostňována: vnitřní riziko , když člen týmu náhodně – nebo ne – sdílí data nebo soubory mimo důvěryhodné strany. Ignorování vnitřního spojení mezi produktivitou zaměstnanců a vnitřním rizikem může ovlivnit jak konkurenční pozici organizace, tak její konečný výsledek.



Nemůžete zacházet se zaměstnanci stejně jako s hackery z národních států

Vnitřní riziko zahrnuje jakoukoli událost vystavení údajům způsobenou uživateli – bezpečnost, dodržování předpisů nebo konkurenční charakter – která ohrožuje finanční, reputační nebo provozní blaho společnosti a jejích zaměstnanců, zákazníků a partnerů. Denně dochází k tisícům uživatelů řízených datových úniků a událostí exfiltrace, které pocházejí z náhodné chyby uživatele, nedbalosti zaměstnanců nebo zlomyslných uživatelů, kteří mají v úmyslu poškodit organizaci. Mnoho uživatelů vytváří vnitřní riziko náhodně, jednoduše rozhodováním na základě času a odměn, sdílením a spoluprací s cílem zvýšit svou produktivitu. Jiní uživatelé vytvářejí riziko z nedbalosti a někteří mají zlomyslné úmysly, jako např zaměstnanec krade firemní data přinést konkurentovi.

Z hlediska kybernetické bezpečnosti musí organizace přistupovat k vnitřním rizikům jinak než k externím hrozbám. U hrozeb, jako jsou hackeři, malware a aktéři národních hrozeb, je záměr jasný – je škodlivý. Ale záměr zaměstnanců vytvářet vnitřní riziko není vždy jasný – i když dopad je stejný. Zaměstnanci mohou data uniknout náhodně nebo z nedbalosti. Plné přijetí této pravdy vyžaduje změnu myšlení bezpečnostních týmů, které historicky operovaly s mentalitou bunkrů – v obležení zvenčí a držely své karty blízko vesty, aby nepřítel nezískal přehled o jejich obraně, kterou by proti nim mohl použít. Zaměstnanci nejsou protivníky bezpečnostního týmu nebo společnosti – ve skutečnosti by měli být považováni za spojence v boji proti vnitřnímu riziku.

Transparentnost podporuje důvěru: Budování základů pro školení

Všechny společnosti chtějí, aby jejich korunovační klenoty – zdrojový kód, návrhy produktů, seznamy zákazníků – neskončily ve špatných rukou. Představte si finanční, reputační a provozní riziko, které by mohlo pocházet z úniku důležitých dat před IPO, akvizicí nebo výdělkem. Zaměstnanci hrají klíčovou roli v prevenci úniků dat a existují dva zásadní prvky proměnit zaměstnance v zasvěcené rizikové spojence : transparentnost a školení.



Transparentnost může být v rozporu s kybernetickou bezpečností. Pro týmy kybernetické bezpečnosti, které pracují s nepřátelským myšlením vhodným pro vnější hrozby, může být náročné přistupovat k interním hrozbám odlišně. Transparentnost je především o budování důvěry na obou stranách. Zaměstnanci chtějí mít pocit, že jim jejich organizace důvěřuje, že data využívají moudře. Bezpečnostní týmy by měly vždy začínat na důvěryhodném místě, za předpokladu, že většina akcí zaměstnanců má pozitivní úmysl. Ale jak se říká v kybernetické bezpečnosti, je důležité důvěřovat, ale prověřovat.

Monitorování je kritickou součástí řízení vnitřního rizika a organizace by v tom měly být transparentní. CCTV kamery nejsou skryté na veřejných prostranstvích. Ve skutečnosti je často doprovází cedule oznamující sledování v oblasti. Vedení by mělo dát zaměstnancům jasně najevo, že jejich pohyb dat je monitorován – ale že je stále respektováno jejich soukromí. Mezi monitorovacími daty je velký rozdíl hnutí a čtení všech e-mailů zaměstnanců.

Transparentnost buduje důvěru – a díky tomuto základu se organizace může zaměřit na zmírnění rizik změnou chování uživatelů prostřednictvím školení. V současné době jsou programy bezpečnostního vzdělávání a osvěty okrajové. Školení o phishingu je pravděpodobně první věc, která vám přijde na mysl, vzhledem k úspěchu, který se mu podařilo pohnout jehlou a přimět zaměstnance, aby přemýšleli, než kliknou. Kromě phishingu neexistuje mnoho školení pro uživatele, aby pochopili, co přesně by měli a neměli dělat.



Pro začátek mnoho zaměstnanců ani neví, kde jejich organizace stojí. Jaké aplikace mohou používat? Jaká jsou pravidla zapojení pro tyto aplikace, pokud je chtějí používat ke sdílení souborů? Jaká data mohou používat? Mají na tato data nárok? Záleží vůbec organizaci? Týmy kybernetické bezpečnosti se potýkají se spoustou hluku, který vytvářejí zaměstnanci, kteří dělají věci, které by neměli. Co kdybyste mohli omezit ten hluk pouhým zodpovězením těchto otázek?

Školení zaměstnanci by měli být proaktivní a reagovat . Proaktivně, aby se změnilo chování zaměstnanců, by organizace měly poskytovat dlouhé i krátké moduly školení, které uživatelům poučí a připomenou nejlepší chování. Kromě toho by organizace měly reagovat přístupem mikroučení s využitím krátkých videí navržených tak, aby řešily velmi specifické situace. Bezpečnostní tým potřebuje vzít stránku z marketingu a zaměřit se na opakující se zprávy doručované správným lidem ve správný čas.

Kdysi obchodní lídři pochopit toto vnitřní riziko Pokud nejde jen o problém kybernetické bezpečnosti, ale o problém, který je úzce spjat s kulturou organizace a má významný dopad na podnikání, budou mít lepší pozici k tomu, aby inovovaly, předčily výkon a přechytračily své konkurenty. V dnešním hybridní vzdálený a kancelářský pracovní svět , lidský prvek, který existuje v technologii, nebyl nikdy tak významný. Proto je transparentnost a školení zásadní, aby data neunikly mimo organizaci.



Tento obsah vytvořil Code42. Nenapsala to redakce MIT Technology Review.

skrýt