Nowoczesne organizacje coraz więcej inwestują w narzędzia zwiększające elastyczność, wspierające zespoły i wykorzystujące większą elastyczność, jaką zapewnia im technologia. Jednak jest ich za mało inwestowanie w wymagane bezpieczeństwo i edukację jeśli mają jak najlepiej wykorzystać te technologie bez narażania zasobów informacyjnych swojej organizacji lub swoich partnerów w łańcuchu dostaw – w górę i w dół.
Zawsze było dla mnie rozczarowaniem, że ilekroć mówiłem o ryzyku, jakie technologia stwarza dla biznesu, zakładano, że z definicji jestem przeciwny technologii – nic bardziej mylnego. Uważam jednak, że nie ma sposobu na zrzeczenie się odpowiedzialności organizacji, jeśli chodzi o zapewnienie bezpieczeństwa lub kwestie ochrony danych, na rzecz technologii.
Doświadczenie nauczyło mnie, że gdy organizacje kierują się ku technologii, aby rozwiązać szereg problemów, tak jak powinny, nie kierują się nigdzie w pobliżu wystarczających zasobów, aby chronić się przed niezamierzonymi konsekwencjami lub przed słabo poinformowanymi użytkownikami tej technologii, w wielu przypadkach nawet nie szkolimy użytkowników w zakresie podstawowego korzystania z niego, nie mówiąc już o bezpiecznym i bezpiecznym korzystaniu z niego.
Teraz, gdy zbudowaliśmy coraz więcej technologii, które umożliwiają nam łatwiejsze i prostsze łączenie się, zagrożenia, o których mówię, szybko się dostosowały i wykorzystały. Zbyt często wymagana jest reakcja reaktywna, w przypadku organizacji łagodzących ryzyko w ramach inżynierii wstecznej, gdy ryzyko stało się widoczne, a często po wystąpieniu naruszeń danych.
Jeśli spojrzymy na najnowsze dostępne dane z Biura Rzecznika Informacji (ICO) widzimy, że prawie trzy czwarte naruszeń w trzecim kwartale 2021 r. było spowodowanych incydentami niecyberycznymi, takimi jak wysłanie wiadomości e-mail do niewłaściwej osoby. Spośród pozostałych 25%, pięć głównych przyczyn to phishing (bez niespodzianek), oprogramowanie ransomware (znowu nie jest to szok) oraz błędna konfiguracja oprogramowania lub sprzętu. To mówi o pospiesznym wdrażaniu, ogólnych zasadach i zmianach w środowisku pracy i narzędziach. Krótko mówiąc, brak solidnego zarządzania ryzykiem.
Wiemy, że w ciągu ostatnich kilku lat naruszenia przez strony trzecie trafiały na nagłówki gazet. Nie tylko nie widać w tym żadnych oznak zmian, ale ponieważ nadal pracujemy w stylu zdalnym i hybrydowym, skutki słabej implementacji technologii i słabego zarządzania ryzykiem bezpieczeństwa mogą potencjalnie narazić więcej organizacji na wzajemne ryzyko. A aż za dobrze wiemy, jak szybko wykorzystywane są obecnie powiązania między partnerami łańcucha dostaw.
Reklama
Innymi słowy, jeśli chodzi o słabe zabezpieczenia, stawka jest teraz znacznie większa niż własna organizacja. Około 51% organizacji zostało włamanych z powodu strony trzeciej w ciągu ostatnich 12 miesięcy, a 75% z tego wynikało z tego, że strony trzecie miały zbyt duży uprzywilejowany dostęp.
Organizacje muszą być bardziej połączone, a zarządzanie ryzykiem musi być znacznie lepiej poinformowane. Zbyt mało ocen ryzyka zaczyna się od szczegółowego, dobrze poinformowana ocena zagrożeńco oznacza, że leczenie ryzyka jest często wadliwe.
Zakładając, że dla każdego obszaru biznesowego, w którym rozważana jest nowa platforma lub technologia, przeprowadzono skuteczną i dobrze poinformowaną ocenę ryzyka, wówczas sposób, w jaki każdy zespół lub obszar musi korzystać z tego narzędzia, powinien zostać zidentyfikowany, zdefiniowany przez biznes i raz uzgodnione i ułatwione przez bezpieczeństwo.
„Zbyt mało ocen ryzyka zaczyna się od szczegółowej, opartej na rzetelnych informacjach oceny zagrożenia, co oznacza, że leczenie ryzyka jest często wadliwe”
Mike Gillespie, komunikator adwentowy
Zapewnienie równowagi między doświadczeniem i możliwościami użytkowników a potrzebami bezpieczeństwa, a następnie powiązanie ich z poziomem bezpieczeństwa oznacza, że użytkownicy nie będą musieli obejść nadmiernie rygorystycznych środków bezpieczeństwa, które uniemożliwiają im korzystanie z nich w sposób, w jaki jest to konieczne w ich roli. Będzie to odpowiednie i proporcjonalne do ich roli, a nie ogólny poziom bezpieczeństwa dla wszystkich.
Zapewnienie konsultacji z zespołami ds. bezpieczeństwa IT w ramach każdego zamówienia i późniejszego wdrożenia ma kluczowe znaczenie. Powinny być również częścią edukacji i szkoleń, które powinny odbywać się w ramach orientacji na użytkownika.
Ludzie – ich zachowania, postawy i przekonania – mają fundamentalne znaczenie dla zapewnienia właściwego bezpieczeństwa. W związku z tym edukacja technologiczna jest tylko częścią rozwiązania, a organizacje powinny mobilizować swoich prawdziwych ekspertów do pomocy w szerszej edukacji, świadomości i szkoleniach – ludzie zajmujący się komunikacją, marketingiem i PR mają zwykle znacznie lepsze zrozumienie tego, co motywuje ludzi i co prawdopodobnie odniesie sukces w zmianie zachowania, więc korzystaj z nich.
Tam, gdzie jest to właściwe i osiągalne, czy sieci o różnych potrzebach bezpieczeństwa lub różnych poziomach wrażliwości są segregowane? Jeśli zdarzy się najgorsze i zły aktor znajdzie drogę do twojej sieci, czy są w stanie łatwo i szybko przejść przez nią? Upewnienie się, że obszary są posegregowane, oznacza, że będzie to trudniejsze i możesz bardziej odpowiednio ułożyć zabezpieczenia w obszarach wrażliwych i wokół tych, którzy mają uprzywilejowany dostęp do zasobów.
Nic nie sprawia, że organizacja jest lepiej przygotowana niż dobra inteligencja. Skoro większość naszych wyłomów pochodzi od wewnątrz, a przynajmniej jest ułatwiana od wewnątrz, to dlaczego tak wiele naszego skanowania horyzontów i zbierania danych wywiadowczych skupia się na zewnątrz?
Dobra jakość, brak winy, zgłaszanie sytuacji, w których dochodzi do chybienia, jest nieocenione jako narzędzie wywiadowcze. Umożliwi Ci zidentyfikowanie wczesnych ostrzeżeń i wskaźników subtelnych zmian zachowań, odchyleń od polityki lub pobłażliwych praktyk bezpieczeństwa, a także umożliwi ukierunkowanie edukacji na stłumienie tego w zarodku.
W końcu można to nazwać bezpieczeństwem informacji, zapewnieniem informacji lub cyberbezpieczeństwem. Cokolwiek ci pasuje. Ale jakkolwiek to nazwiesz, nigdy, przenigdy nie zapomnij o ludziach, ludziach.
Sharkoon Technologies to międzynarodowy dostawca wysokiej jakości komponentów komputerowych i urządzeń peryferyjnych o wysokiej wydajności. Teraz, wraz ze...
Stowarzyszenie JEDEC Solid State Technology Association, światowy lider w opracowywaniu standardów dla branży mikroelektroniki, ogłosiło dzisiaj publikację standardu JESD79-5C...
Firma Samsung Electronics Co., Ltd., światowy lider w dziedzinie zaawansowanej technologii pamięci, ogłosiła dzisiaj rozpoczęcie masowej produkcji swojej pionowej...
Sharkoon Technologies to międzynarodowy dostawca wysokiej jakości komponentów komputerowych i urządzeń peryferyjnych o wysokiej wydajności. Teraz, wraz ze SKILLER SGH10, Sharkoon przedstawia...
Stowarzyszenie JEDEC Solid State Technology Association, światowy lider w opracowywaniu standardów dla branży mikroelektroniki, ogłosiło dzisiaj publikację standardu JESD79-5C DDR5 SDRAM. Ta...
Firma Samsung Electronics Co., Ltd., światowy lider w dziedzinie zaawansowanej technologii pamięci, ogłosiła dzisiaj rozpoczęcie masowej produkcji swojej pionowej pamięci NAND (V-NAND) dziewiątej...
