Търсене
Close this search box.

10 важни задачи по сигурността, които не трябва да пропускате

Повечето от нас са се възползвали от грешките на другите. Макар че това може да звучи странно, то е много логично, когато се замислите. Тези от нас, които са имали късмета другите да споделят с нас грешките си и са достатъчно умни, за да усвоят и приложат тези уроци в живота си, се научават да не повтарят грешките им.

Например повечето от нас знаят, че не бива да купуват кола или жилище, без да са ги проверили. Очевидно е, че тази проверка отнема време и струва пари. Но ние знаем, че пропускането на тази важна стъпка може да отнеме много повече време и да струва много повече пари в последствие. Вероятно знаем това, защото сме чували кошмарни истории от хора, които са смятали, че ще спестят малко време и пари, като прескочат тази стъпка.

Ако четете нашите материали от известно време, няма да се изненадате, че смятаме, че можем да извлечем важен урок по отношение на сигурността от това. Какъв? Редица процеси, процедури, най-добри практики и инициативи в областта на сигурността изискват значителни инвестиции на време и пари. И все пак прескачането им е голяма грешка за екипите по сигурността.

Въпреки че списъкът не е изчерпателен, тук са представени 10 елемента, които изискват инвестиция на време и средства, но носят огромни дивиденти на екипите по сигурността.

1. Формализиране на политиката

Политиката не е секси или вълнуваща и отнема време, за да се оправи, но е необходима. Наличието на официална политика кодифицира правилата на играта в предприятието, когато става въпрос за сигурност. Политиката е важна основа за почти всичко, което прави една организация по сигурността. В края на краищата екипът по сигурността трябва да има добри отговори, когато му се задават въпроси от рода на: „Къде пише, че това не е позволено?“ или „Защо не мога да продължа да правя нещата по начина, по който винаги съм ги правил?“.

2. Разбиране на разпоредбите

Нормативните актове и спазването на тези актове са тромави. Въпреки това няма друг избор, освен да се усъвършенствате в него – рискът от глоби и други усложнения е просто твърде голям, за да не превърнете разбирането на нормативните актове в приоритет. Това важи в световен мащаб за всички приложими разпоредби във всички населени места, в които даден бизнес работи. Това не е най-лесната задача, но е важна.

3. Продължаване на курса

Макар че е трудно да се запази посоката и да се изпълняват стратегически инициативи въпреки тактическите разсейвания, които могат да възникнат, това е от съществено значение за успешната програма за сигурност. Нашите стратегически инициативи, ако са разработени правилно, гарантират, че ще намалим риска, който е приоритизиран, и ще останем на правилния път, за да постигнем целите си и да подобрим състоянието на сигурността. Колкото и изкушаващи да са тактическите разсейвания, те най-често пречат на стратегическите ни усилия за намаляване на риска – като по този начин по същество понижават състоянието на сигурността на предприятието. Издържането на курса изисква енергия и решителност, но е важно.

4. Подхранване на взаимоотношенията

Като лидери в областта на сигурността нашите взаимоотношения с ключови заинтересовани страни в предприятието, ръководители, членове на управителния съвет и други са изключително важни. Изграждането и подхранването на тези взаимоотношения отнема време – време, което иначе бихме искали да изразходваме за други задачи. Въпреки това това са важни взаимоотношения, които заслужават да се инвестира време. Това са партньорите, които ще ни помогнат да подобрим състоянието на сигурността в нашите организации.

5. Архитектура за бъдещето

Не е лесно да се отчетат различните възможности, които могат да възникнат в бъдеще. Въпреки това си заслужава да отделите време и енергия. Помислете за схема на база данни – ако я архитектурираме само за данните, с които разполагаме днес, може да се окажем в главоблъсканица в бъдеще, когато искаме да включим допълнителни данни в работния процес и процесите си. Тогава ще се наложи да препроектираме или да се откажем от решения, които не са били архитектурно разработени за бъдещето, което в дългосрочен план отнема повече време, отколкото да го направим правилно от самото начало.

6. Устойчивост на бързата корекция

Когато се справяме с предизвикателство, може да е твърде примамливо да въведем бързо решение. Например, може да е изкушаващо да се напише бърз скрипт за преместване на данни, вместо да се използва официален процес на извличане, преобразуване и зареждане (ETL). Въпреки това вероятността едно повтарящо се решение да може да се използва повторно е голяма, докато решенията тип „бандаж“ обикновено трябва да се пренаписват навсякъде, където се прилагат. Поддръжката на решенията тип „бандерол“ често се превръща и в голямо главоболие за организациите.

7. Прилагане на полезни обучения

Правилното обучение на персонала изисква бюджет за обучение и време, отделено от други важни задачи. Инвестицията си заслужава по няколко причини. Професионалистите по сигурността, които непрекъснато разширяват и подобряват своите знания и умения, е по-малко вероятно да напуснат за по-зелени пасища. Добре обученият персонал също така работи по-добре. Това оказва пряко влияние върху ефективността на организацията по сигурността, която от своя страна влияе пряко върху състоянието на сигурността на предприятието.

8. Създаване на подходяща документация

Не мисля, че някога сме срещали професионалист в областта на сигурността, който да обича документацията. Тя със сигурност отнема много време и може да бъде досадна. Независимо от това, когато дойде време да се разбере как да се направи нещо, документацията е естественият начин да се направи. Освен това наличието на добре документирани процеси и процедури също така предоставя възможност да се покаже на заинтересованите страни в бизнеса как точно работят определени неща под капака.

9. Улавяне на научените уроци

Документирането на научените уроци по начин, по който те могат да бъдат използвани в бъдеще, изисква усилия. Това е усилие, което обаче носи дивиденти, тъй като само като се учат от миналото, организациите за сигурност могат наистина да се подобрят с течение на времето. Като пример, разгледайте високопрофилен инцидент със сигурността, който е разкрил някои пропуски и възможности за подобрение в програмата за сигурност. Вместо да ги прикривате, педантично да преминете през всяка значима точка и да я уловите, това носи огромни дивиденти. Отделянето на време за подробно записване на поуките в момента на тяхното възникване се отплаща по-късно.

10. Прилагане на научените уроци

Може да се окаже трудно да прегледате научените уроци и да разберете как да ги приложите за подобряване на състоянието на сигурността. Това обаче си заслужава времето и парите, тъй като е начин за пряко намаляване на риска. Допуснатите грешки и извлечените от тях поуки дават представа за това къде в миналото рискът е бил управляван неправилно. Това е една от най-големите цели за подобрение, която има едно от най-големите въздействия върху цялостната позиция по отношение на сигурността.

Инвестирайте времето си разумно

Въпреки че е изкушаващо да прескачаме важни неща, за да пестим време или пари, това не е разумно. Най-добрите организации в областта на сигурността разбират необходимостта да инвестират във важни процеси, процедури, най-добри практики и инициативи. Историята е показала, че подобни инвестиции водят до значително подобряване на цялостната позиция по отношение на сигурността на предприятието.

Източник: DARKReading

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
Бъдете социални
Още по темата
23/02/2024

"Secure by Design" нараства...

ISC2 – водещата световна организация с...
19/02/2024

Овладейте многооблачността ...

Постигнете скорост и надеждност на интернет,...
09/02/2024

Мрежата за гости

Wi-Fi за гости се отнася до...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!