Повечето от нас са се възползвали от грешките на другите. Макар че това може да звучи странно, то е много логично, когато се замислите. Тези от нас, които са имали късмета другите да споделят с нас грешките си и са достатъчно умни, за да усвоят и приложат тези уроци в живота си, се научават да не повтарят грешките им.

Например повечето от нас знаят, че не бива да купуват кола или жилище, без да са ги проверили. Очевидно е, че тази проверка отнема време и струва пари. Но ние знаем, че пропускането на тази важна стъпка може да отнеме много повече време и да струва много повече пари в последствие. Вероятно знаем това, защото сме чували кошмарни истории от хора, които са смятали, че ще спестят малко време и пари, като прескочат тази стъпка.

Ако четете нашите материали от известно време, няма да се изненадате, че смятаме, че можем да извлечем важен урок по отношение на сигурността от това. Какъв? Редица процеси, процедури, най-добри практики и инициативи в областта на сигурността изискват значителни инвестиции на време и пари. И все пак прескачането им е голяма грешка за екипите по сигурността.

Въпреки че списъкът не е изчерпателен, тук са представени 10 елемента, които изискват инвестиция на време и средства, но носят огромни дивиденти на екипите по сигурността.

1. Формализиране на политиката

Политиката не е секси или вълнуваща и отнема време, за да се оправи, но е необходима. Наличието на официална политика кодифицира правилата на играта в предприятието, когато става въпрос за сигурност. Политиката е важна основа за почти всичко, което прави една организация по сигурността. В края на краищата екипът по сигурността трябва да има добри отговори, когато му се задават въпроси от рода на: „Къде пише, че това не е позволено?“ или „Защо не мога да продължа да правя нещата по начина, по който винаги съм ги правил?“.

2. Разбиране на разпоредбите

Нормативните актове и спазването на тези актове са тромави. Въпреки това няма друг избор, освен да се усъвършенствате в него – рискът от глоби и други усложнения е просто твърде голям, за да не превърнете разбирането на нормативните актове в приоритет. Това важи в световен мащаб за всички приложими разпоредби във всички населени места, в които даден бизнес работи. Това не е най-лесната задача, но е важна.

3. Продължаване на курса

Макар че е трудно да се запази посоката и да се изпълняват стратегически инициативи въпреки тактическите разсейвания, които могат да възникнат, това е от съществено значение за успешната програма за сигурност. Нашите стратегически инициативи, ако са разработени правилно, гарантират, че ще намалим риска, който е приоритизиран, и ще останем на правилния път, за да постигнем целите си и да подобрим състоянието на сигурността. Колкото и изкушаващи да са тактическите разсейвания, те най-често пречат на стратегическите ни усилия за намаляване на риска – като по този начин по същество понижават състоянието на сигурността на предприятието. Издържането на курса изисква енергия и решителност, но е важно.

4. Подхранване на взаимоотношенията

Като лидери в областта на сигурността нашите взаимоотношения с ключови заинтересовани страни в предприятието, ръководители, членове на управителния съвет и други са изключително важни. Изграждането и подхранването на тези взаимоотношения отнема време – време, което иначе бихме искали да изразходваме за други задачи. Въпреки това това са важни взаимоотношения, които заслужават да се инвестира време. Това са партньорите, които ще ни помогнат да подобрим състоянието на сигурността в нашите организации.

5. Архитектура за бъдещето

Не е лесно да се отчетат различните възможности, които могат да възникнат в бъдеще. Въпреки това си заслужава да отделите време и енергия. Помислете за схема на база данни – ако я архитектурираме само за данните, с които разполагаме днес, може да се окажем в главоблъсканица в бъдеще, когато искаме да включим допълнителни данни в работния процес и процесите си. Тогава ще се наложи да препроектираме или да се откажем от решения, които не са били архитектурно разработени за бъдещето, което в дългосрочен план отнема повече време, отколкото да го направим правилно от самото начало.

6. Устойчивост на бързата корекция

Когато се справяме с предизвикателство, може да е твърде примамливо да въведем бързо решение. Например, може да е изкушаващо да се напише бърз скрипт за преместване на данни, вместо да се използва официален процес на извличане, преобразуване и зареждане (ETL). Въпреки това вероятността едно повтарящо се решение да може да се използва повторно е голяма, докато решенията тип „бандаж“ обикновено трябва да се пренаписват навсякъде, където се прилагат. Поддръжката на решенията тип „бандерол“ често се превръща и в голямо главоболие за организациите.

7. Прилагане на полезни обучения

Правилното обучение на персонала изисква бюджет за обучение и време, отделено от други важни задачи. Инвестицията си заслужава по няколко причини. Професионалистите по сигурността, които непрекъснато разширяват и подобряват своите знания и умения, е по-малко вероятно да напуснат за по-зелени пасища. Добре обученият персонал също така работи по-добре. Това оказва пряко влияние върху ефективността на организацията по сигурността, която от своя страна влияе пряко върху състоянието на сигурността на предприятието.

8. Създаване на подходяща документация

Не мисля, че някога сме срещали професионалист в областта на сигурността, който да обича документацията. Тя със сигурност отнема много време и може да бъде досадна. Независимо от това, когато дойде време да се разбере как да се направи нещо, документацията е естественият начин да се направи. Освен това наличието на добре документирани процеси и процедури също така предоставя възможност да се покаже на заинтересованите страни в бизнеса как точно работят определени неща под капака.

9. Улавяне на научените уроци

Документирането на научените уроци по начин, по който те могат да бъдат използвани в бъдеще, изисква усилия. Това е усилие, което обаче носи дивиденти, тъй като само като се учат от миналото, организациите за сигурност могат наистина да се подобрят с течение на времето. Като пример, разгледайте високопрофилен инцидент със сигурността, който е разкрил някои пропуски и възможности за подобрение в програмата за сигурност. Вместо да ги прикривате, педантично да преминете през всяка значима точка и да я уловите, това носи огромни дивиденти. Отделянето на време за подробно записване на поуките в момента на тяхното възникване се отплаща по-късно.

10. Прилагане на научените уроци

Може да се окаже трудно да прегледате научените уроци и да разберете как да ги приложите за подобряване на състоянието на сигурността. Това обаче си заслужава времето и парите, тъй като е начин за пряко намаляване на риска. Допуснатите грешки и извлечените от тях поуки дават представа за това къде в миналото рискът е бил управляван неправилно. Това е една от най-големите цели за подобрение, която има едно от най-големите въздействия върху цялостната позиция по отношение на сигурността.

Инвестирайте времето си разумно

Въпреки че е изкушаващо да прескачаме важни неща, за да пестим време или пари, това не е разумно. Най-добрите организации в областта на сигурността разбират необходимостта да инвестират във важни процеси, процедури, най-добри практики и инициативи. Историята е показала, че подобни инвестиции водят до значително подобряване на цялостната позиция по отношение на сигурността на предприятието.

Източник: DARKReading

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
Бъдете социални
Още по темата
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
02/02/2025

Неврокогнитивно въздействие...

В свят, в който компютърно генерираните...
29/01/2025

#33 Cyber Security Talks Bu...

📣 Deepfake е технология, за която...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!