Повечето от нас са се възползвали от грешките на другите. Макар че това може да звучи странно, то е много логично, когато се замислите. Тези от нас, които са имали късмета другите да споделят с нас грешките си и са достатъчно умни, за да усвоят и приложат тези уроци в живота си, се научават да не повтарят грешките им.
Например повечето от нас знаят, че не бива да купуват кола или жилище, без да са ги проверили. Очевидно е, че тази проверка отнема време и струва пари. Но ние знаем, че пропускането на тази важна стъпка може да отнеме много повече време и да струва много повече пари в последствие. Вероятно знаем това, защото сме чували кошмарни истории от хора, които са смятали, че ще спестят малко време и пари, като прескочат тази стъпка.
Ако четете нашите материали от известно време, няма да се изненадате, че смятаме, че можем да извлечем важен урок по отношение на сигурността от това. Какъв? Редица процеси, процедури, най-добри практики и инициативи в областта на сигурността изискват значителни инвестиции на време и пари. И все пак прескачането им е голяма грешка за екипите по сигурността.
Въпреки че списъкът не е изчерпателен, тук са представени 10 елемента, които изискват инвестиция на време и средства, но носят огромни дивиденти на екипите по сигурността.
Политиката не е секси или вълнуваща и отнема време, за да се оправи, но е необходима. Наличието на официална политика кодифицира правилата на играта в предприятието, когато става въпрос за сигурност. Политиката е важна основа за почти всичко, което прави една организация по сигурността. В края на краищата екипът по сигурността трябва да има добри отговори, когато му се задават въпроси от рода на: „Къде пише, че това не е позволено?“ или „Защо не мога да продължа да правя нещата по начина, по който винаги съм ги правил?“.
Нормативните актове и спазването на тези актове са тромави. Въпреки това няма друг избор, освен да се усъвършенствате в него – рискът от глоби и други усложнения е просто твърде голям, за да не превърнете разбирането на нормативните актове в приоритет. Това важи в световен мащаб за всички приложими разпоредби във всички населени места, в които даден бизнес работи. Това не е най-лесната задача, но е важна.
Макар че е трудно да се запази посоката и да се изпълняват стратегически инициативи въпреки тактическите разсейвания, които могат да възникнат, това е от съществено значение за успешната програма за сигурност. Нашите стратегически инициативи, ако са разработени правилно, гарантират, че ще намалим риска, който е приоритизиран, и ще останем на правилния път, за да постигнем целите си и да подобрим състоянието на сигурността. Колкото и изкушаващи да са тактическите разсейвания, те най-често пречат на стратегическите ни усилия за намаляване на риска – като по този начин по същество понижават състоянието на сигурността на предприятието. Издържането на курса изисква енергия и решителност, но е важно.
Като лидери в областта на сигурността нашите взаимоотношения с ключови заинтересовани страни в предприятието, ръководители, членове на управителния съвет и други са изключително важни. Изграждането и подхранването на тези взаимоотношения отнема време – време, което иначе бихме искали да изразходваме за други задачи. Въпреки това това са важни взаимоотношения, които заслужават да се инвестира време. Това са партньорите, които ще ни помогнат да подобрим състоянието на сигурността в нашите организации.
Не е лесно да се отчетат различните възможности, които могат да възникнат в бъдеще. Въпреки това си заслужава да отделите време и енергия. Помислете за схема на база данни – ако я архитектурираме само за данните, с които разполагаме днес, може да се окажем в главоблъсканица в бъдеще, когато искаме да включим допълнителни данни в работния процес и процесите си. Тогава ще се наложи да препроектираме или да се откажем от решения, които не са били архитектурно разработени за бъдещето, което в дългосрочен план отнема повече време, отколкото да го направим правилно от самото начало.
Когато се справяме с предизвикателство, може да е твърде примамливо да въведем бързо решение. Например, може да е изкушаващо да се напише бърз скрипт за преместване на данни, вместо да се използва официален процес на извличане, преобразуване и зареждане (ETL). Въпреки това вероятността едно повтарящо се решение да може да се използва повторно е голяма, докато решенията тип „бандаж“ обикновено трябва да се пренаписват навсякъде, където се прилагат. Поддръжката на решенията тип „бандерол“ често се превръща и в голямо главоболие за организациите.
Правилното обучение на персонала изисква бюджет за обучение и време, отделено от други важни задачи. Инвестицията си заслужава по няколко причини. Професионалистите по сигурността, които непрекъснато разширяват и подобряват своите знания и умения, е по-малко вероятно да напуснат за по-зелени пасища. Добре обученият персонал също така работи по-добре. Това оказва пряко влияние върху ефективността на организацията по сигурността, която от своя страна влияе пряко върху състоянието на сигурността на предприятието.
Не мисля, че някога сме срещали професионалист в областта на сигурността, който да обича документацията. Тя със сигурност отнема много време и може да бъде досадна. Независимо от това, когато дойде време да се разбере как да се направи нещо, документацията е естественият начин да се направи. Освен това наличието на добре документирани процеси и процедури също така предоставя възможност да се покаже на заинтересованите страни в бизнеса как точно работят определени неща под капака.
Документирането на научените уроци по начин, по който те могат да бъдат използвани в бъдеще, изисква усилия. Това е усилие, което обаче носи дивиденти, тъй като само като се учат от миналото, организациите за сигурност могат наистина да се подобрят с течение на времето. Като пример, разгледайте високопрофилен инцидент със сигурността, който е разкрил някои пропуски и възможности за подобрение в програмата за сигурност. Вместо да ги прикривате, педантично да преминете през всяка значима точка и да я уловите, това носи огромни дивиденти. Отделянето на време за подробно записване на поуките в момента на тяхното възникване се отплаща по-късно.
Може да се окаже трудно да прегледате научените уроци и да разберете как да ги приложите за подобряване на състоянието на сигурността. Това обаче си заслужава времето и парите, тъй като е начин за пряко намаляване на риска. Допуснатите грешки и извлечените от тях поуки дават представа за това къде в миналото рискът е бил управляван неправилно. Това е една от най-големите цели за подобрение, която има едно от най-големите въздействия върху цялостната позиция по отношение на сигурността.
Въпреки че е изкушаващо да прескачаме важни неща, за да пестим време или пари, това не е разумно. Най-добрите организации в областта на сигурността разбират необходимостта да инвестират във важни процеси, процедури, най-добри практики и инициативи. Историята е показала, че подобни инвестиции водят до значително подобряване на цялостната позиция по отношение на сигурността на предприятието.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.