Търсене
Close this search box.

10 важни задачи по сигурността, които не трябва да пропускате

Повечето от нас са се възползвали от грешките на другите. Макар че това може да звучи странно, то е много логично, когато се замислите. Тези от нас, които са имали късмета другите да споделят с нас грешките си и са достатъчно умни, за да усвоят и приложат тези уроци в живота си, се научават да не повтарят грешките им.

Например повечето от нас знаят, че не бива да купуват кола или жилище, без да са ги проверили. Очевидно е, че тази проверка отнема време и струва пари. Но ние знаем, че пропускането на тази важна стъпка може да отнеме много повече време и да струва много повече пари в последствие. Вероятно знаем това, защото сме чували кошмарни истории от хора, които са смятали, че ще спестят малко време и пари, като прескочат тази стъпка.

Ако четете нашите материали от известно време, няма да се изненадате, че смятаме, че можем да извлечем важен урок по отношение на сигурността от това. Какъв? Редица процеси, процедури, най-добри практики и инициативи в областта на сигурността изискват значителни инвестиции на време и пари. И все пак прескачането им е голяма грешка за екипите по сигурността.

Въпреки че списъкът не е изчерпателен, тук са представени 10 елемента, които изискват инвестиция на време и средства, но носят огромни дивиденти на екипите по сигурността.

1. Формализиране на политиката

Политиката не е секси или вълнуваща и отнема време, за да се оправи, но е необходима. Наличието на официална политика кодифицира правилата на играта в предприятието, когато става въпрос за сигурност. Политиката е важна основа за почти всичко, което прави една организация по сигурността. В края на краищата екипът по сигурността трябва да има добри отговори, когато му се задават въпроси от рода на: „Къде пише, че това не е позволено?“ или „Защо не мога да продължа да правя нещата по начина, по който винаги съм ги правил?“.

2. Разбиране на разпоредбите

Нормативните актове и спазването на тези актове са тромави. Въпреки това няма друг избор, освен да се усъвършенствате в него – рискът от глоби и други усложнения е просто твърде голям, за да не превърнете разбирането на нормативните актове в приоритет. Това важи в световен мащаб за всички приложими разпоредби във всички населени места, в които даден бизнес работи. Това не е най-лесната задача, но е важна.

3. Продължаване на курса

Макар че е трудно да се запази посоката и да се изпълняват стратегически инициативи въпреки тактическите разсейвания, които могат да възникнат, това е от съществено значение за успешната програма за сигурност. Нашите стратегически инициативи, ако са разработени правилно, гарантират, че ще намалим риска, който е приоритизиран, и ще останем на правилния път, за да постигнем целите си и да подобрим състоянието на сигурността. Колкото и изкушаващи да са тактическите разсейвания, те най-често пречат на стратегическите ни усилия за намаляване на риска – като по този начин по същество понижават състоянието на сигурността на предприятието. Издържането на курса изисква енергия и решителност, но е важно.

4. Подхранване на взаимоотношенията

Като лидери в областта на сигурността нашите взаимоотношения с ключови заинтересовани страни в предприятието, ръководители, членове на управителния съвет и други са изключително важни. Изграждането и подхранването на тези взаимоотношения отнема време – време, което иначе бихме искали да изразходваме за други задачи. Въпреки това това са важни взаимоотношения, които заслужават да се инвестира време. Това са партньорите, които ще ни помогнат да подобрим състоянието на сигурността в нашите организации.

5. Архитектура за бъдещето

Не е лесно да се отчетат различните възможности, които могат да възникнат в бъдеще. Въпреки това си заслужава да отделите време и енергия. Помислете за схема на база данни – ако я архитектурираме само за данните, с които разполагаме днес, може да се окажем в главоблъсканица в бъдеще, когато искаме да включим допълнителни данни в работния процес и процесите си. Тогава ще се наложи да препроектираме или да се откажем от решения, които не са били архитектурно разработени за бъдещето, което в дългосрочен план отнема повече време, отколкото да го направим правилно от самото начало.

6. Устойчивост на бързата корекция

Когато се справяме с предизвикателство, може да е твърде примамливо да въведем бързо решение. Например, може да е изкушаващо да се напише бърз скрипт за преместване на данни, вместо да се използва официален процес на извличане, преобразуване и зареждане (ETL). Въпреки това вероятността едно повтарящо се решение да може да се използва повторно е голяма, докато решенията тип „бандаж“ обикновено трябва да се пренаписват навсякъде, където се прилагат. Поддръжката на решенията тип „бандерол“ често се превръща и в голямо главоболие за организациите.

7. Прилагане на полезни обучения

Правилното обучение на персонала изисква бюджет за обучение и време, отделено от други важни задачи. Инвестицията си заслужава по няколко причини. Професионалистите по сигурността, които непрекъснато разширяват и подобряват своите знания и умения, е по-малко вероятно да напуснат за по-зелени пасища. Добре обученият персонал също така работи по-добре. Това оказва пряко влияние върху ефективността на организацията по сигурността, която от своя страна влияе пряко върху състоянието на сигурността на предприятието.

8. Създаване на подходяща документация

Не мисля, че някога сме срещали професионалист в областта на сигурността, който да обича документацията. Тя със сигурност отнема много време и може да бъде досадна. Независимо от това, когато дойде време да се разбере как да се направи нещо, документацията е естественият начин да се направи. Освен това наличието на добре документирани процеси и процедури също така предоставя възможност да се покаже на заинтересованите страни в бизнеса как точно работят определени неща под капака.

9. Улавяне на научените уроци

Документирането на научените уроци по начин, по който те могат да бъдат използвани в бъдеще, изисква усилия. Това е усилие, което обаче носи дивиденти, тъй като само като се учат от миналото, организациите за сигурност могат наистина да се подобрят с течение на времето. Като пример, разгледайте високопрофилен инцидент със сигурността, който е разкрил някои пропуски и възможности за подобрение в програмата за сигурност. Вместо да ги прикривате, педантично да преминете през всяка значима точка и да я уловите, това носи огромни дивиденти. Отделянето на време за подробно записване на поуките в момента на тяхното възникване се отплаща по-късно.

10. Прилагане на научените уроци

Може да се окаже трудно да прегледате научените уроци и да разберете как да ги приложите за подобряване на състоянието на сигурността. Това обаче си заслужава времето и парите, тъй като е начин за пряко намаляване на риска. Допуснатите грешки и извлечените от тях поуки дават представа за това къде в миналото рискът е бил управляван неправилно. Това е една от най-големите цели за подобрение, която има едно от най-големите въздействия върху цялостната позиция по отношение на сигурността.

Инвестирайте времето си разумно

Въпреки че е изкушаващо да прескачаме важни неща, за да пестим време или пари, това не е разумно. Най-добрите организации в областта на сигурността разбират необходимостта да инвестират във важни процеси, процедури, най-добри практики и инициативи. Историята е показала, че подобни инвестиции водят до значително подобряване на цялостната позиция по отношение на сигурността на предприятието.

Източник: DARKReading

Подобни публикации

9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
9 септември 2024

Progress LoadMaster е уязвим към недостатък на ...

Progress Software издаде спешна поправка за уязвимост с максимална ...
9 септември 2024

Секс измамите вече използват името на „изневеря...

Нов вариант на продължаващите измами с електронни писма с цел сексу...
9 септември 2024

Новата атака RAMBO краде данни чрез RAM памет

Нова атака по страничен канал, наречена „RAMBO“ (Radiation of Air-g...
9 септември 2024

Гигантът Avis разкрива нарушение на сигурността...

Американският гигант за отдаване на автомобили под наем Avis уведом...
8 септември 2024

Microsoft Office 2024 ще деактивира ActiveX кон...

След пускането на Office 2024 през октомври Microsoft ще забрани Ac...
Бъдете социални
Още по темата
06/09/2024

Ролята на котвите на довери...

За да се възползват напълно от...
10/08/2024

Какво представлява OAuth? З...

OAuth (Open Authorization – отворена оторизация)...
07/08/2024

Можете ли да създавате и пр...

Понякога хората не са толкова развълнувани,...
Последно добавени
09/09/2024

Шпионският софтуер Predator...

Шпионският софтуер Predator се е появил...
09/09/2024

Един милион клиенти на Kasp...

Клиентите на Kaspersky в Съединените щати...
09/09/2024

CISA сигнализира за грешки ...

Миналата седмица американската Агенция за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!