Въвеждането на култура на психологическа безопасност в рамките на киберсигурността е важна цел за CISO, които се стремят да повишат устойчивостта.
Според експерти по сигурността, които са заявили пред ITPro, насърчаването на културата на психологическа безопасност за персонала трябва да бъде критична цел за CISO, които се стремят да засилят киберустойчивостта.

Този призив за действие прозвуча по време на разговор на Ignite on Tour в Лондон, в който глобалният CISO на BAE systems д-р Мери Хайг и Дарън Кърли, главен технически директор на National Gas, се присъединиха към главния технически директор на Palo Alto Networks Хайдер Паша, за да обсъдят приоритетите си за укрепване на организационната сигурност през 2024 г.

И тримата изтъкнаха значението на културата за насърчаване на ясна и бърза комуникация между специалистите по сигурността и по-широките екипи в случай на пробив или след откриването на уязвимост.

В разговор с ITPro Паша заяви, че културната страна на киберсигурността е едновременно значителна пречка за предприятията, които искат да подобрят своята позиция по отношение на сигурността, но и област, в която CISO са особено фокусирани върху промяната.

„[Културата] е (а) огромно предизвикателство и (б) абсолютно нещо, което компаниите, и по-специално CISO, се опитват да променят в организацията“

Според Паша причината, поради която CISO са толкова нетърпеливи да променят отношението си към киберсигурността, се дължи на факта, че до сравнително скоро сигурността не беше приоритет за предприятията.

„Ако погледнете историята, киберсигурността никога не е била основен приоритет за организациите дори преди пет години. Едва когато започнахме да се дигитализираме и започнахме да разглеждаме непредвидените последици от дигитализацията, като например кибератаките, тогава CISO действително получи място на масата.“

В резултат на това предприятията трябва да изкоренят наследените нагласи, казва Паша. Тази критично важна бизнес функция често е била разглеждана като второстепенна сред ръководителите, а сигурността е била считана за нещо, което е отговорност единствено на CISO и специалистите по сигурността.

„Връщаме се към културата, това, което CISO се опитва да промени, е да обясни на борда, че киберсигурността е работа на всички, а това е промяна в културата, това е промяна в мисленето.“

Психологическата безопасност създава добре функциониращи екипи по сигурността

Д-р Хайг изрази подобно мнение, като обясни, че липсата на техническо разбиране на ниво борд означава, че специалистите по сигурността могат да изберат да не предоставят информация, свързана с проблеми, за които потенциално могат да бъдат обвинени.

„Нашите бордове не са пълни с хора, които владеят цифрови технологии и разбират киберсигурността, така че те не винаги задават правилните въпроси. За нас е много лесно да крием и да не повдигаме въпроси, видяхте, че CISO започват да бъдат преследвани за това.“

Ключът тук, според Хай, е да се работи за подобряване на културата на сигурност в предприятието, където служителите не само имат усета да докладват за инциденти, които биха могли да разкрият грешки от тяхна страна, но и са упълномощени да го правят, без да се страхуват от професионални последици.

„Моралният компас, който трябва да съществува в екипите, за да се повдигне правилният въпрос, когато никой не гледа, е абсолютно необходим и това е свързано с наистина добри лидерски умения и изграждане на психологическа сигурност в екипите, така че те да знаят, че когато повдигнат въпрос, когато покажат табло, което не е изцяло зелено, никой няма да го изхвърли и да каже „Не мога да покажа това“, твърди Хайг.

Психологическата безопасност се отнася до възприятието на служителя за негативните последици, свързани с поемането на междуличностен риск на работното място.

Тази концепция е от особено значение за сигурността, тъй като въздействието на пробива често е катастрофално за предприятията. Нови изследвания показват, че кибератаките стават все по-бързи и по-скъпи, а разходите не се ограничават само до щетите, причинени от хакерите.

В годишния доклад за сигурността на Check Point глобалният CISO и съветник на C-suite Дерик Мичълсън прогнозира, че 2024 г. ще бъде определена от рязкото увеличаване на колективните искове за инциденти със сигурността.

„Организациите ще продължат да наблюдават рязко нарастване на кибератаките и нарушенията на сигурността на данните, което ще доведе до експлозия на колективните искове и съдебните спорове, които биха могли да се отразят негативно на CISO.“

В резултат на това натискът върху всички служители за предотвратяване на тези инциденти със сигурността се увеличава и този натиск само нараства в контекста на организациите от критичната инфраструктура.

По време на дискусията на сцената Кърлър очерта сериозните последици, които може да причини един прекъсване на електрозахранването в организация като неговата.

„Ако един от ключовите ни тръбопроводи има някакъв проблем и в него попадне кислород, за град с размерите на Бирмингам ще са необходими две години, за да се възстанови подаването на газ“, обясни той.

„Радиусът на взрива на една от компресорните ни станции би бил два километра, така че това те кара да мислиш за всички неща по много внимателен и обмислен начин.“

В този смисъл той подчерта важността на това да се гарантира, че екипите по сигурността комуникират свободно, като отбеляза, че сигурността на компанията не може да се подобри без определено ниво на доверие и отговорност в предприятието.

„Една от нашите ключови мантри е психологическата безопасност, без хората да могат да вдигнат ръка, било то от оперативната страна на нашия бизнес или от кибернетичната страна, и да кажат „това не е наред и трябва да направим нещо по въпроса“, никога няма да станете по-добри в това, което правите.“