13 października 2023 r. - Cyber security
Silny program bezpieczeństwa musi koncentrować się na ludziach, procesach i technologii. Jest to często określane jako "złoty trójkąt".
Wielu CISO uważa aspekt "Ludzie" za najtrudniejszą część tej struktury. Zdecydowanie.
Uzyskanie poparcia ze strony interesariuszy. Przekonanie pracowników do Twoich planów. Jasno i skutecznie informuj o cyberzagrożeniach. A przede wszystkim, budowanie kultury, w której bezpieczeństwo jest zawsze na pierwszym miejscu, a nie na dalszym planie.
Ten CISO wie, jak ważne, a jednocześnie skomplikowane może to być 👇
W tym artykule omówimy, w jaki sposób CISO mogą budować kulturę security awareness w swojej organizacji.
Ale najpierw ustalmy, co właściwie pociąga za sobą kultura security awareness .
Czym jest kultura security awareness (i dlaczego jest ważna)?
Kultura firmy opiera się na przekonaniach i zachowaniach organizacji. Gdy firma ma silną kulturę security awareness , pracownicy są świadomi istotnych zagrożeń cybernetycznych, jakie działania powinni zgłaszać i z kim się kontaktować w takich sytuacjach. Kiedy Twoja organizacja ma solidną kulturę security awareness , nie jest postrzegana jako refleksja, ale jako priorytet.
W dzisiejszych czasach skupienie się na silnej kulturze security awareness ma kluczowe znaczenie. 95% wszystkich włamań i naruszeń danych jest spowodowanych błędem ludzkim:
- Kliknięcie linków phishing
- Brak aktualizacji oprogramowania
- Używanie słabych haseł
- Praca zdalna bez VPN
Lista jest długa.
Dlatego szkodliwe jest zatracanie się w technologii i procesach, jeśli nie poświęciliśmy jeszcze odpowiedniej ilości uwagi naszym ludziom.
W organizacji, w której nie ma silnej kultury security awareness , bezpieczeństwo jest zawsze "odpowiedzialnością kogoś innego". Potrzebne jest jednak wspólne poczucie odpowiedzialności w całej organizacji. Ponieważ jesteś tak silny, jak twoje najsłabsze ogniwo.
Mówiąc o kulturze firmy, Dustin Moskovitz, współzałożyciel i dyrektor generalny Asana, podkreśla znaczenie wytrwałości i wczesnego rozpoczynania pracy. "Jeśli odkładasz tę pracę na później, ponieważ wydaje Ci się ona trudna i rozpraszająca, to tylko przygotowujesz się na znacznie trudniejszy (i ostatecznie być może niemożliwy) problem do rozwiązania w późniejszym czasie. Kultura wzmacnia się i staje się bardziej sztywna w miarę upływu czasu, więc ważne jest, aby popchnąć ją we właściwym kierunku tak wcześnie, jak to możliwe".
Budowanie kultury security awareness w pięciu krokach
Teraz, gdy ustaliliśmy znaczenie silnej kultury security awareness , omówmy kroki, które musisz podjąć, aby zbudować ją w swojej organizacji.
1. Uzyskaj wsparcie kierownictwa
Pierwszym krokiem, jaki powinieneś podjąć, jest rozpoczęcie od góry. Budowanie kultury zaczyna się od wsparcia ze strony kierownictwa. Jeśli kierownictwo nie zainwestuje w security awareness, cała twoja praca pójdzie na marne. Wszystkie kultury firmowe są na początku kultywowane odgórnie. Bo jeśli dyrektor generalny nie uważa tego za jeden ze swoich priorytetów, dlaczego ktokolwiek inny w firmie miałby się tak czuć?
Podobnie jak w przypadku każdej innej jednostki biznesowej, Twoim zadaniem jako CISO jest informowanie o tym, jak bezpieczna jest obecnie Twoja organizacja i jakie inicjatywy zaplanowałeś, aby to poprawić. Im bardziej regularnie będziesz o tym informować, tym lepiej twoja wiadomość będzie się trzymać w czasie.
Pomocne jest regularne pokazywanie pulpitu nawigacyjnego, z którym może zapoznać się cały zespół kierowniczy. Mogą to być na przykład wyniki programu szkoleniowego security awareness z ostatniego miesiąca. Na tej podstawie możesz odpowiedzieć na następujące pytania:
- Z jakich cyberzagrożeń zespół został przeszkolony?
- Które tematy wymagają większej uwagi?
- Które działy osiągają najlepsze lub najgorsze wyniki?
- Co wyniki mówią o naszym ogólnym poziomie bezpieczeństwa?
Po uzyskaniu poparcia ze strony zespołu kierowniczego, nadszedł czas, aby skupić się na "mistrzach" w swoich działach. Mogą to być kierownicy zespołów lub szefowie poszczególnych działów. Są to osoby, które dostarczą Ci bardzo potrzebnych informacji zwrotnych podczas wdrażania inicjatyw związanych z bezpieczeństwem.
Jako CISO w większej organizacji najprawdopodobniej będziesz mieć do czynienia z wieloma różnymi interesariuszami w tym samym czasie, z których każdy wymaga innego podejścia. Łatwo jest stracić orientację, z kim musisz się komunikować i kto wymaga największej uwagi. Możesz użyć szablonu zarządzania interesariuszami, aby utrzymać wszystkie kaczki w rzędzie.
2. Opracuj deklarację marki
Teraz, gdy masz już poparcie kierownictwa, włącz je w proces tworzenia deklaracji marki. Powinno to odpowiedzieć na wszystkie ważne pytania dotyczące twoich zasad bezpieczeństwa, takie jak sposób, w jaki pracownicy mogą się z tobą skontaktować lub jak działasz w obliczu cyberzagrożenia.
Według CISO Jadee Hanson, najlepszym sposobem na egzekwowanie tej deklaracji marki nie jest jej komunikowanie. Hanson zachęca CISO do świętowania zachowań, których oczekujesz. Tworzy to efekt kuli śnieżnej w Twojej organizacji, w której ludzie mogą próbować uzyskać takie samo uznanie. Więcej o sposobach świętowania swojego zespołu w dalszej części tego artykułu.
3. Organizuj regularne szkolenia pracowników
Nie możesz mieć silnej kultury security awareness bez przeszkolenia pracowników w zakresie aktualnych zagrożeń cybernetycznych i tego, co próbujesz chronić. Twoi pracownicy muszą rozumieć, jak bardzo zagrożona jest Twoja organizacja i jaka jest stawka.
W wielu organizacjach szkolenie security awareness jest oferowane tylko raz lub dwa razy w roku w celu zapewnienia zgodności z przepisami takimi jak RODO. To nie jest rodzaj szkolenia, o którym tutaj mówimy.
Aby zbudować prawdziwą świadomość, kluczowe jest powtarzanie. Badania pokazują, że 90% wszystkich wniosków z jednorazowego kursu jest zapominanych po dwóch tygodniach. Kiedy oferujesz regularne szkolenia, pracownicy budują wiedzę w czasie i następuje prawdziwa zmiana zachowań. Po prostu niemożliwe jest zbudowanie kultury security awareness , gdy pracownicy muszą aktywnie o tym myśleć raz lub dwa razy w roku.
Szukając odpowiedniego rozwiązania szkoleniowego, upewnij się, że nie koncentruje się ono wyłącznie na phishing. Phishing jest największym zagrożeniem cybernetycznym, ale nie jedynym. Potrzebujesz programu szkoleniowego, który koncentruje się na wszystkich istotnych tematach, w tym:
- Phishing
- Smishing
- Bezpieczna praca zdalna
- Oszustwo CEO
- Aktualizacja oprogramowania
- Ransomware
Oczywiście nie musisz prowadzić tego szkolenia osobiście. Wielu specjalistów ds. bezpieczeństwa ma trudności z prowadzeniem podstawowego szkolenia security awareness . Nie z powodu braku wiedzy, ale dlatego, że nauczanie jest niedocenianą umiejętnością, którą nie każdy posiada. Wyjaśnianie złożonych pojęć w kategoriach laika jest formą sztuki.
Dzięki rozwiązaniu takiemu jak Guardey, Twój zespół otrzymuje co tydzień 3-minutowe wyzwanie online, aby trenować security awareness. Ta gra security awareness została stworzona z pomocą specjalistów ds. bezpieczeństwa i pedagogów.
4. Komunikacja, komunikacja, komunikacja
Gdy masz już akceptację i szkolenie, nadszedł czas, aby komunikować, komunikować i komunikować trochę więcej. Każdy dyrektor generalny znany z budowania silnej kultury firmy jest znany z ciągłego powtarzania podstawowych wartości.
Jako CISO musisz regularnie przyciągać uwagę i komunikować swoje priorytety w zakresie bezpieczeństwa oraz powtarzać, że cały zespół ponosi wspólną odpowiedzialność.
Oprócz komunikowania zasad bezpieczeństwa i ważnych aktualizacji, które często są nieco suche (ale konieczne), użyj pozytywnego podejścia. Dobrym sposobem na to jest aktywne rozpoznawanie, nagradzanie i otwarte świętowanie zachowań związanych z bezpieczeństwem.
Udostępnij wiadomość na firmowym kanale Slack o tym, jak Peter zgłosił cyberzagrożenie, które zaoszczędziło firmie wielu kłopotów. Możesz też podzielić się wynikami swojego rozwiązania szkoleniowego security awareness i uczcić najlepsze wyniki podczas przemówienia. Możliwości są nieograniczone.
Przejrzystość jest tutaj kluczowa. Upewnij się, że Ty i Twój zespół jesteście dostępni i że istnieją kanały, którymi reszta organizacji może się z Tobą skontaktować.
5. Mierz, oceniaj i ulepszaj
Mierzyć znaczy wiedzieć. Aby wiedzieć, czy inicjatywy security awareness przynoszą efekty, musisz ustalić kluczowe wskaźniki wydajności (KPI).
Jeśli korzystasz z rozwiązania szkoleniowego security awareness , takiego jak Guardey, możesz po prostu spojrzeć na pulpit nawigacyjny i zobaczyć, jak dobrze radzi sobie Twój zespół. Co tydzień będziesz otrzymywać nowe spostrzeżenia, dzięki którym dowiesz się, w których tematach Twój zespół osiąga dobre wyniki, a które wymagają większej uwagi. Pokazuje również, jak dobrze zespół uczestniczy w zajęciach. Wysoki wskaźnik uczestnictwa jest kluczowy i jest ważnym wskaźnikiem, że zespół ceni szkolenia.
Jednak niedocenianym sposobem mierzenia efektów twoich wysiłków security awareness jest przyjrzenie się nie tak oczywistym sygnałom:
- Czy rośnie liczba zgłoszeń cyberzagrożeń?
- Czy współpracownicy zwracają sobie uwagę na niepożądane zachowania?
- Czy otrzymujesz więcej pytań dotyczących bezpieczeństwa?
Są to wyraźne oznaki zwiększonego poczucia odpowiedzialności. Moment, w którym ludzie w Twojej organizacji stają się proaktywni, jest tym, w którym naprawdę możesz mówić o kulturze security awareness .
Jeśli jesteś CISO, nie zawsze możesz wychwycić wszystkie te sygnały, zwłaszcza w większych organizacjach. Dlatego regularne ankiety zbierające informacje zwrotne mogą być pomocne.
Po zebraniu wszystkich tych spostrzeżeń ważne jest, aby faktycznie je wykorzystać i ulepszyć istniejące procesy.
Twoi ludzie mogą być Twoją najsilniejszą zaporą ogniową
"Kultura" to puszyste słowo, którym łatwo się posługiwać. Prawie równie łatwo jest zapisać kilka podstawowych wartości i nazwać to dniem dzisiejszym.
Wspieranie kultury security awareness to jednak ciężka praca. Twoja organizacja, w tym zespół kierowniczy, może postrzegać Cię jako przeszkodę. Mogą postrzegać bezpieczeństwo jako "nie ich problem". A przestawienie tego przełącznika jest trudne. Ale kiedy to zrobisz, wyniki będą tego warte.
