Защо културата е почвата, а не оградата

Нека бъдем честни – когато повечето хора чуят „обучение по киберсигурност“, очите им се насълзяват по-бързо от работна станция с Windows 98.

Но ето какво е най-важното: 74% от нарушенията на сигурността на данните все още са свързани с човешкия фактор, независимо дали става въпрос за социално инженерство, грешки или злоупотреба, според DBIR 2023 на Verizon. Това не е просто статистика – това е мигащ неонов знак, който показва важността на културата на киберсигурността.

Ако искате инструментите ви за сигурност да правят нещо повече от това да събират прах и предупреждения, ви трябва нещо по-дълбоко – нещо човешко.

Нуждаете се от култура, ориентирана към сигурността – като всяка култура, тя не се появява просто така. Трябва да я развиете.

Не приемайте, че информираност = готовност

Всички сме виновни за предположението, че „всички вече знаят това“. MFA, фишинг измами, мениджъри на пароли – не е ли това елементарно? Не съвсем.

Доклад на Tessian установи, че 43% от служителите са допускали грешки на работното място, които са компрометирали киберсигурността. Обикновено те са допуснали тези грешки, защото са били уморени, бързали са или не са разбирали риска.

Екипът ви не пренебрегва сигурността от злонамереност – той просто не е устроен да мисли като нападателите.

Така че, вместо да преминавате през скучно обучение, свързано със спазването на изискванията, веднъж годишно, опитайте:

• реалистични симулации на фишинг (бонус точки, ако ги направите забавни)
• Обучение, съобразено със спецификата на ролята (финанси ≠ разработчици ≠ човешки ресурси)
• Подсилване чрез микрообучение (кратки уроци, които могат да бъдат закупени)
• Направете го като игра, за да бъде обучението забавно и ангажиращо

Направете обучението по-малко като квадратче за отметка и повече като разговор.

Свържете сигурността с бизнес резултатите, а не със страха

Проблемът с тактиките за сплашване е следният: с времето те губят своето въздействие. Екипът ви вече знае, че съществуват заплахи. Те трябва да разберат защо трябва да се интересуват и как това се отразява на ежедневието им.

• Екипите по продажбите трябва да разберат как лошите практики за сигурност могат да забавят сделките
• Екипите, работещи с продукти, трябва да знаят как сигурността при проектирането печели дългосрочно доверие
• Човешките ресурси трябва да разберат как сигурното включване и изключване на персонала защитава чувствителните данни
• Финансистите трябва да знаят как лошите практики за сигурност увеличават риска и повишават разходите

Обвързването на сигурността с реалните бизнес цели – доверие, скорост, растеж – се превръща в споделена отговорност, а не в „ИТ“.

Активирайте ежедневните си защитници

Най-добрите ви защитници на сигурността може да не са в SOC – те вероятно са в маркетинга, отдела за успех на клиентите или оперативния отдел. Хората, които питат: „Трябва ли да отворя това?“, вместо просто да кликнат върху него. Това са вашите ежедневни защитници.

Дайте им име. Разпознайте ги. Овластете ги.

Изградете лека програма за шампиони по сигурността:

• Месечни контролни срещи с вашия екип по ИТ/сигурност
• Ранни прегледи на нови инструменти/процеси
• Поздравления за улавяне на подозрителна дейност
• Културата се разпространява чрез хората – не чрез политиките. Затова дайте на носителите на култура микрофон (и може би чаша).

Направете я нещо живо, а не заключена политика

Културата не е статична. Нито пък заплахите. Това, което е работило миналата година, може да е неуместно днес.

Вместо да заключвате всичко в PDF от 40 страници, съсредоточете се върху гъвкавостта:

• Преразглеждайте и обновявайте обучението на всяко тримесечие
• Преглеждайте редовно разрешенията и контрола на достъпа
• Насърчавайте обратната връзка от потребителите за това какво работи (и какво не)

Когато служителите виждат, че сигурността се развива заедно с тях, а не само в тяхна полза, е по-вероятно те да останат ангажирани.

Заключителна мисъл: Културата е почвата, а не оградата

Можете да разполагате с най-добрите защитни стени, средства за защита на крайни точки и инструменти за поведение в облака в целия свят. Но ако екипът ви не разбира сигурността – ако не мисли безопасно – бизнесът ви остава уязвим.

Изграждането на култура, ориентирана към сигурността, не означава съвършенство.

Това означава да насаждате правилните ценности, да подхранвате доверието и да защитавате това, което е важно – заедно.

И добрата новина? Не ви е необходим зелен палец – само ангажираност, последователност и убеденост, че културата е най-добрият ви актив в областта на сигурността.

Искате да укрепите основите на киберсигурността си? Започнете с подхранване на вътрешната си култура – по един разговор, шампион и урок.