Christine Vanderpool je podpredsednica IT varnosti in glavna uradnica za informacijsko varnost za Florida Crystals Corporation in ASR Group, ki pridobiva večino svetovnega sladkornega trsa. Christine je pri Florida Crystals že skoraj dve leti. Ko je začela, ni bilo opredeljene strategije kibernetske varnosti, zato jo je ustvarila od začetka. Zdaj, ko so sheme lažnega predstavljanja in vdiranja v zvezi s COVID-19 v porastu, Christine ponuja dobre nasvete o ustvarjanju trdne infrastrukture kibernetske varnosti.

Več kot osnove

Večina podjetij ima določene varnostne ukrepe. Varnost aplikacij, varnost e-pošte in splošni protivirusni programi so plod kibernetske varnosti, vendar to ni dovolj, da podjetje ostane brez ranljivosti. Na srečo obstajajo trenutni okviri, ki delujejo kot izhodišče za strategijo kibernetske varnosti. Ko obstajajo osnovne možnosti, vam ni treba znova izumljati kolesa.

Christine naredi primerno primerjavo med okviri kibernetske varnosti in šolskimi učbeniki z besedami: »Ko pomislite na čas, ko ste bili v šoli in ste imeli učbenik, se niste potopili naravnost v prvo stran. Prva stvar, ki ste jo vedno naredili, ko ste dobili učbenik, je bila, da pogledate kazalo. Mislim, da to v resnici počne okvir. Daje vam tisto kazalo za vaš program.«

Christine je kibernetsko varnost podjetja Florida Crystals ohlapno uskladila z NIST zaradi petih delov kibernetskega življenjskega cikla – prepoznavanje, zaščita, odkrivanje, odziv, okrevanje – in njegovega pristopa do kibernetskih napadov. Druga prednost ogrodja je, da je njegov nabor temeljnih načel univerzalen. Predstavljanje strategije vodilnim je učinkovitejše, če je sporočilo takšno, kot ga lahko razumejo.

Pet delov NIST

1. Identiteta – govori o sposobnosti organizacije, da prepozna področja nevarnosti. Na primer GRC, politike in postopki ter prodajalci. Zlasti v svetu, kjer imajo podjetja koristi od rešitev prodajalcev in SaaS, je treba ta orodja in odnose skrbno preveriti in razumeti.
2. Zaščitite – Identificirane so ene grožnje, osnovna varnost aplikacij spodbuja zaščito. Primeri vključujejo upravljanje identitete in dostopa, varnost omrežja, varnost e-pošte in varnost končne točke. Kjerkoli bi se lahko nekaj prikradlo skozi vaše ljudi, procese, podatke ali stroje, je treba zaščititi.
3. Odkrijte – Zgodnje odkrivanje groženj je nujno pri prizadevanjih za karanteno in zaustavitev, preden se razširijo. Tukaj pridejo v poštev SIEM in MSSP, ki odkrijejo nepravilnosti in indikatorje ogroženosti.
4. Odzove – Odziv na incident vključuje njegovo zadrževanje, komuniciranje o njem in analiziranje informacij o dogodku.
5. Obnovi – Seveda se zgodijo incidenti. Ko to storijo, obnovitveni načrt zagotovi, da je podjetje čim hitreje pripravljeno in deluje, ter si prizadeva izboljšati kibernetsko varnost, da se ista stvar ne ponovi.

Pripovedovanje zgodbe

Christine se sprehodi skozi učinkovito strategijo, da bi pritegnila C-suite k temu, kar je zelo verjetno velika poraba dolarjev. Poudarja pomen pripovedovanja zgodbe poleg tega, koliko denarja bo stala in kaj bo naredila. Ena od strategij je uporaba analogij. »Ko se pogovarjam z vodstvenimi delavci, ki ne razumejo kibernetske varnosti in ne razumejo kibernetskih napadov, to rad povežem z vdorom v dom. Mislim, da je za veliko ljudi res enostavno razumeti invazijo na dom, tudi če ne razumejo kibernetske invazije.« Sprehodi se skozi vsako fazo kršitve kibernetske varnosti in jo primerja z drugo fazo vdora v dom. Na primer, primerja način, kako lovci z lažnim predstavljanjem zakrivijo svoje žrtve, z načinom, kako roparji zaprejo hišo.

Ko se okvir kibernetske varnosti ujema s primerno analogijo in obstajata rešitev in načrt, ki prav tako ustreza analogiji, zadene v jedro pomembnosti kibernetske varnosti in razkrije skrivnost kibernetskih zločinov.

IT kot del ekipe

Nato Christine poudarja, da je IT storitvena industrija. Stranke IT-ja so seveda interne, vendar je še vedno dolžnost IT-ja zagotoviti dobre storitve za stranke. Bistvo tega rahlega miselnega premika je, da "ljudje" ostanejo v središču kibernetske varnosti. Christine premošča vrzel med IT in poslovanjem kot celoto s tremi stebri storitev: GRC; upravljanje identitete in dostopa; in obveščanje o grožnjah, upravljanje ranljivosti, SIM in MSSP. Ko so ti okviri postavljeni, jih je lažje testirati.

»Zelo pomembno je, da je ekipa uspešna, moraš imeti dobre meritve in poročanje o rezultatih. Če se ne morete oceniti, kako veste, da vam gre na bolje, kajne? Zelo pomembno je ugotoviti, kako se oceniti; kako spremljati, kaj počnete, da se prepričate, da vedno napredujete in se vedno izboljšujete.«

Zavijanje Up

Christine zaključi s povzetkom svojih glavnih točk in dodajanjem pomena zavarovanja in zaščite digitalnih sredstev ob hkratnem omogočanju storitev prek sodelovalnih partnerstev. Ekipi za kibernetsko varnost ponuja tole: »Če ne razumete, kaj varujete, kako veste, kako to najbolje zaščititi? Sodelujte z [drugimi oddelki], resnično sodelujte z njimi in poiščite načine za izboljšanje njihovih procesov. Včasih je najboljša stvar pri varnosti v našem svetu to, da vsi zmanjšamo dvoumnost situacij. Kajti dvoumnost, če se lahko izrazim, običajno prinaša tveganje.«

Če želite poslušati Christinino celotno metaforo o invaziji na dom in vprašanja in odgovore po predstavitvi, pojdite na Digitalni vrh o kibernetski varnosti stran, se registrirajte in nato sledite povezavi, ki ste jo prejeli v vaš nabiralnik.

Vir: https://www.cshub.com/security-strategy/articles/best-practices-for-thriving-in-an-ambiguous-world