Direktori za bezbednost informacija opisuju kako prepoznaju kada im je potrebna nova bezbednosna strategija, proces njenog razvoja i uveravanje zainteresovanih strana u potrebu ponovnog pokretanja. Strategija bezbednosti preduzeća treba da bude poput vremenskog izveštaja: podložna čestim ažuriranjima. Ako se dopusti da plan bezbednosti ne bude sinhronizovan sa trenutnim i novim pretnjama, kao i sa razvojem preduzeća i tehnologija, mogu se otvoriti vrata finansijskim i reputacijskim katastrofama.
Mnogi elementi doprinose sveobuhvatnoj bezbednosnoj strategiji i isto toliko faktora može da obori plan bezbednosti koji je nekad bio kolosalan ili da dovedu do njegove zastarelosti. „Ljudi, procesi i tehnologija su ključna područja“, kaže Greg Carrico, viši menadžer za sajber bezbednost u kompaniji za poslovno i tehnološko savetovanje Capgemini North America. „Kompanije koje ne prate puls trenutnih događaja, automatizacije procesa, i koje ne preispituju cikluse i trenutne tehničke veštine mogu stalno da se bore za zaštitu svojih najkritičnijih predmeta, čak ni ne sluteći da su ih akteri pretnji uzeli za svoje ciljeve.“
Pokazatelji neefikasne strategije bezbednosti
Najbolji bezbednosni planovi su jasni, relevantni i lako razumljivi svima u celom preduzeću. „Vaša strategija mora biti izvodljiva, prihvatljiva, pogodna, pristupačna i razumljiva“, kaže brigadni general (u penziji) Gregory J. Touhill, prvi savezni direktor za bezbednost informacija (CISO – Chief Information Security Officer) i trenutno vanredni profesor na Heinz College of Information Sistems and Public Policy Univerziteta Carnegie Mellon . „Kao vojni zapovednik znao sam da je naša strategija zastarela ili neefikasna kada moji vojnici nisu mogli jasno da mi je opišu“, kaže on. „Kada vojska ne zna vašu strategiju ili kako joj doprinosi, to je veliko zvono za uzbunu.“
Očigledan znak zastarele strategije bezbednosti je sveukupan nedostatak relevantnosti. „Da bi se osiguralo da kritični bezbednosni resursi pomažu u ispunjavanju ključnih strateških ciljeva, neophodno je da strategija bezbednosti bude direktno usklađena sa osnovnim komponentama u poslovnoj strategiji organizacije“, kaže Brennan P. Baybeck, potpredsednik Oracle-a i CISO za korisnike usluge.
Još jedan ključni pokazatelj zastarelog plana bezbednosti je da ga pokreće usklađenost. „Iako usklađenost može biti važna i neophodna komponenta u mnogim bezbednosnim strategijama, ne bi je trebalo koristiti za sveukupno vođenje bezbednosne strategije, čak ni u organizacijama sa manjim programima i ograničenim resursima“, upozorava Baybeck.
Loš plan bezbednosti obično se može brzo otkriti uz malo osnovnog traženja i razgovora sa saradnicima o trenutnoj bezbednosnoj kulturi preduzeća i merama unutrašnje odgovornosti. „Ključni pokazatelji uključuju snažno oslanjanje na politike i nepostojanje budžeta i alata za bezbednost“, kaže Annalea Ilg, CISO u savetodavnoj firmi za poslovnu transformaciju Involta. Ostali pokazatelji uključuju nedostatak upravljanja bezbednošću, lošu dokumentaciju i neuspeh u prihvatanju holističke bezbednosti.
Još jedan znak zastarelog bezbednosnog plana je kada se organizacija neprekidno muči sa reagovanjem na pretnje, kaže George Freeman, savetnik za prevare i rešavanje identiteta u LexisNexis Risk Solutions Government. „Na primer, u strategiji dubinske odbrane organizacije često ponestaje resursa u borbi sa pretnjama koje se neprestano pojavljuju na unutrašnjim zaštićenim mrežama“, primećuje on.
Uskladite strategiju bezbednosti sa rizikom
Svako planirano pokretanje nove strategije bezbednosti trebalo bi da bude dizajnirano tako da bude u skladu sa trenutnim izgledima rizika organizacije. „Postoje različiti faktori koji mogu dovesti do toga da organizacija promeni tendenciju i toleranciju na rizike, pa je važno da lideri sajber-bezbednosti razumeju ove faktore i prilagode svoju strategiju u skladu s njima“, savetuje Sounil Yu, rezident CISO-a u YL Ventures, firmi fokusiranoj na sajber-bezbednost rizičnog kapitala.
Faktori koji su posebno relevantni za planiranje sajber bezbednosti uključuju promene u trenutnom poslovanju, tehnologiji ili okruženju pretnji. „Kada se jedan ili više ovih faktora promeni, a strategija nije predvidela promene, pojavljuju se znaci koji sugerišu da je strategija zastarela i da je treba nanovo pokrenuti“, objašnjava Yu.
Planiranje i priprema ponovnog pokretanja sistema bezbednosti
Utvrđivanje koje bezbednosne strategije i taktike funkcionišu, a koje ne uspevaju, obično predstavlja prvi korak u okretanju ponovnom pokretanju sistema zaštite. Proces se nastavlja utvrđivanjem trenutnih i planiranih potreba i ciljeva organizacije, a zatim utvrđivanjem kako će nova bezbednosna strategija pomoći u postizanju tih ciljeva. „Obavezno razvijajte kanale komunikacije sa funkcionalnim vlasnicima … i shvatite njihove prioritete“, kaže Tom Conklin, CISO za dobavljača platforme za upravljanje podacima Fivetran.
Brian Phillips, direktor globalne strategije bezbednosti kod programera tehnologije za upravljanje posetiocima kancelarije Traction Guest, kaže da mu je bilo korisno da kreativno razmišlja dok planira od nule. „Zaboravite na to koje sisteme koristite i kako danas radite stvari“, predlaže on. Umesto toga, usredsredite se na ono što će vam sutra biti dostupno i izgradite novu strategiju bezbednosti oko tog cilja. „Nikada ne bismo smeli da dozvolimo da sistemi diktiraju naše procedure ili strategiju“, dodaje on. „Dobra bezbednosna aplikacija će se pridržavati vašeg procesa.“
Inicijativa za ponovno pokretanje trebalo bi da bude povezana sa svim poslovnim timovima preduzeća, a ne samo sa IT-om i vođama i osobljem bezbednosti. „U današnje vreme svaki poslovni tim donosi odluke i sprovodi tehničke projekte koji utiču na bezbednost kompanije“, primećuje Ben Vaugh, OCD za pružanje zdravstvene zaštite Redox. „Trebalo bi da započnete od partnerstva sa svim ovim timovima kako biste razumeli kako oni rade, koje su njihove potrebe i kako mogu najbolje da utiču na poslovanje.“
Da bi se stekao maksimalan uvid u trenutne i buduće bezbednosne potrebe preduzeća, Ben de Bont, CISO u programu platforme za upravljanje radnim tokovima ServiceNow, preporučuje anonimno anketiranje članova bezbednosnih timova na svim nivoima kako bi se procenilo zadovoljstvo, prikupili detalji o trenutnim i potencijalnim preprekama i zatražile ideje za poboljšanje. „Takođe je važno komunicirati sa poslovnim liderima o njihovim ciljevima i namerama i o tome kako bi se bezbednosni zahtevi, kao što su obaveze privatnosti, propisi i površina napada, mogli promeniti kao rezultat ponovnog pokretanja sistema.“
Yu podstiče planere novog pokretanja da potraže savete od najšireg mogućeg kruga zainteresovanih strana. „Ovo je posebno važno za sajber bezbednost, jer uključuje izazove dugotrajnih pretpostavki“, kaže on. Dobijanje podataka iz što većeg broja relevantnih izvora pomaže da se olakša prihvatanje, a istovremeno se osigurava da planeri dobiju mišljenja upućenih pojedinaca koja bi inače mogla da se previde. Svaki put kad se strategija revidira, ljudi obično žele da znaju zašto su promene neophodne. Dubinsko istraživanje zainteresovanih strana pomoći će da se ublaži strahovanje, istovremeno se podstakne podrška i prihvatanje plana.
Ilg predlaže organizovanje strategije ponovnog pokretanja po operativnim, taktičkim i strateškim linijama. „Morate da provedete ljude celim putem“, kaže ona. „Okupite tim iz različitih odeljenja koji će vam pomoći da primenite … formalni vremenski raspored i referentne tačke u projektu“. Ilg preporučuje izgradnju podrške širom preduzeća tako da im se objasni zašto je strategija ponovnog pokretanja neophodna i kuda cilja. „Ako ne budete utvrdili kako da postignete prihvatanje, strategija će biti stalna borba.“
Uveravanje zainteresovanih strana u prednost novnog pokretanja sistema bezbednosti
Popularni način da se dobije podrška za ponovno pokretanja sistema bezbednosti je dokazivanje kako će strategija pozicionirati organizaciju da poveća prihod ili da se kvalifikuje za nove mogućnosti prihoda, kaže Jeremy Haas, bivši stručnjak za ciber-bezbednost CIA-e i američkih vazduhoplovnih snaga, trenutno direktor za bezbednost informacija u kompaniji LookingGlass Cyber Solutions. Kada se jaka bezbednost prikaže kao metod pozicioniranja na tržištu, ona postaje pokretač prodaje, a ne režijski trošak, objašnjava on. „To često vidimo kada organizacije pružaju usluge klijentima u visoko regulisanim industrijama, poput finansija, zdravstva ili vlade.“
Touhill veruje da je za dobijanje podrške lidera preduzeća za ponovo pokretanje bezbednosne strategije najbole da se ona potkrepi značajnim i proverljivim podacima. „Odbori i viši lideri tradicionalno prihvataju ubedljive podatke i svedočenja/preporuke stručnjaka“, kaže on. „Izgradnja saveza unutar organizacije je korisna da bi se drugi stariji lideri u organizaciji angažovali da govore u znak podrške novoj strategiji.“
Ponovno pokretanje sistema obično se najbolje prihvata kada se poslovnim liderima bezbednost predoči kao pokretač rešenja, kaže Carrico. „Pokazivanje kako bezbednosni program pruža spokoj krajnjem korisniku, bio on interni zaposlenik ili kupac kompanije … daje pozitivne rezultate.“
Prilikom prezentacije, ne pokušavajte da bombardujete rukovodstvo tajanstvenim tehničkim objašnjenjima, savetuje Ilg. „Govorite upravljačkom terminologijom i prikažite kako izgleda uspeh, zajedno sa misijom, vizijom i značajem za kompaniju“, kaže ona.
Izvor: CSO