Даррен Галлоп, Securicy: «Обучение удаленных сотрудников - ключ к защите вашего бизнеса»

Пандемия за короткое время привела к тревожному осознанию того, что сотрудники могут быть вашей первой линией защиты компании, но они также могут неосознанно открывать двери для злоумышленников. И это только одна из многих новых проблем, связанных с глобальным переходом к удаленной работе.

Несмотря на то, что компании по всему миру стараются применять лучшие практики кибербезопасности, сама эта область может напугать кого-то, кто не знаком с соответствующей цифровой гигиеной. Вы хотели бы найти идеальный баланс между стоимостью и ценностью, понять свои слабые стороны и узнать о действующих правилах. К счастью, есть компании, специализирующиеся на том, чтобы помочь вам в этом процессе, например Securicy, платформа управления информационной безопасностью.

Автор издания CyberNews поговорил с Дарреном Галлопом, генеральным директором и соучредителем Securicy, о пути к тому, чтобы помогать компаниям в соблюдении высочайших стандартов кибербезопасности.

С момента вашего основания всего несколько лет назад Securicy росла в геометрической прогрессии. Вы можете рассказать нам о своем пути?

Как и многие основатели, мы создали нашу компанию, чтобы решить проблему, с которой столкнулись сами. При нашем последнем запуске стартапа у нас не удалось заключить сделку с шестизначными суммами, потому что не смогли доказать свою надежность. Наш потенциальный клиент вручил нам анкету безопасности поставщика, на которую мы просто не могли ответить, и мы не смогли запуститься - не имело значения, что наш продукт удовлетворяет их потребности.

Помимо невероятного разочарования, которое мы испытывали по поводу неудавшейся сделки, мы осознали, что не уделили информационной безопасности должного внимания, которого она действительно заслуживала. И мы также поняли, что мы не одиноки - многие стартапы, нацеленные на предприятия, рассматривают безопасность как второстепенную мысль, а не как часть своей ДНК.

Мы создали Securicy, чтобы помочь другим компаниям создавать, управлять и поддерживать программу, которая может удовлетворить ожидания их корпоративных клиентов в области безопасности и конфиденциальности. Мы считаем, что надежная защита напрямую связана с вашей способностью заключать сделки с корпоративными клиентами.

Вы очень гордитесь своей платформой управления безопасностью. Не могли бы вы вкратце объяснить, как работает этот инструмент?

Наша платформа предназначена для того, чтобы помочь компаниям лучше понять и оправдать ожидания клиентов, аудиторов и регулирующих органов в области безопасности и конфиденциальности. Платформа помогает соучредителям и техническим директорам разбивать сложные стандарты и нормы безопасности, такие как SOC 2, HIPAA, ISO 27001, PCI DSS и т. д. на практические задачи, помогает им определять элементы управления безопасностью, относящиеся к ним (а какие нет), автоматизирует время - трудоемкие и выполняемые вручную задачи для экономии времени и усилий, а затем помогают убедиться, что все на месте, чтобы они могли поддерживать это состояние безопасности в течение долгого времени.

Для компаний, которым требуется дополнительная помощь в продвижении своей программы или в расшифровке некоторых требований, у нас есть специальная группа экспертов по безопасности, доступная для наших премиум клиентов, которые могут помочь отслеживать выполнение программы, отвечать на вопросы, проводить оценку рисков и сканирование уязвимостей, а также управлять внешним аудитором. В обоих случаях вы получите платформу, которая эффективно покажет вам пробелы вашей безопасности, как укрепить слабые места и что нужно для постоянного поддержания вашего состояния безопасности в течение долгого времени. Безопасность - это непрерывный процесс, а не разовое мероприятие, и наша платформа предназначена для поддержки этого, даже если у вас нет специалистов службы безопасности.

Как пандемия изменила подход организаций к информационной безопасности? Были ли в результате добавлены какие-либо новые функции к вашим услугам?

Возможно, самой большой проблемой для информационной безопасности стало внезапное появление полностью удаленной команды, особенно для организаций, которые никогда не планировали работать таким образом. Это добавило проблем, таких как обеспечение безопасности с полностью удаленной командой, анализ и усиление политик безопасности, а также соображения о том, как организации могут действовать как команда в случае инцидента. В ответ мы разработали надежный инструмент планирования обеспечения непрерывности бизнеса и аварийного восстановления, чтобы помочь клиентам справиться с различными проблемами, возникшими в связи с пандемией. Мы также находимся в процессе выпуска гораздо более надежных тренингов по повышению осведомленности о безопасности, что особенно важно в полностью удаленной среде.

Как компании могут убедиться, что выбранные ими поставщики соответствуют стандартам безопасности?

С наплывом кибератак на сторонних поставщиков и издателей программного обеспечения, все больше компаний осознали, что может появиться беспокойство не только о своей безопасности, но и о безопасности поставщиков, с которыми они решили работать. Есть несколько способов проверить состояние безопасности поставщика. Например, вы можете получить подтвержденное соответствие установленным стандартам безопасности или конфиденциальности, таким как SOC 2 или ISO 27001; вы можете попросить стороннюю аттестацию их состояния безопасности, или вы можете попросить их заполнить анкету безопасности, в которой изложены ключевые элементы их позиции. Фактически, Salesforce и Google только что совместно разработали вопросник, соответствующий отраслевому стандарту, который называется «Минимально жизнеспособный продукт безопасности» или MVSP, который, как мы ожидаем, многие компании начнут использовать в качестве своего стандарта.

Когда удаленная работа становится новой нормой, какие риски безопасности могут возникнуть в процессе?

Удаленная работа создает уникальные проблемы для вашей службы безопасности. Невозможно защитить домашнюю сеть человека так же, как и в бизнес-офисе: у вас нет контроля над тем, кто приходит и уходит, у вас нет таких же мер безопасности в их сети и т. д. Вы также можете чаще встречаются сотрудники, которые проводят несколько часов в кафе или библиотеке, работая с общедоступным Wi-Fi, что предоставляет злоумышленникам множество возможностей.

Другой риск может заключаться в незнании того, кто на самом деле имеет доступ к рабочему компьютеру, и загружается ли на него неавторизованное или опасное программное обеспечение.

Реальность такова, что даже в лучшие времена ваши сотрудники - ваша лучшая защита. Но они также могут быть точкой входа для злоумышленников. Когда ваших сотрудников выводят из их нормальной рабочей среды, они с меньшей вероятностью будут соблюдать те же меры предосторожности, которые строго соблюдаются в офисе. В конечном итоге обучение удаленных сотрудников является ключом к защите их и вашего бизнеса от злоумышленников. На самом деле у нас есть целый пост в блоге, посвященный безопасной работе при удаленной работе.

Несмотря на рост числа кибератак, некоторые компании принимают меры только после того, как инцидент произошел. Как вы думаете, почему организациям не удается идти в ногу с надлежащими методами цифровой безопасности?

Реальность такова, что для многих предприятий продажа своих услуг или продуктов имеет первостепенное значение, особенно если компании на ранних стадиях пытаются получить от предприятия свою первую крупную сделку. О безопасности часто думают второстепенно. Часто думают, что это какая-то вариация: «Ну, если мы не сосредоточимся на продажах, в любом случае не будет компании, которую нужно защищать».

Но правда в том, что, если вы подверглись взлому, вы теряете не только деньги, но и доверие своих поставщиков и клиентов, что может нанести серьезный ущерб вашей репутации. Более того, если вы обнаружите несоответствие отраслевым стандартам, вы также можете столкнуться с серьезными штрафами, которые не менее разрушительны.

Чтобы вызвать доверие у вашей целевой аудитории в наши дни, вы должны встроить безопасность в ДНК вашей организации. И действительно сообразительные компании признают, что они действительно могут занять твердую позицию в области безопасности и превратить ее в дифференциатор, особенно при продажах регулируемым отраслям, предприятиям или правительству.

На ваш взгляд, какие меры безопасности должны быть важны для компаний в настоящее время?

Начните инвестировать в безопасность как в значимую программу с бюджетом и полномочиями. Есть несколько очевидных инструментов и практик, которые имеют большое значение - четко очерченные политики безопасности, план реагирования на инциденты, реализация многофакторной аутентификации по умолчанию и обучение осведомленности о безопасности - это лишь некоторые из них. Поймите, какие конфиденциальные данные вы храните, и установите меры безопасности для их хранения и доступа. Если вы хотите начать с более комплексного подхода, взгляните на структуру Minimum Viable Secure Product или некоторые из структур безопасности, таких как SOC 2 и ISO 27001 - даже если вы не решите их принять, они дадут вам отправная точка.

И, наконец, что будет дальше с Securicy?

Мы каждый день учимся, как упростить безопасность и конфиденциальность для наших клиентов. Таким образом, у нас есть много вещей на стороне продукта - новые платформы, которые мы поддерживаем, технологии, которые мы интегрируем, функции и услуги, которые мы предлагаем. Мы стремимся быть комплексным партнером в области безопасности для наших клиентов, и наша цель не только в том, чтобы оставаться на вершине постоянно развивающегося рынка безопасности, но и в том, как сделать безопасность менее пугающей и более доступной для компаний, у которых и так слишком много приоритетов.