8 ошибок, которые подрывают успех программы безопасности

Некоторые из самых больших утечек были вызваны небольшими ошибками.

Хакеры использовали скомпрометированный пароль для доступа к сети компании через виртуальную частную сеть во время атаки на трубопроводную систему США Colonial Pipeline в мае 2021 года. Широко известная уязвимость, которая еще не была исправлена, была точкой входа для атаки на Equifax в 2017 году. А мошенничество с биткоинами в Твиттере началось с целевых фишинговых атак на сотрудников самой компании, пишет CSO.

Конечно, идеальной программы безопасности не бывает, но подобные мероприятия показывают, что специалисты по кибербезопасности не могут позволить себе что-то упускать из виду.

В нижеследующем материале руководители службы безопасности предупреждают о восьми подводных камнях, которые легко упустить из виду, что может подорвать успешную во всем остальном стратегию безопасности:

Говоря о риске безопасности, не стоит забывать о бизнес-риске

Кибербезопасность стала предметом озабоченности на уровне совета директоров, однако слишком часто директоры по информационной безопасности, а также их коллеги из высшего руководства продолжают позиционировать безопасность как технологическую проблему, а не как бизнес-риски, говорит Нил Харпер, директор по информационной безопасности УОП ООН (The United Nations Office for Project Services - Управление Организации Объединенных Наций по обслуживанию проектов) и член правления ассоциации управления ИТ ISACA.

Это может показаться чистой семантикой, но Харпер говорит, что столь узкое отношение руководителей предприятий к кибербезопасности, действительно, чревато негативными последствиями.

«Когда они не рассматривают информационную безопасность как бизнес-риск, когда они видят в ней только технологический риск, они не понимают, насколько это полностью встроено во все аспекты бизнеса, - объясняет он. - В результате у директоров по информационной безопасности нет полной власти; они не отчитываются перед руководителем, а вместо этого отчитываются на два или три уровня ниже. И они не принимают участия в разработке стратегии на исполнительном уровне».

Харпер говорит, что видел, как директоры по информационной безопасности меняют ситуацию, выстраивая отношения с заинтересованными сторонами; они взаимодействуют с ними, чтобы понять их риски, а также их цели, а затем показывают им, как планы по обеспечению безопасности решают обе эти проблемы.

Чрезмерный акцент на соответствии стандартам

Типичная организация должна соответствовать множеству отраслевых, нормативных и правовых стандартов, чтобы вести бизнес. Наиболее известные из них включают Стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard - PCI DSS) для организаций, обрабатывающих кредитные карты; Закон США о переносимости и подотчетности медицинского страхования, или HIPAA, для всех, кто работает с медицинскими записями; и Общий регламент ЕС по защите данных (GDPR). Существуют стандарты и структуры, относящиеся к безопасности, такие как ISO/IEC 27001.

Директоры по информационной безопасности не могут игнорировать стандарты, которым они должны соответствовать, но ни они, ни их коллеги-руководители не должны исходить из того, что соблюдение требуемых стандартов подтверждает их безопасность, говорит Харпер.

«Слепое соответствие правилам создает ложное чувство безопасности, - добавляет он. - На самом деле количество нарушений растет, несмотря на соблюдение (стандартов) во многих организациях».

Харпер не сбрасывает со счетов важность соблюдения стандартов, но говорит, что главы отделов по информационной безопасности должны всегда помнить - и доводить до сведения других руководителей высшего звена, - что такие требования не являются динамическими и, следовательно, могут не учитывать возникающие угрозы или точно оценивать готовность организации. по мере того, как его обстоятельства (т. е. укомплектование персоналом, набор технологий, риски) меняются с течением времени.

«Это упражнение для галочки, и они на самом деле не дают компаниям истинной картины того, где существуют их риски и уязвимости», - говорит он.

Неспособность двигаться достаточно быстро

Компании ускоряют цифровую трансформацию благодаря переходу в облако, более гибкой разработке программного обеспечения и быстрому реагированию на требования клиентов. По словам нескольких консультантов по безопасности, не все директоры по информационной безопасности идут в ногу со временем, и это привело к пробелам в общей системе безопасности предприятия.

Команды предприятий выражают аналогичные опасения. Возьмем, к примеру, результаты последнего глобального исследования DevSecOps от GitLab, опубликованного в мае 2021 года. Около 84% из 4300 ответивших разработчиков заявили, что выпускают код быстрее, чем когда-либо прежде, но почти половина (42%) заявили, что тестирование безопасности происходит слишком поздно, и почти такой же процент заявил, что было сложно выявить и устранить уязвимости. Более того, 37% заявили, что отслеживать статус исправлений ошибок было сложно, а 33% сочли трудным определение приоритетов исправления.

«Безопасность должна быть более гибкой, и директоры по информационной безопасности должны принципиально по-новому взглянуть на то, как они подходят к кибербезопасности», - говорит Тони Веллека, глава отдела по информационной безопасности UST и генеральный директор CyberProof.

Ряд директоров по информационной безопасности, похоже, поняли это сообщение. Отчет GitLab показал, что 70% команд перенесли соображения безопасности на более ранние этапы разработки после того, как их подтолкнули к «сдвигу влево». Это немного больше, чем в предыдущем году, когда 65% заявили, что уже встроили средства безопасности в этот процесс.

Всегда сосредотачиваться на срочном

Одна из самых больших угроз для успешной программы безопасности - попасть в ловушку «тирании срочных задач», - говорит Эндрю Моррисон, директор Deloitte и руководитель отдела стратегии службы киберрисков, защиты и реагирования.

Моррисон говорит, что несмотря на то, что вывести группу безопасности из такого сценария сложно, директоры по информационной безопасности могут сделать это, выявив самые большие риски и сосредоточившись на противодействии им, тем самым согласовывая работу по обеспечению безопасности с приоритетами предприятия. Это, в свою очередь, позволит им и их командам стать менее реактивными и более стратегическими в том, как они решают возникающие проблемы. «Тогда они управляют событиями, а не просто реагируют на них», - говорит Моррисон.

Уделять слишком много внимания инструментам и технологиям, а не заинтересованным сторонам и их потребностям

Аналогичным образом Джинан Бадж, главный аналитик Forrester, говорит, что неспособность установить приоритеты взаимодействия с заинтересованными сторонами может помешать реализации надежной программы безопасности.

«Без этого директоры по информационной безопасности не знают, чему расставить приоритеты или как заручиться поддержкой», - объясняет она. Такие должностные лица, которые не уделяют первостепенное внимание взаимодействию с заинтересованными сторонами, с большей вероятностью столкнутся с сопротивлением со стороны своих коллег-руководителей и, возможно, даже столкнутся с сокращением финансирования своих проектов. «CISO могут смотреть на свои стратегии и думать, что они сделали все», - говорит она, добавляя, что у них не будет полной картины корпоративных рисков, если они не будут работать с заинтересованными сторонами над совместной разработкой и разработкой стратегий кибербезопасности наряду со стратегиями бизнеса.

Обеспечение безопасности в отделе безопасности

Эксперты говорят, что создание отличной команды безопасности, но неспособность создать культуру безопасности на всем предприятии - это верный путь к подрыву успеха.

Статистика это подтверждает. Отчет Verizon о расследованиях утечек данных за 2021 год показал, что 85% утечек в 2020 году были связаны с человеческим фактором.

Как говорит Ом Мулчандани, директор по информационной безопасности и руководитель отдела исследований компании Accurics, занимающейся облачными технологиями, «щелчок по одной неправильной ссылке может подорвать все старания службы ИБ».

Директоры по информационной безопасности должны разработать эффективные программы повышения осведомленности и обучения в области безопасности, направленные на то, чтобы помочь всем сотрудникам понять, что они должны играть свою роль в обеспечении безопасности.

«Культура важна, потому что она увеличивает силу директора по информационной безопасности и его или ее организации, - говорит Моррисон. - Сегодня почти каждая атака осуществляется через скомпрометированные учетные данные или какое-либо нарушение личного доверия - социальная инженерия, фишинг, получение пароля. Таким образом, эффективная безопасность должна включать информирование всех, кто является целью [об этих рисках]; это должно включать в себя обеспечение безопасности работы каждого».

Недосмотр за собственными сотрудниками службы безопасности

Точно так же директоры по информационной безопасности, которые пренебрегают своими командами и культурой своего отдела безопасности, быстро обнаружат, что в результате страдает программа безопасности, говорят ветераны-лидеры безопасности.

«Люди часто думают, что командная токсичность или плохо функционирующие команды влияют на отдельных людей, но это также влияет на состояние кибербезопасности и риски», - говорит Бадж, чьи исследования сосредоточены на обеспечении успеха роли директора по информационной безопасности; создание трансформационных стратегий кибербезопасности; и повышение осведомленности о безопасности, поведении и культурных программах.

Она добавляет: «Если ваша команда занята борьбой, если они звонят в HR, они не внедряют инновации, они не автоматизируют, они не думают о более широкой картине или стратегии. И все это приводит к тому, что служба безопасности не работает».

Недовольные работники также чаще уходят. Это, вероятно, приведет не только к нехватке персонала, но и к еще более трудным временам поиска новых труднодоступных экспертов по безопасности. В конце концов, какой сотрудник службы безопасности захочет присоединиться к несчастной команде, когда вокруг полно вакансий?

По ее словам, это негативно сказывается и на более широкой организации. «Тогда это еще больше усиливает негативное впечатление о безопасности. [Другие сотрудники будут думать]: «Мы не можем с ними разговаривать, они даже не могут разговаривать друг с другом».

По словам Бадж, если директорам по информационной безопасности приходится руководить токсичной культурой, им необходимо использовать свои лидерские качества для реализации стратегий управления и рабочих мест, таких как программы сплочения коллектива и программы обучения, которые могут направить их отделы по наилучшему пути.

Сосредоточение на новых продуктах

Директоры по информационной безопасности могут выбирать из растущего числа новых технологий и процессов, таких как расширенное обнаружение и реагирование (XDR), поведенческая аналитика, поиск угроз и модель нулевого доверия. Но эти расширенные возможности не принесут реального повышения безопасности, если руководители отдела ИБ не справятся идеально с более базовыми элементами надежной программы безопасности и если они не настроят их все на конкретные потребности своей организации.

«То, что мы видели в последнее время при анализе взломов, - это технические лазейки или бреши в системе безопасности, которыми воспользовались злоумышленники», - говорит Мулчандани.

По его словам, чтобы быть по-настоящему эффективными, организациям нужны программы безопасности, адаптированные к их конкретным рискам и наиболее вероятным источникам угроз. Коммунальная служба, например, с большей вероятностью станет мишенью для хактивистов и представителей национального государства, чем мелкий розничный торговец, хотя они оба уязвимы для атак при возможности. Директоры по информационной безопасности, которые понимают эти моменты, адаптируют стратегии безопасности к конкретным требованиям организации. А сосредоточение внимания на совершенствовании основ кибербезопасности может, по словам Мулчандани, «обеспечить максимальную отдачу даже при ограниченном бюджете».