До кібербезпеки люди часто відносяться так само, як і до свого здоров'я: якщо проблеми не проявляються зовні, значить, всередині все добре.
Якщо гроші - витрачено, певні дії - виконано, а працівники відділу інформаційних технологій кажуть, що з безпекою все гаразд, інші співробітники організації спокійно займаються своїми справами. Але практично завжди є який-небудь нюанс, який експерти проігнорували. У цьому полягає реальна проблема безпеки - часто ситуація не така, якою здається.
Схильність людини до підтвердження своєї точки зору працює проти вашої політики безпеки. Ми бачимо те, що хочемо бачити - наприклад, позитивні результати впровадження заходів безпеки - і потім шукаємо цьому підтвердження.
Нижче наведені деякі приклади заходів безпеки, які можуть призвести до виникнення небезпечної ілюзії захищеності, якщо не будуть належним чином переглянуті:
-
Офіційний комітет з безпеки, який періодично збирається для контролю виконання проектів, а також для розробки і впровадження нових політик.
-
Відповідально прописані процедури, які повідомляються користувачам і застосовуються там, де це необхідно.
-
Контроль за забезпеченням безпеки з боку постачальників, аудиторів і консультантів певного напрямку.
-
Засоби управління безпекою мережі, які захищають користувачів від самих себе і зовнішніх атак.
-
Страхування від кібер-ризиків, яке гарантує безпеку мережі в разі виникнення інцидентів.
Всі перераховані вище процедури, дійсно, є елементами добре організованої програми безпеки, однак, потрібно усвідомлювати, що ваша організація може бути не настільки добре захищеною, як ви припускаєте, незалежно від того, скільки грошей і ресурсів ви в неї вклали.
Якщо комітети з безпеки не були сформовані належним чином, в кінцевому підсумку, вони можуть перешкоджати, а не сприяти безпеці. Подумайте, що можна зробити краще або по-іншому, щоб переконатися в надійності цього структурного підрозділу.
Так само не варто занадто покладатися на політику безпеки. Документація з безпеки необхідна, тому що її вимагають аудитори, регулюючі органи та інші організації, однак, вона може створити більше проблем, ніж вирішити, якщо не буде підкріплена належними заходами контролю і забезпечення конфіденційності.
Подумайте про те, щоб залучити користувачів до участі в усуненні прогалин у безпеці. Проведення тренінгу з підвищення обізнаності про заходи безпеки, наприклад, про те, як правильно використовувати мережеве обладнання, і отримання зворотного зв'язку - це хороший спосіб привернути увагу людей до підвищення ефективності вашої програми. Моніторинг системи безпеки за допомогою штучного інтелекту також може допомогти усунути прогалини в захисті вашої організації.
Джерело securityintelligence.com. Переклад виконала адміністратор сайту Олена Пономаренко.
