Tehnologija

Preispitivanje sigurnih preduzeća: su šifrirane platforme još uvijek dovoljno?

anketa.plus
Izvor: anketa.plus
Preispitivanje sigurnih preduzeća: su šifrirane platforme još uvijek dovoljno?

Procjena informacija o američkim vojnim operacijama izazvala je veliki politički incident u martu 2025. godine. Sigurnosni istraživački tank smatra šta CISOS mogu naučiti iz ove potencijalno fatalne greške.

Od

  • Russell Auld, PAC

Objavljeno: 30. maja 2025. godine

U današnjem stalnom mijenjanju cyber pejzaža, odgovaranjem na pitanje “Kako izgleda najbolja praksa?” je daleko od jednostavnog. Dok se pojavljuju tehnologije i sigurnosni alati AI nastavi da prave naslove i postanu teme razgovora, stvarnu tačku za modernu sigurnost ne postoji samo u tehnološkom napretku već u kontekstu, ljudima i procesu.

Nedavna incidentne platforme za razmjenu poruka u kojem je novinar pogrešno dodao grupni chat, izlagati osjetljive informacije, služi kao pravovremeno podsjetnik da je čak i najsigurnija platforma osjetljiva na ljudsku grešku. Platforma nije prekršila zlonamjerni akteri, odnosno nulti-dnevni iskorištavanje koji se koristi ili krajnji enkripcijsko šifriranje; Manjak je ovdje vjerojatno slabo definirano prihvatljive politike i kontrole uporedo pored nedostatka obuke i svijesti.

Ovaj incident, ako ništa drugo, ističe kritičnu istinu unutar cyber sigurnosti – sigurnosni alati samo su dobri kao i okoliš, politike i ljudi koji ih rade. Iako je primamljivo da se fokusira na implementaciju više tehničkih kontrola kako bi se spriječilo da se ovo dogodi, stvarnost je da mnogi incidenti proizlaze iz neuspjeha procesa, upravljanja ili svijesti.

Kako izgleda dobra sigurnost? Neka ključna područja uključuju:

  • Kontekst nad značajkama, na primjer, da li je signal trebao biti korišten na prvom mjestu;
  • Ne postoji takva stvar kao srebrni prilaz metka za zaštitu vaše organizacije;
  • Važnost obuke i obrazovanja važnosti vašeg tima;
  • Pregledavanje i prilagođavanje neprekidno.

Sigurnost mora biti vođena konteksta. Poslovni čelnici moraju razmotriti šta je njihovo ključno područje zabrinutosti – reputacijski rizik, nadzor nad sponzoriranjem, insajderska prijetnja ili regulatorna poštivanje regulatornog propisa. Svaka vektor za prijetnju zahtijeva različit skup kontrola. Na primjer, organizacija koja se bavi službenim ili klasificiranim podacima zahtijevat će samo šifriranje, već osigurane platforme, robusne kontrole pristupa, provjeru identiteta i jasnu reviziju.

Suprotno tome, komercijalno preduzeće za koje se bavi istjecanjem intelektualnog vlasništva može se strateški fokusirati na trening korisnika, prevenciju gubitka podataka i kontrolu uređaja. Najbolja praksa ne bira platformu s najjeftinijom cijenom ili najčešće korištenim; Odabir platforme koja podržava kontrole i politike potrebne na temelju dubokog razumijevanja vaših specifičnih rizika i upotreba slučajeva.

Ne postoji rješenje za sve veličine za vašu organizaciju. Pejzaž sigurnosnog proizvoda ispunjen je dobavljačima koji nude preklapanje rješenja za koje se svi tvrde da pruže veću zaštitu od drugog. I, iako znamo da neki potencijalno nude bolju zaštitu, karakteristike ili funkcionalnost, čak i najbolji alat neće uspjeti ako se nepravilno koristi ili implementira bez jasnog razumijevanja njegovih ograničenja. Još gore, organizacije mogu steći lažni osjećaj sigurnosti oslanjajući se isključivo na potraživanja dobavljača. Prioritet mora biti za procjenu interne sposobnosti vaše organizacije za upravljanje i efikasno upravljanje tim alatima. Preispitivanje pejzaža prijetnji i iskorištavanje bogatstva dostupnih alati za prijetnji inteligencija, pomaže vam osigurati da imate prave vještine, politike i procese na mjestu.

Najbolja praksa u 2025. godine znači prepoznavanje da mnogi sigurnosni incidenti proizlaze iz jednostavnih ljudskih grešaka, misadresnih e-pošte, lošu higijenu lozinke ili čak dijeljenjem pristupa pogrešnom osobom. Ulaganje u kontinuirano obrazovanje osoblja, sigurnosnu svijest i analiza jaza vještina od suštinskog je značaja za smanjenje rizika.

To ne znači prikazivanje godišnjeg 10-minutnog cyber-ovog video zapisa za svijest; Morate identificirati šta će motivirati vaše ljude i pokretati sigurnosne kampanje koje uhvate njihovu pažnju i promijeni ponašanje. Na primjer, mogli biste razmotriti korištenje angažovanih nazovi kao što su obavezna upozorenja o laptopima na laptopima, interaktivne kampanje zaključavanja i kvizovima na ključnim politikama poput prihvatljive upotrebe i složenosti lozinke. Uključite elemente za gamifikaciju, na primjer, nagrade za dovršavanje kvizova i pravovremene podsjetnike da pojačaju sigurnost najbolje prakse i podstiču kulturu budnosti.

Ove kampanje trebaju biti mješavina komunikacija koja se bave ljudima zajedno sa obukom koja se smatrala važna od strane radne snage, kao i susretama specifične potrebe. Vaši programeri trebaju razumjeti sigurne prakse kodiranja, dok su oni u radnoj radu za front mogu trebati obuku u tome kako otkriti phishing ili napad na socijalljenje. Tome ovo pomaže u stvaranju bolje sigurnosne kulture unutar organizacije i poboljšati vaše cjelokupno osiguranje sigurnosti.

Konačno, ono što se danas smatra “najboljom praksom” može biti zastarjelo do sutra. Prijetnje se neprestano razvijaju, propise propisa i vaše vlastite poslovanje i strategija mogu se pomaknuti. Usvajanje životnog ciklusa cyber sigurnosti koji obuhvaća ljude, proces i tehnologiju, podržane poslovnim aktivnostima kontinuiranog poboljšanja i jasna vizija iz viših dionika bit će vitalna. Provođenje redovnih sigurnosnih recenzija, crveno udruživanje i preispitivanje upravljanja i politike pomoći će da osigura da odbrana ostane relevantna i proporcionalna prijetnjama vaše organizacije.

Šifriranje, međutim, još uvijek važno. Kao i SSO, MVP, sigurno prakse kodiranja i kontrole pristupa. Ali pravi kamen temeljac najbolje prakse u današnjem cyber svijetu je razumijevanje zašto su vam potrebne i kako će se koristiti u praksi. Osiguravanje vaše organizacije više nije samo u odabiru najbolje platforme, radi se o stvaranju holističkog pogleda koji uključuje ljude, proces i tehnologiju. I to može biti najsigurniji pristup, na kraju krajeva.

Russell Auld je digitalni povjerenje i stručnjak za cyber sigurnosti na PA savjetovanju

Pročitajte više o zaštiti privatnosti i podataka

  • SignalGate je signal za reviziju sigurnosti na brodu i obuku
  • Sigurnost nasuprot upotrebljivosti: Zašto su Rogue Corporate Comms još uvijek problem
  • Kad lideri zanemaruju Cyber ​​Sigurnosna pravila, cijeli sustav slabi

    Napisao: Raihan Islam

  • Koje su najbolje prakse za osiguranje AWS tehnološkog hrpa?

    Napisao: Nicholas Fernn