Cyberbezpieczeństwo: co liderzy muszą wiedzieć

Zapotrzebowanie na cyberbezpieczeństwo eksplodowało w ostatnich latach, ponieważ nagłe rozpowszechnienie kultury pracy z domu sprawiło, że firmy na całym świecie dokonały przeglądu swoich systemów, standardów i strategii cyberbezpieczeństwa na przyszłość.

Dlatego BrainStation zgromadził czterech ekspertów branżowych, którzy zarządzają strategią cyberbezpieczeństwa z giganta usług finansowych Mastercard , firmy inwestycyjnej Blackstone , profesjonalnego serwisu sieciowego LinkedIn i twórcy oprogramowania Citrix , aby dyskutować na temat tego, co liderzy powinni wiedzieć o cyberbezpieczeństwie w ramach serii wydarzeń dotyczących przywództwa cyfrowego firmy BrainStation.

Pełną dyskusję panelową można obejrzeć tutaj:

Co to jest cyberbezpieczeństwo?

Przed zbadaniem, w jaki sposób zmienia się krajobraz cyberbezpieczeństwa, nasi paneliści zostali poproszeni o ich wyobrażenia na temat tego, co oznacza cyberbezpieczeństwo.

Eugene Dvorochkin, starszy członek zespołu ds. bezpieczeństwa informacji w LinkedIn, podsumowuje cyberbezpieczeństwo jako „wykorzystywanie technologii, procesów i kontroli do ochrony systemów, sieci i danych. Ostatecznie wszystko sprowadza się do danych… Wszystko, co staramy się zrobić, to chronić te dane, chronić ich integralność i upewnić się, że [nie ma] nieuprawnionego ich wykorzystania”.

Jak wyjaśnia Kurt Roemer, główny strateg ds. bezpieczeństwa w Citrix, tradycyjne ukierunkowanie cyberbezpieczeństwa na zachowanie poufności, integralności i dostępności danych powinno zostać rozszerzone o czwarty czynnik: bezpieczeństwo. „W miarę, jak wdrażamy IoT i inną sztuczną inteligencję oraz [aplikacje rzeczywistości rozszerzonej], integruje się ona z naszym światem fizycznym w sposób, w którym bezpieczeństwo staje się niezwykle ważne”.

Puneet Bhatnagar, starszy wiceprezes / kierownik IAM – Cyberbezpieczeństwo w Blackstone, przyjmuje bardziej filozoficzne podejście: „Zadaję sobie fundamentalne pytanie: „Jak mogę pomóc budować zaufanie w projektowaniu systemów? Czy czuję się komfortowo, rejestrując się w aplikacji, gdy udostępniam swoje dane osobowe? Czy ufam marce, której przekazuję te informacje? Dla korporacji ważne jest, aby postrzegać cyberbezpieczeństwo jako wszystko, co muszą zrobić, aby zbudować zaufanie w swoich aplikacjach i ekosystemie”.

Sukhmani Dev, wiceprezes ds. rozwiązań cyfrowych i bezpieczeństwa w Mastercard, zgadza się. „Chcemy mieć pewność, że zaufanie znajduje odzwierciedlenie w każdej pojedynczej transakcji”.

Osiągnięcie tego ostatecznego celu jest procesem tak dynamicznym, jak sama technologia. Poniżej przedstawiamy tylko kilka szerszych trendów, które zidentyfikowali nasi paneliści.

Cyberbezpieczeństwo jest ważniejsze niż kiedykolwiek

COVID-19 i wynikająca z niego eksplozja kultury pracy z domu skróciły ewolucję, która miała zająć dekadę w kilka miesięcy. Przyspieszenie to oznacza większą aktywność online, więcej nowych użytkowników i większą złożoność poszczególnych systemów, na których ci użytkownicy polegają, a wszystko to oznacza szansę dla złych aktorów. Rezultatem jest nagła i dotkliwa potrzeba większego bezpieczeństwa cyfrowego.

Wiele z tych potrzeb sprowadza się do prostej głośności; podczas blokady więcej osób pracowało i robiło zakupy z urządzeń w swoich domach. Dvorochkin wyjaśnia: „Kiedy korzystasz z sieci domowej, potencjalnie korzystasz z urządzeń osobistych, takich jak komputer osobisty lub iPhone, aby uzyskać dostęp do środowisk korporacyjnych i danych, a także jesteś bardziej zależny od systemów innych firm, takich jak Zoom lub inne. metody komunikacji. Wkraczasz w trudniejsze do zabezpieczenia środowiska”.

Dla wielu dużych międzynarodowych firm przystosowanie pracy zdalnej było stosunkowo proste. Jednak dla wielu mniejszych firm tradycyjnych oznaczało to pierwszy wypad do świata cyfrowego – a te są szczególnie podatne na ataki hakerów. „[To nieporozumienie], że tylko duże, dobrze znane firmy są celem ataków”, kontynuuje Dvorochkin. „Hakerzy stali się bardziej zaawansowani, ale także narzędzia i techniki, których używają, w zasadzie stały się publiczne. Każdy może wejść do sieci i zacząć hakować dowolną firmę. Nie tylko duże, znane firmy są celem ataków wyrafinowanych hakerów – może to być dosłownie każdy sklep typu mom-and-pop”.

Dev identyfikuje rosnącą złożoność systemów jako kolejny wektor. „Wszystko jest ze sobą bardziej połączone niż kiedykolwiek”, mówi. „Jeśli myślisz o banku, mogą mieć swoich dostawców, ale wtedy ich dostawcy mają dostawców, a to są ogromne łańcuchy dostaw. Punkty połączeń rozrosły się wykładniczo w ciągu ostatnich kilku lat”.

Oznacza to więcej słabych ogniw, które hakerzy mogą wykorzystać – a hakerzy to zauważyli.

Przejście od systemów do użytkowników

Wzrost skali i złożoności oznacza również, że zespoły ds. cyberbezpieczeństwa walczą na większej liczbie frontów niż kiedykolwiek. To z kolei prowadzi do zmiany sposobu, w jaki eksperci ds. cyberbezpieczeństwa postrzegają swoje zadanie. Jeśli celem jest zabezpieczenie danych w cyfrowej fortecy, zadaniem cyberbezpieczeństwa jest ochrona granic – ale granice i sposoby atakowania ciągle się zmieniają. Blokowanie danych nie jest odpowiedzią – nie ma sensu mieć systemu, jeśli nikt nie ma do niego dostępu. Zamiast tego priorytetem jest, po pierwsze, potwierdzanie tożsamości osób, które mają do niego dostęp, a po drugie, udzielanie dostępu tylko do tych danych, których potrzebują, a nie do całego systemu.

„Wcześniej mogłeś mieć pewne rzeczy, które można było uznać za bezpieczne tylko wtedy, gdy znajdowały się w czterech ścianach” — mówi Roemer. „A co, jeśli odwrócisz to i powiesz: 'Jak je zabezpieczyć, gdy jest poza czterema ścianami, w chmurze?' Kiedy patrzysz na hybrydowy model pracy, masz ludzi pracujących w różnych sytuacjach potencjalnie co tydzień – w biurze, w domu, może znowu w kawiarni, może w podróży. W jaki sposób możesz upewnić się, że masz odpowiednie środowisko bezpieczeństwa dostępne dla tych osób?”

Dla Bhatnagara oznacza to, że „jedynym prawdziwym obszarem, jaki masz, który możesz naprawdę zabezpieczyć, jest granica twojej tożsamości”. Zwykle wymaga to uwierzytelniania wieloskładnikowego, które pomaga zweryfikować, czy ludzie są tym, za kogo się podają („Istnieją szalone statystyki”, mówi Bhatnagar, „na przykład ponad 90% naruszeń wynikało z pewnego rodzaju włamania do poczty e-mail” ).

W rezultacie: „Nie wystarczy tylko dobry obwód sieci lub dobry zestaw zapór. Musisz zmienić swoje myślenie z skoncentrowanego na systemach lub sieci na skoncentrowanie się na tożsamości lub użytkowniku. Wtedy zaczęliśmy myśleć o tych nowszych paradygmatach zerowego zaufania. Przy takiej ilości informacji, do której ludzie stale uzyskują dostęp, zawsze będziesz nadrabiać zaległości, jeśli tylko próbujesz załatać system lub zabezpieczyć sieć”.

Przeniesienie uwagi na tożsamość użytkownika pomaga wyeliminować dostęp hakerów z zewnątrz, ale pomaga również ograniczyć ryzyko wewnętrzne, ograniczając nawet uprawnionym użytkownikom dostęp do potrzebnych im danych. To oczywiście zależy od możliwości parsowania danych, którymi dysponujesz. Dvorochkin wyjaśnia: „W tamtych czasach firmy nadmiernie uprzywilejowywały ludzi i miały dostęp do wszystkiego, co było możliwe, co oczywiście prowadzi do znacznie większego ryzyka. [Musisz być] bardzo konkretny w odniesieniu do wszystkich danych, które posiadasz. Nie wiesz, czego nie wiesz, więc dobre tagowanie identyfikacyjne jest bardzo ważne – aby dokładnie wiedzieć, gdzie znajdują się Twoje dane, ile ich jest i jakie transakcje z nimi przeprowadzasz, zwłaszcza z dostawcami zewnętrznymi . Ponieważ znowu stajemy się coraz bardziej zależni od aplikacji innych firm, które oczywiście nie są na tym samym poziomie zaufania, co nasi wewnętrzni pracownicy. Wszystko sprowadza się do identyfikacji, posiadania dobrego spisu ich aktywów i możliwości ich ograniczania.

Kultura i edukacja są kluczowe

Nie możesz wdrożyć żadnej strategii cyberbezpieczeństwa, chyba że twoi koledzy z drużyny są na pokładzie. A ludzie są zawsze najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa – większość włamań odbywa się nie poprzez pisanie kodu, ale przez udawanie autorytetu i nakłanianie kogoś do podania hasła. Rozwiązanie jest tutaj zarówno społeczne, jak i technologiczne.

„Cyberbezpieczeństwo nie jest obowiązkiem jednej osoby ani jednego zespołu” — mówi Bhatnagar. „Każdy musi zakasać rękawy i mieć go na własność. Kładziemy duży nacisk na szkolenie świadomości użytkowników końcowych, pomagając im identyfikować wiadomości phishingowe, przeprowadzać symulacje phishingu i stopniowo zwiększać złożoność tych symulacji, aby stale edukować naszych ludzi”.

Może to bezpośrednio ograniczyć pojedyncze przypadki naruszeń danych, ale także pomaga pielęgnować w całej firmie kulturę ceniącą cyberbezpieczeństwo. „Kiedy już to przedstawisz, jest to język, który wszyscy rozumieją — że nie tylko twoi specjaliści od cyberbezpieczeństwa muszą być supertechniczni, ale że istnieje ogólna struktura, którą mogą zrozumieć inni liderzy biznesu. Możesz to wykorzystać, aby podnieść świadomość i uzyskać budżet, fundusze i zasoby potrzebne do ciągłego wprowadzania strategicznych ulepszeń”.

Dev podkreśla znaczenie kultury korporacyjnej. „A wraz z kulturą” – mówi – „Powiedziałabym też, że szkolenie… To zupełnie inny sposób myślenia i działania w porównaniu do starszych systemów. Reszta technologii, projekt itd. ułoży się na swoim miejscu, jeśli masz właściwe podejście do kultury”.

Dla Roemera zaczyna się to od góry. „Bezpieczeństwo to wspólna odpowiedzialność i wszyscy musimy być praktykami w zakresie bezpieczeństwa. Przywództwo musi iść do działu HR i dać im znać, że w całej organizacji potrzebne są funkcje bezpieczeństwa i porozmawiać o tym, jak mogą zapewnić możliwości przekwalifikowania i awansu tym, którzy uważają, że bezpieczeństwo jest atrakcyjną karierą, i być w stanie pozyskać te osoby – nie tylko z organizacji IT, ale z całej organizacji, ponieważ ma to sens – a więc skontaktuj się z resztą organizacji [i poinformuj, że] desperacko potrzebujemy dodatkowych specjalistów ds. bezpieczeństwa i wszyscy musimy być uważani za praktyków”.

Przejście od taktyki do platform

Nieco paradoksalnie, biorąc pod uwagę przesunięcie nacisku z całkowitego bezpieczeństwa systemu na granicę tożsamości użytkownika, widzimy również odejście od taktyk i w kierunku platform – czyli organizowanie wysiłków w zakresie cyberbezpieczeństwa w całościową strategię, a nie szereg indywidualnych łatki.

Roemer wyjaśnia: „Powodem tego jest to, że zarządzanie [zestawem] produktów punktowych stało się bardzo trudne. Nie integrują się dobrze, a my nie mamy zasobów, aby wykorzystać je do ich skuteczności. Dlatego im więcej możemy zbudować i skonsolidować na platformie, tym bardziej możemy wzmocnić możliwości bezpieczeństwa”.

Dworoczkin dodaje, że oznacza to koordynację nie tylko taktyki, ale także całych zespołów. „Często dziedziny technologii lub funkcje są silosowane. Oczywiście wszyscy staramy się osiągnąć ten sam cel, którym jest zapewnienie firmie sukcesu”.

Dla Bhatnagara bardziej strategiczne podejście obejmuje posiadanie dobrze obsadzonego i finansowanego centrum operacji bezpieczeństwa. Chociaż zawsze dobrze jest być proaktywnym, nie oznacza to, że do naruszenia w końcu nie dojdzie, a kiedy tak się stanie, konieczne jest, aby organizacja była gotowa do działania. „Zawsze są rzeczy, które wyjdą z lewego pola, ponieważ hakerzy stają się coraz bardziej zaawansowani, a ich techniki stają się bardziej wytrwałe”.

Cyberbezpieczeństwo jest zawsze dynamiczne

Dworoczkin zgadza się z sentymentem Bhatnagara – responsywność jest kluczowa. Strategia cyberbezpieczeństwa musi być dynamiczna, aby przeciwdziałać atakom zarówno proaktywnie, jak i reaktywnie. Jeśli chodzi o reaktywność, mówi: „Nie chodzi o to, czy , chodzi o to, kiedy zostaniesz naruszony; pełna ochrona na bieżąco jest prawie niemożliwa. W końcu coś się przebije. Ochrona obwodu jest ważna, posiadanie dobrej kontroli detektywistycznej jest ważne – ale musisz także mieć dobrą reakcję, dobrą ocenę i być w stanie przetestować siebie”.

Po stronie proaktywnej oznacza to ciągłą ocenę swojej strategii; nie możesz tego po prostu ustawić i zapomnieć. „[Istnieje] błędne przekonanie, że:„ No cóż, zainwestowaliśmy w technologię, przeprowadziliśmy tę jednorazową konfigurację, mamy program bezpieczeństwa cybernetycznego, jesteśmy gotowi do pracy”, kontynuuje Dvorochkin. „Jednorazowa konfiguracja wdrożenia niektórych narzędzi – to cię nie ochroni. Technologia zmienia się niemal codziennie ze względu na synergiczny związek między technologią a cybernetycznym, a cyberbezpieczeństwo zmienia się równie szybko. Musisz więc być dynamiczny, musisz być zawsze na bieżąco i musisz mieć dobrą inwestycję ze swojej firmy – ponieważ cyberbezpieczeństwo nie jest tanie.”

„Potraktuj swój portfel technologii informatycznych jako zestaw inwestycji” – dodaje Roemer. „Podobnie jak w przypadku osobistych inwestycji, od czasu do czasu przejrzyj i ponownie oceń, co działa dobrze, a co nie i gdzie musisz porzucić psy i przejść do czegoś, co przyniesie ci lepszy zwrot. Bezpieczeństwo jest bardzo podobne. Potrzebujemy elastyczności, a jeśli traktujesz swój portfel technologii informatycznych nie jako utopiony zestaw decyzji, ale jako zestaw inwestycji, które są stale oceniane, możesz pomóc iść naprzód i zaspokoić dzisiejsze i przyszłe potrzeby w zakresie bezpieczeństwa”.

( Ten artykuł został ostatnio zaktualizowany w styczniu 2022 r. )