Cihezija – integracija varnostnih strategij z osnovno poslovno funkcionalnostjo

Kaj nam lahko poveste o svojem poklicnem ozadju?

Moje prejšnje izkušnje vključujejo tri leta s KMPG, kibernetsko varnostno prakso, in osem let na Detici, ki jo je pozneje kupil obrambni premier BAE Systems. Če grem naprej, sem v britanski vojski preživel 13 let. Vsaka od teh faz moje kariere je prispevala k moji viziji kibernetske varnosti in zmožnosti Cyhezije.

Katerih ključnih načel upoštevate pri svojem delu?

Prvič, kibernetsko varnost je treba uskladiti s poslovanjem. Podjetje postane ranljivo, če ne prepozna potrebe po varnostnih rešitvah. Da bi bila učinkovitost, mora biti varnost razumljiva; podjetje mora razumeti, kaj dosega varnost in zakaj je to pomembno. Prevečkrat vidim, da varnostne ekipe vložijo velike napore v izvajanje rešitev, vendar na koncu pustijo posel.

Prav tako se moramo nehati ukvarjati le s tehničnimi rešitvami in se osredotočiti tudi na zahteve po spremembah poslovanja; to bo spremenilo odnos med podjetji in varnostjo. Potrebujemo zmogljivost, ki preprečuje grožnje z odkrivanjem in odzivanjem. To ne bi smelo biti težko razumeti podjetja. Ali bi se na primer izvršnemu direktorju ali glavnemu direktorju všeč, da se samo zanašajo na ključavnice, ali bi tudi prepoznali potrebo po CCTV, varnostnikih in alarmnem sistemu? Ključno pri tem je preseganje preprečevanja, saj včasih grožnje preidejo. Posel mora biti pripravljen na reševanje tega odziva, in to je toliko izziv vodstva, kolikor je tehničnega.

Sprememba dinamike je zelo pomembna. Če smo učinkoviti pri odkrivanju grožnje in se lahko hitro odzovemo, lahko zmanjšamo nekatere najbolj neprožne varnostne kontrole in podjetju omogočimo večjo svobodo delovanja in tako pomaga, da postane bolj prilagodljiv in prilagodljiv pri doseganju večjih ciljev.

Spremeniti moramo pogovor o varnosti, tako da ga ne bomo videli le kot povleči posel, ampak kot spodbudo, ki podpira nemoteno poslovno kontinuiteto in odpornost. Gre za to, da podjetjem pomagajo razumeti vlogo, ki jo morajo odigrati, in ne le za izbiro orodij ali tehnologij, v katere bodo vloženi.

Kateri so izzivi, s katerimi se organizacije ukvarjajo pri izvajanju varnostne strategije?

Po mojem mnenju je premalo truda namenjeno elementom poslovnih sprememb, kot so upravljanje, politika, organizacija, operativni model, spretnosti in procesi. To sposobnost je treba vzdržati in prilagoditi sčasoma. Pogosto pri organizacijah, ko orodje obstaja že nekaj časa, ugotovijo, da je to vedenje in zato osnovna varnost zanemarjena. To ni problem, ki ga je mogoče rešiti in pozabiti, in nujno je biti v koraku s grožnjami, razumeti spremembe v tehnologiji, ki se zagovarjajo, in biti v koraku s poslovnimi prednostnimi nalogami. Vse tri razsežnosti se bodo stalno spreminjale in varnostna organizacija (četudi je le nekaj ljudi) se mora temu ustrezno prilagoditi.

Naš pristop se začne s strategijo. To bi se moralo začeti z razumevanjem, kaj je treba zaščititi. Kaj odbor ocenjuje kot koristno za podjetje? To je lahko intelektualna lastnina, informacije o strankah, odpornost v dobavni verigi ali finance in zakladnica. To ni tehnično vprašanje. Gre za razumevanje, katere stvari so najbolj koristne za podjetje in kdo bo verjetno motiviran, da jim škodi.

Preprosto povedano, če nikogar ne motivira za napad, se ne bi smeli skrbeti. Največji obseg resnih groženj je ponavadi posledica kaznivih dejanj. Če zločinec ne more zaslužiti denarja iz napada, verjetno ne bo vložil časa in truda vanj. Zato je pomembno kategorizirati, katera sredstva so dragocena in kaj bi jim lahko ogrožala, nato pa razviti strategijo, kaj želite preprečiti in kaj morate zaznati in odgovoriti.

Ko imate varnostno strategijo, se lahko prepričate, da vsa dejanja, ki jih izvajate, prispevajo k doseganju želenega rezultata.

Pogosto je učinkovitejše in učinkovitejše, da se ta strategija izvaja v obliki programa preoblikovanja in ne kot zbirka taktičnih projektov.

Kako začeti načrtovati varnostno strategijo za podjetje?

Obstajajo 4 ključna vprašanja, na katera skušamo odgovoriti s svojimi strankami, preden se sprejmejo kakršne koli odločitve o tehnologiji ali storitvah.

Prvič, kaj poskušamo doseči? Zveni kot očitno vprašanje, vendar sem našel veliko organizacij, vključno z vladnimi oddelki, organizacijami in korporacijami, katerih projekti so se težko uresničili, ker tega še niso opredelili. Na primer, v primeru misije skupine za varnostne operacije bo nedvomno en cilj odkrivanje incidentov. Toda kakšno vlogo bi morali odigrati pri oceni učinkovitosti nadzora; ali usmerjanje odziva na incident; ali prispeva k večji poslovni ozaveščenosti? Kakšen je njihov obseg; ali je omejena na interno informacijsko tehnologijo; ali sega v oblak in v dobavno verigo; ali imajo tudi odgovornosti operativno tehnologijo ali sisteme upravljanja stavb?

Drugo vprašanje bi moralo opredeliti, katere zmogljivosti bodo potrebne za dosego teh ciljev? To ne bi smelo biti vključeno v izbiro tehnologije. Opredeli bloke zmogljivosti ali funkcij in je omejen na določitev njihovega namena.

Tretje vprašanje je, kako se bo ta sposobnost pridobila ali pridobila? Kateri elementi bodo v hiši in kateri bodo na voljo?

Četrto vprašanje, ko smo se odločili, kaj je glavno poslanstvo, katere zmogljivosti so potrebne in od kod se bodo pridobile, je določiti operativni model, ki ga povezuje vse skupaj.

Če se že na začetku potrudite za razvoj te ravni podrobnosti, boste med izvajanjem lahko prepričani, da boste razvijali prave procese, politike in tehnologije ter opredelili, katere spremembe in spremembe bodo potrebne v različnih skupinah zainteresiranih strani znotraj podjetja.

 Kako uravnotežite konflikt med enostavno uporabo in varnostjo?

Ta konflikt bo vedno prisoten. Po mojem mnenju mora varnost delovati s privolitvijo podjetij. Če je varnost obravnavana kot težava ali nadloga, bo prenehala veljati. Na primer, če varnostna funkcija v organizaciji prepoveduje uporabo storitev za skupno rabo datotek, kot je Dropbox, in postavi nadzor za preprečevanje le-tega, ne da bi pa omogočil alternativni priročen način izmenjave informacij z zunanjimi strankami, bodo ljudje našli način, kako to storiti kontrole, da se stvari uredijo.

Po drugi strani pa, če se varnostna funkcija ukvarja s podjetjem, lahko najde rešitve, ki delujejo v tem poslu. Redko se zgodi, da zaposleni resnično želijo ogroziti posel; večinoma se samo trudijo opravljati svoje delo. A pogosto lahko dejanja, ki jih sprejmejo, škodijo podjetju, ne da bi se tega zavedali.

V zadnjem primeru je nadzor nad deljenjem datotek pomemben in tam je veliko ponudnikov storitev, zato morajo biti omejitve. Z razumevanjem poslovne potrebe bi bilo treba v okviru poslovnega tveganja omogočiti izbiro najustreznejšega ponudnika oblakov ali zgraditi rešitev, ki vam omogoča učinkovito in varno vodenje podjetja.

Dobra varnost je dejavnik, ki omogoča in ponuja rešitve za dokončanje dela. Ustvarjanje dialoga s podjetjem pogosto ni enostavno, vendar je pomembno. To se začne na vrhu in stranke sem pogosto navdušil nad mojim prepričanjem, da bo glavni direktor informacijske varnosti morda potreboval več kot polovico svojega časa za iskanje poslov in vzpostavljanje odnosov. To ni vedno priznano, saj bo njihov čas obvladoval izvajanje in upravljanje varnostnih kontrol. Vendar je posel ključni del teh kontrol, zato ga ni mogoče prezreti.

Mislim, da obstajajo podobnosti iz zgodovine v svetu IT. Pred približno dvajsetimi leti je bilo veliko razprav o vlogi in avtoriteti IT. Številne razprave o tem, ali naj bi bil CIO na krovu ali ne, so bile številne. Če pogledam uspešna podjetja, sem ugotovil, da ne gre posebej za to, komu je poročal CIO, ampak več za tip osebe, ki jo je imel CIO, in odnos, ki ga je imel s podjetjem.

Če ima varnost zdrav odnos s podjetjem, potem vsi lažje razumejo, kaj poskušajo doseči.

Pristop, ki ga zavzema Cyusion, povečuje možnosti, da bo ravnovesje med nadzorom in omogočanjem poslovanja pravilno. Verjamemo, da skrivnost uspeha temelji na:

  • Dobra strategija – Določiti, kaj poskušamo doseči, in težko razmišljamo, kako bomo to dosegli, preden se bomo lotili zanimivega posla z nakupom tehnologije.
  • Učinkovita preobrazba – disciplina za spremembo podjetja, da bo prinesla pravi rezultat, namesto da bi se preveč osredotočala na izvajanje nove tehnologije.
  • Vzdrževanje sposobnosti – Gre za to, da se spremembe spremenijo. Včasih lahko to spremembo pripelje od znotraj, vmesno vodstvo pa lahko tu igra vlogo, prenaša znanje in prilagodi model, da bo delovalo. Navsezadnje bo stranka, ki bo morala nenehno vzdrževati in prilagajati zmogljivosti, ko se bodo okoliščine spremenile.

Imate svojo tehnologijo?

Cihezija ne razvija lastne tehnologije. Imamo tesne odnose z različnimi ponudniki tehnologij, zlasti na nastajajočih področjih, ki se jim trenutno zdijo pomembna. Našim strankam pomagamo razumeti, katere tehnologije so na voljo in jim ustrezajo in kako jih izvajati na najbolj učinkovit način.

Katere tehnologije se vam zdijo trenutno najpomembnejše?

Ena tehnologija, za katero mislim, da lahko veliko doda avtomatizaciji in orkestraciji varnostnih operacij. Preveč datum je bil to območje zapostavljen, a se pravilno uporablja, lahko veliko prispeva. Obstaja veliko tehnologij, ki so dobre pri odkrivanju groženj, a ko to storijo, se je delo šele začelo. Avtomatizacija je bistvenega pomena za zmanjšanje dnevnega dela in varnostnim skupinam, da se osredotočijo na področja, kjer dosegajo največjo vrednost..

Grožnje štejem v 3 različne kategorije:

  • Dobro znane in natančno opredeljene grožnje, kjer natančno veste, kaj je treba storiti, da jih odpravimo.
  • Grožnje, ki so znane, a niso dovolj natančno opredeljene in zahtevajo določeno stopnjo raziskav, preiskav in presoje.
  • Popolnoma neznane grožnje ali napadi brez dneva, ki so najbolj zaskrbljujoči, a tudi najmanj pogosti.

Znane grožnje porabijo večino varnostnih naporov, saj so najpogostejše, vendar so dejansko razmeroma mondene, velik del truda pa lahko popolnoma prevzame tehnologija. To so takšne nevarnosti, pri katerih bi bilo mogoče odziv v celoti avtomatizirati, kar analitikom omogoča, da porabijo čas za dvoumnejše naloge.

Težko je zaposliti varnostne analitike; in ponavadi odidejo, ker jim je dolgčas s posvetnim delom. Analitiki so bolj zadovoljni in imajo manj možnosti, da odidejo, če menijo, da je njihovo delo smiselno. Uporaba orodij za avtomatizacijo in podporo odločanju pomeni tudi, da so odzivi bolj dosledni. Če orodja omogočajo analitikom, da razvijejo svoje lastne zvezke in orkestracijske vzorce, to znanje ostane znotraj podjetja, kar omogoča trajnejše rešitve ob uporabi manj virov.

Druga tehnologija, ki nas zelo zanima, je brskanje na daljavo. To je precej novo območje, vendar vem, da lahko prinese pomembne koristi. Brskalniki so zelo ranljivi za grožnje preprosto zato, ker imajo v veliki meri neomejen dostop do interneta. Če torej vse poslovne dejavnosti, razen najbolj zaupanja vrednega brskanja, premaknete stran od poslovnih sredstev, lahko znatno izboljšate varnost podjetja. Kot pri vsaki tehnologiji je tudi tukaj ključno, da to storite, ne da bi pri tem ogrozili uporabniško izkušnjo, ali pa boste imeli zelo jezen poslovni občutek, ko ga pošiljajo nazaj v dneve internetnih kioskih.