Cyhesion – интеграция стратегий безопасности с основной функциональностью бизнеса

Что вы можете рассказать нам о своем профессиональном опыте??

Мой предыдущий опыт включает в себя три года в KMPG, практику кибербезопасности, и восемь лет в Detica, который впоследствии был куплен главным защитником BAE Systems. Возвращаясь назад, я провел 13 лет в британской армии. Каждый из этих этапов моей карьеры способствовал моему видению кибербезопасности и возможностям Cyhesion.

Какими ключевыми принципами вы руководствуетесь в своей работе??

Во-первых, кибербезопасность должна соответствовать бизнесу. Бизнес становится уязвимым, когда он не осознает необходимость в решениях безопасности. Чтобы быть эффективной, безопасность должна быть понятной; бизнес должен понимать, что обеспечивает безопасность и почему это важно. Слишком часто я вижу, что команды безопасности прикладывают значительные усилия для реализации решений, но в итоге оставляют бизнес позади.

Мы также должны прекратить искать исключительно технические решения и сосредоточиться на требованиях к изменениям бизнеса; это изменит отношения между бизнесом и безопасностью. Нам нужна способность, которая уравновешивает предотвращение угроз с обнаружением и реагированием. Это не должно быть сложной концепцией для бизнеса. Например, будет ли генеральный директор или главный операционный директор чувствовать себя комфортно, полагаясь только на дверные замки, или они также признают необходимость видеонаблюдения, охранников и системы сигнализации? Ключевым моментом здесь является выход за рамки предотвращения, потому что иногда угрозы преодолеваются. Тогда бизнес должен быть готов справиться с этим ответом, и это не только техническая, но и управленческая задача..

Изменение динамики очень важно. Если мы эффективны в обнаружении угрозы и способны быстро реагировать, мы можем сократить некоторые из самых негибких мер безопасности и предоставить бизнесу большую свободу действий, помогая ему стать более гибким и гибким для достижения более высоких целей..

Нам нужно изменить разговор о безопасности так, чтобы он не только воспринимался как препятствие для бизнеса, но и как фактор, обеспечивающий бесперебойную непрерывность и устойчивость бизнеса. Речь идет о том, чтобы помочь предприятиям понять роль, которую они должны играть, а не просто выбирать инструменты или технологии для инвестиций.

Каковы некоторые сложные аспекты, с которыми сталкиваются организации в отношении реализации стратегии безопасности?

На мой взгляд, недостаточно усилий уделяется элементам изменения бизнеса, таким как управление, политика, организация, операционная модель, навыки и процессы. Эта способность должна сохраняться и корректироваться с течением времени. Часто в организациях после того, как какое-то время инструмент был на месте, они обнаруживают такое поведение, и поэтому основной безопасностью пренебрегают. Это не проблема, которую можно решить и забыть, и важно быть в курсе угроз, понимать изменения в защищаемой технологии и быть в курсе бизнес-приоритетов. Все три измерения будут меняться на постоянной основе, и организация безопасности (даже если это всего лишь несколько человек) должны соответствующим образом скорректировать.

Наш подход начинается со стратегии. Это должно начаться с понимания того, что должно быть защищено. Что совет считает ценным для бизнеса? Это может быть интеллектуальная собственность, информация о клиентах, устойчивость в цепочке поставок или финансы и казначейство. Это не технический вопрос. Речь идет о понимании того, какие вещи являются наиболее ценными для бизнеса и кто, вероятно, будет мотивирован причинять им вред.

Проще говоря, если есть что-то, на что никто не мотивирован атаковать, беспокоиться не о чем. Наибольший объем серьезных угроз, как правило, исходит от преступных действий. Если преступник не может заработать на атаке, он вряд ли потратит на это время и силы. Поэтому важно классифицировать, какие активы являются ценными, а какие могут угрожать им, а затем разработать стратегию того, что вы хотите предотвратить, и что вам необходимо обнаружить и отреагировать..

Если у вас есть стратегия безопасности, вы можете убедиться, что все предпринимаемые вами действия способствуют достижению желаемого результата..

Часто оказывается более эффективной и действенной реализация этой стратегии в форме программы трансформации, а не набора тактических проектов..

Как начать планирование стратегии безопасности для бизнеса?

Есть 4 ключевых вопроса, на которые мы пытаемся ответить нашим клиентам, прежде чем принимать какие-либо решения о том, какую технологию или услуги приобретать..

Во-первых, чего мы пытаемся достичь? Это звучит как очевидный вопрос, но я нашел много организаций, включая правительственные департаменты, организации и корпорации, чьи проекты изо всех сил пытались осуществить, потому что это не было определено. Например, в случае миссии группы по обеспечению безопасности одной из целей, несомненно, будет обнаружение инцидентов. Но какую роль они должны играть в оценке эффективности контроля; или руководство реагированием на инцидент; или способствуя повышению осведомленности бизнеса? Какова их сфера применения; это ограничено внутренней ИТ; или распространяется на облако и в цепочку поставок; они также несут ответственность за эксплуатационные технологии или системы управления зданием?

Второй вопрос должен определить, какие возможности будут необходимы для достижения этих целей? Это не должно быть вовлечено в выбор технологии. Он определяет блоки возможностей или функций и ограничивается определением их назначения..

Третий вопрос о том, как эти возможности будут получены или закуплены? Какие элементы будут в доме, а какие будут получены?

Четвертый вопрос, после того как мы решили, какова основная миссия, какие возможности необходимы и откуда они будут получены, – определить операционную модель, которая связывает все это вместе..

Если вы начнете прилагать усилия для развития этого уровня детализации в начале, вы можете быть уверены, что в процессе реализации вы будете разрабатывать правильные процессы, политики и технологии, и заранее определить, какие изменения и модификации потребуются для различных групп заинтересованных сторон. в бизнесе.

 Как сбалансировать конфликт между простотой использования и безопасностью??

Этот конфликт всегда будет там. На мой взгляд, безопасность должна действовать с согласия предприятий. Если безопасность рассматривается как проблема или неприятность, она перестает быть эффективной. Например, если функция безопасности в организации запрещает использование служб обмена файлами, таких как Dropbox, и устанавливает средства управления для предотвращения этого, но без предоставления альтернативного удобного способа обмена информацией с внешними сторонами, люди найдут способ обойти эти проблемы. контролирует, чтобы сделать вещи.

С другой стороны, если функция безопасности связана с бизнесом, она может предложить решения, которые работают для этого бизнеса. Редко, когда сотрудники искренне хотят поставить под угрозу бизнес; в основном, они просто пытаются сделать свою работу. Но часто действия, которые они предпринимают, могут нанести вред бизнесу, не осознавая этого..

В последнем примере важно управлять совместным использованием файлов, и существует множество поставщиков услуг, поэтому должны быть ограничения. Понимая бизнес-потребности, в контексте бизнес-риска должна быть возможность выбрать наиболее подходящего облачного провайдера или создать собственное решение, которое позволит вам эффективно и безопасно вести свой бизнес..

Надежная безопасность – это фактор, способствующий выполнению работы. Создать такой диалог с бизнесом зачастую непросто, но важно. Это начинается сверху, и я часто поражаюсь убежденностью клиентов в том, что главному сотруднику по информационной безопасности, возможно, придется потратить более половины своего времени на охват всего бизнеса и построение там отношений. Это не всегда признается с учетом того, что их время будет зависеть от реализации мер безопасности и управления ими. Но бизнес является важной частью этих средств управления, поэтому его нельзя игнорировать.

Я думаю, что в мире ИТ есть сходство с историей. Около двадцати лет назад было много дискуссий о роли и авторитете ИТ. Были многочисленные дебаты о том, должен ли CIO быть в правлении или нет. Глядя на успешные компании, я понял, что дело не в том, о чем сообщил ИТ-директор, а в том, каким человеком был ИТ-директор и в каких отношениях он или она были с бизнесом..

Если у безопасности здоровые отношения с бизнесом, то все с большей вероятностью поймут, чего они пытаются достичь.

Подход, который использует Cyhesion, увеличивает шансы на то, что баланс между контролем и поддержкой бизнеса будет правильным. Мы считаем, что секрет успеха основан на:

  • Хорошая стратегия – Определение того, чего мы пытаемся достичь, и тщательное размышление о том, как мы этого добьемся, прежде чем мы погрузимся в интересный бизнес по покупке технологий..
  • Эффективная трансформация – Наличие дисциплины для изменения бизнеса таким образом, чтобы он приносил правильный результат, вместо того, чтобы слишком сильно концентрироваться на внедрении новых технологий.
  • Поддерживающая способность – Речь идет о внесении изменений палкой. Иногда это может помочь осуществить эти изменения изнутри, и временное управление может сыграть здесь свою роль, передавая знания и корректируя модель, чтобы она работала. В конечном счете, хотя клиенту необходимо продолжать поддерживать и корректировать возможности на постоянной основе, когда меняются обстоятельства.

У вас есть свои технологии??

Cyhesion не разрабатывает свои собственные технологии. У нас прочные отношения с различными поставщиками технологий, особенно в новых областях, которые мы считаем важными в данный момент. Мы помогаем нашим клиентам понять, какие технологии доступны и имеют к ним отношение, и как наиболее эффективно их реализовать..

Какие технологии вы считаете наиболее актуальными в настоящее время??

Я полагаю, что одна технология может значительно улучшить автоматизацию и управление операциями безопасности. Слишком рано пренебрегать этой областью, но при правильном использовании она может внести большой вклад. Есть много технологий, которые хороши в обнаружении угроз, но как только они это сделают, работа только начинается. Автоматизация жизненно важна для сокращения повседневной работы и позволяет группам безопасности сосредоточить свои усилия на областях, где они приносят наибольшую пользу.

Я рассматриваю угрозы в 3 разных категориях:

  • Хорошо известные и четко определенные угрозы, когда вы точно знаете, что нужно сделать, чтобы устранить их.
  • Угрозы, которые известны, но недостаточно четко определены, для решения которых требуется определенное количество исследований, расследований и суждений.
  • Абсолютно неизвестные угрозы или атаки нулевого дня, которые являются наиболее тревожными, но и наименее частыми.

Известные угрозы потребляют подавляющее большинство усилий по обеспечению безопасности, поскольку они являются наиболее частыми, но на самом деле они относительно обыденные, и большая часть усилий может быть полностью перенята технологией. Это те виды угроз, в которых реагирование может быть полностью автоматизировано, что позволяет аналитикам тратить время на более неоднозначные задачи..

Трудно нанять аналитиков по безопасности; и они, как правило, уходят, потому что им скучно заниматься мирской работой. Аналитики более удовлетворены и реже уходят, если чувствуют, что их работа имеет смысл. Использование инструментов для автоматизации и поддержки принятия решений также означает, что ответы более последовательны. Если инструменты позволяют аналитикам разрабатывать свои собственные книги заданий и схемы оркестровки, эти знания остаются в компании, что позволяет создавать более устойчивые решения при меньшем объеме ресурсов..

Еще одна технология, которая вызывает большой интерес – это удаленный просмотр. Это довольно новая область, но я понимаю, что она может принести значительные выгоды. Браузеры очень уязвимы для угроз просто потому, что имеют в основном неограниченный доступ к Интернету. Таким образом, если вы переместите все, кроме самых надежных действий просмотра, из бизнес-ресурсов, вы сможете значительно повысить безопасность бизнеса. Как и в случае с любой другой технологией, ключевым моментом здесь будет сделать это, не ставя под угрозу пользовательский опыт, или у вас будет очень злое чувство бизнеса, когда их возвращают в дни интернет-киосков..