Periklo je navodno rekao: “Samo zato što se ne zanimate za politiku ne znači da se politika neće zanimati za vas.” Ovo bi moglo biti još istinitije za cyber sigurnost.
Ako ste dio organizacije koja ima bilo kakvu digitalnu prisutnost, ne možete pobjeći od odgovornosti za osiguranje svojih sistema, uređaja i podataka. A ako vas motivirani kriminalci koji često djeluju koristeći cyber oružje koje su prve razvile nacionalne države ne prisile da brinete, regulatori hoće.
Propisi mogu biti kriza ili prilika
Na kraju će svaka država usvojiti neki oblik regulacije podataka kako bi zaštitila javnost. Nemaju drugog izbora s obzirom na odgovornost zaštite javnosti od cyber prijetnji. Čak i ako zemlja u kojoj se nalazi vaša firma trenutno nije pod režimom zaštite podataka, vjerovatno jeste neka nacija s kojom želite poslovati.
Ako vaša firma čeka dok propisi ne nametnu usklađenost, bit ćete pod velikim pritiskom da obavite gomilu posla samo da biste bili usklađeni. Svako ko je prošao kroz noćnu moru GDPR-a koju su mnoge organizacije doživjele na svom putu usklađivanja može vam reći da se kako se krajnji rok približava, nitko se ne zabavlja.
S druge strane, ako dosljedno i iterativno već radite na poboljšanju svoje pozicije u pogledu cyber sigurnosti, svaka mala stvar koju poduzmete može kasnije pomoći u usklađenosti. Pozitivni koraci koje poduzmete nadograđivat će se jedni na druge tako da kada propisi stupe na snagu, vi i vaše osoblje nećete biti pod ekstremnim stresom.
Pogledajmo što sve firme mogu učiniti kako bi cyber sigurnost ugradile u svoje poslovanje. Započet ćemo s onima od nas koji se oslanjaju na softver kako bi napredovali, a to su svi koji posluju u 21. stoljeću.
Sigurni ste koliko i vaši dobavljači
Mnoge firme ne shvaćaju koliko smo danas isprepleteni s našim dobavljačima. Većina softvera i podataka na koje se danas oslanjamo više nisu na našim uređajima; nalaze se na tuđem serveru, data centru ili cloudu. I dok se još više pomičemo u model softvera kao usluge (SaaS), naši krajnji uređaji postaju sve više terminali za pristup našim podacima, koji se nalaze na lokaciji nad kojom nemamo kontrolu.
A kako su napadi u opskrbnom lancu sve češći, oni su stalni podsjetnik da ste sigurni koliko i vaši dobavljači.
To znači da morate biti diskriminirajući pri odabiru dobavljača. To može početi traženjem od njih da odgovore na upitnike o cyber sigurnosti ili zahtjevom da ih pregleda stručnjak treće strane. Ovisno o vašem proračunu, osjetljivosti podataka i potencijalnom učinku povrede na vaše klijente, ovaj postupak može biti brz ili prilično dugotrajan. Uvijek je vrijedno vremena.
Shvatite utjecaj cyber napada na vašu organizaciju
Evo nekoliko pitanja na koja trebate znati odgovore: Kako cyber napad može utjecati na ciljeve vaše organizacije? Kako to utječe na rezultate koje vaša organizacija želi? Organizacije imaju vrlo jasne rezultate koje žele postići mjesečno, tromjesečno ili godišnje, ali može li ih cyber napad promijeniti? Koji su rizici koje donosi cyber napad? A koja je imovina ugrožena?
Ako vaša organizacija ne razumije utjecaj cyber napada, možda mislite da je dovoljno označiti neke okvire kada je u pitanju cyber sigurnost da bi vaša organizacija bila sigurna. No možda vas čeka iznenađenje kada cyber-kriminalac otkrije krunski dragulj u vašoj organizaciji koji je ključan za vaše poslovne rezultate, a vaša organizacija zaboravi na njega.
Uspostavite proces obuke o cyber sigurnosti
Ako možete ugraditi cyber sigurnost što je ranije moguće u svaki proces, tada ste na pola puta prema postizanju organizacije koja je sigurna po dizajnu. Obuka o cyber sigurnosti ne bi trebala biti jednokratna stvar. Kako bi cyber sigurnost bila ugrađena u način razmišljanja vaših zaposlenika, obuka o svijesti o sigurnosti mora biti integrirana u svakodnevni radni život.
Za firme koje izrađuju softver, cyber sigurnost još je neizbježnija. Evo dodatnih koraka koje firme mogu poduzeti kako bi osigurale da je cyber sigurnost prednost vaše firme, a ne obveza.
Prepoznajte potencijalnu zloupotrebu svog proizvoda
Većina firmi uključuje potrebe svojih kupaca u svoj plan razvoja. Ali rijetko činimo suprotno i identificiramo načine na koje se naš softver može zloupotrijebiti. Kada identificiramo potencijalne zloupotrebe, poduzimamo prvi korak prema njihovom uklanjanju ili ublažavanju. Modeliranje prijetnji može biti vrijedan alat za ukazivanje na područja zloupotrebe čak i od ranih faza dizajna.
Ugradite cyber sigurnost u temelje
Davanje prioriteta cyber sigurnosti što je ranije moguće u životnom ciklusu proizvoda na kraju će vam uštedjeti vrijeme i novac. Kada programeri još uvijek dodaju kod u svoje platforme za kontinuiranu integraciju/stalnu implementaciju (CI/CD), analiza problema koje je uveo kod i korištene biblioteke trećih strana može pomoći u prepoznavanju problema prije nego što se ugrade. Dinamičke provjere problema koji se mogu naći u konačnom dijelu softvera će ukloniti preostale probleme. A kad se otkriju problemi, ključno je imati DevSecOps tim koji posjeduje cyber sigurnost. Oni bi trebali nadzirati ne samo stvaranje i održavanje koda, već i rješavanje problema cyber sigurnosti.
Održavajte kanal za sigurnosna ažuriranja tokom životnog vijeka proizvoda
Čak i ako je vaša organizacija dizajnirana za cyber sigurnost, ne možete se pripremiti za svaki potencijalni problem u svom proizvodu. Napadači su kreativni. Zato je bitno imati kanal za sigurnosna ažuriranja softvera kad se pojave sigurnosni problemi. Ako je moguće, trebali biste izvršiti sigurnosna ažuriranja čak i nakon životnog vijeka koji je definirao proizvođač i dokle god postoji značajan broj korisnika. U suprotnom, vaši nedostaci koji nisu zakrpani samo će uzrokovati probleme nama ostalima.
Naravno, možete zanemariti sve ove mjere opreza i nadati se najboljem. Ali u nekom trenutku, ili cyber napad ili regulator će se pobrinuti da promijenite mišljenje.
IZVOR: Forbes