Równoważenie doświadczeń użytkowników z bezpieczeństwem: nowy obszar dla CISO w minimalizowaniu narażenia na ryzyko biznesowe

Zespół ds. bezpieczeństwa często był postrzegany jako dział, który zawsze jest na „nie”. Można w pewnym stopniu zrozumieć, dlaczego pojawiła się taka reputacja — każda zmiana w zakresie bezpieczeństwa może wydawać się spowalniająca produktywność. Należy jednak pamiętać, że należy do nich równoważenie doświadczeń użytkowników z bezpieczeństwem, dlatego w tym artykule przedstawimy nowy obszar dla CISO w minimalizowaniu narażenia na ryzyko biznesowe.

Równoważenie doświadczeń użytkowników z bezpieczeństwem

Poniższy scenariusz stał się aż nadto realny dla organizacji na całym świecie.

• Rozwój biznesu: „Chcemy wejść na nowy rynek”.
• Zespół sieciowy: „Świetnie, rozbudujemy naszą infrastrukturę IT”.
• Zespół ds. bezpieczeństwa: „Właściwie nie. To ryzyko, na które nie możemy sobie teraz pozwolić”.

Wszyscy wiemy, co dzieje się dalej. Zespół ds. rozwoju biznesu bierze na siebie obowiązek opłacenia firmowej karty kredytowej, dostarczenia nowej instancji Amazon Web Services (AWS) w nowym regionie i kontynuowania możliwości wzrostu bez akceptacji lub wsparcia ze strony bezpieczeństwa. W ciągu następnych kilku miesięcy możliwość rośnie i ewoluuje w silosie z minimalnym (jeśli w ogóle) łataniem, zarządzaniem polityką lub inną regularną konserwacją. Ostatecznie dzieje się jedna z dwóch rzeczy: niezabezpieczone lub niedostatecznie zabezpieczone środowisko zostaje naruszone lub audyt ujawnia nieodpowiedzialne działania zespołu IT i wyzwala poważną reakcję, która zamyka lub poważnie ogranicza rozwoju firmy.

Oczywiste jest, że bezpieczeństwo nie jest – i nigdy nie będzie – bezkonfliktowe dla większości pracowników. Każda nowa polityka ma na celu ingerowanie w jakiś proces lub interakcję, którą cyberprzestępcy mogą wykorzystać do wyrządzenia szkody. Niezamierzonym skutkiem jest to, że pracownicy mogą znaleźć obejścia lub celowo zignorować polityki bezpieczeństwa, aby utrzymać produktywność.

CISO dzisiaj zmieniają sposób, w jaki bezpieczeństwo integruje się z biznesem, czyniąc je czynnikiem ułatwiającym bezpieczny, zrównoważony wzrost. Ich stałe wyzwanie? Kierowanie organizacjami w stronę innowacyjnych rozwiązań bez narażania bezpieczeństwa lub wpływu na produktywność.

Adaptacyjne zabezpieczenia: inteligentne zabezpieczenia dla inteligentniejszego biznesu

Presja na innowacje w dzisiejszym konkurencyjnym środowisku biznesowym nie musi zwiększać ryzyka ze strony cyberprzestępców. Adaptacyjne modele bezpieczeństwa oferują rozwiązanie pośrednie. Zamiast stosowania sztywnych, uniwersalnych zasad, adaptacyjne zabezpieczenia dostosowują kontrole na podstawie kontekstu — skupiając się na użytkowniku, aplikacji, lokalizacji lub danych, o które chodzi. Dzięki przyjęciu adaptacyjnego zabezpieczenia zespoły zyskują elastyczność dynamicznego reagowania na oceny ryzyka w czasie rzeczywistym, stosując zasady selektywnie do określonego ruchu — czy to według aplikacji, użytkownika, lokalizacji, czy innych kryteriów.

Na przykład wyobraź sobie, że Twój zespół sprzedaży musi uzyskać dostęp do poufnych danych klientów podczas podróży. Dzięki adaptacyjnemu bezpieczeństwu nie musimy ich całkowicie blokować, jeśli logują się z innego kraju. Adaptacyjna strategia pozwala zespołowi ds. bezpieczeństwa powiedzieć „tak” bez poświęcania poziomu cyberochrony.

3 sposoby na wprowadzenie adaptacyjnego bezpieczeństwa do Twojej organizacji

1. Poznaj swoją powierzchnię ataku od podszewki

Adaptacyjne zabezpieczenia zaczynają się od świadomości środowiska IT. Podczas gdy kluczowe jest, aby zespoły ds. bezpieczeństwa rozumiały powierzchnię ataku organizacji, zespoły ds. bezpieczeństwa muszą również znać kontekst, w którym poszczególne komponenty działają w celu osiągnięcia celów biznesowych. Na przykład, jak awaria systemu CRM organizacji wpłynie na sprzedaż? Czy też, jakie są konsekwencje awarii poczty e-mail dla firmy? Ta świadomość pozwala zespołom ds. bezpieczeństwa lepiej zrównoważyć użyteczność i bezpieczeństwo poprzez priorytetyzację ryzyka. Luka w zabezpieczeniach aplikacji niekrytycznej może nie być warta wyłączenia, jeśli nie ma dużego wpływu na ciągłość działania firmy. Kontekst jest najważniejszy.

2. Automatyzacja zgodności i zarządzania

Zespoły ds. bezpieczeństwa mogą sprawić, że zasady cyberbezpieczeństwa będą znacznie mniej uciążliwe dla pracowników, stosując podejście oparte na ryzyku, zamiast po prostu zaznaczać listę kontrolną, jednocześnie zapewniając, że zarządzanie jest stosowane w odniesieniu do normalnego zachowania użytkownika. Umożliwienie silnikowi egzekwowania zasad uczenia się normalnego zachowania i oznaczania nieprawidłowości eliminuje ręczne przetwarzanie wyjątków od zasad. Zmniejsza to obciążenie zespołu ds. bezpieczeństwa, pozwalając mu skupić się na tym, co ważne, a także minimalizując wszelkie potencjalne zakłócenia dla użytkowników.

3. Zapobiegawcze wzmocnienie w celu zmniejszenia ryzyka

Automatyzacja może być również wykorzystywana do proaktywnego wykrywania i usuwania luk w infrastrukturze IT organizacji. To wyprzedzające podejście zmniejsza powierzchnię ataku, zapobiega wystąpieniu ataków, powstrzymuje ich rozprzestrzenianie się i zapobiega zakłóceniom w działalności biznesowej. Takie podejście zmniejsza prawdopodobieństwo wystąpienia incydentu bezpieczeństwa; poprzez automatyczne usuwanie nisko wiszących owoców, dzięki czemu analitycy mogą skupić się na zdarzeniach o wyższym priorytecie.

Od „Nie” do „Wiem”

Wdrożenie rygorystycznych kontroli bezpieczeństwa nie musi odbywać się kosztem produktywności. Dzięki przyjęciu adaptacyjnego bezpieczeństwa CISO i ich zespoły mogą stworzyć bezpieczniejsze, bardziej elastyczne środowisko, w którym bezpieczeństwo umożliwia rozwój firmy, zamiast mu przeszkadzać. Dzięki właściwej adaptacyjnej strategii bezpieczeństwa podejmujesz wyzwanie przekształcenia bezpieczeństwa w strategicznego partnera, który rozumie firmę, dostosowuje się do jej potrzeb i dba o bezpieczeństwo, nie spowalniając nikogo. To jest sytuacja korzystna dla obu stron.

Pamiętaj także, że jedynym sposobem na zachowanie odpowiedniego poziomu cyberbezpieczeństwa w firmie jest zintegrowanie jej sieci i zasobów ze skutecznym systemem antywirusowym. Jeśli chcesz poznać możliwości produktów z linii Bitdefender GravityZone, to sprawdź tę stronę.