Сфера кибербезопасности охватывает не только подбор правильных инструментов защиты. Снизить киберриски также можно при эффективном управлении персоналом, быстром выполнении задач и использовании подходящих технологий.
Введение
Кибербезопасность – это не только правильно подобранное ПО. Нетехнические аспекты, такие как управление персоналом, процессами и технологиями, имеют решающее значение для повышения уровня безопасности и снижения киберрисков. К сожалению, об этих базовых компонентах защиты часто забывают. CISO и ИБ-командам в 2023 году нужно обратить внимание на следующие нетехнические тренды в сфере кибербезопасности.
1. Управление программным обеспечением для защиты будет иметь решающее значение
Вспомни свой кухонный ящик со всей посудой и причудливыми приспособлениями, которые, как будто-то бы, были нужны? На самом деле, они просто лежат на полке, и никто ими не пользуется. Подобный феномен наблюдается и в IT-сфере – только касается он программного обеспечения.
По данным Vendr, компания среднего размера тратит около 135 000 $ в год на SaaS-инструменты, которые ей не нужны или которыми она не пользуется. Опрос Gartner, проведенный в 2020 году, показал, что 80% респондентов не используют от 1 до 49% своих подписок на SaaS-программы.
Программное обеспечение «лежит на полке» из-за множества причин, включая проблемы с интеграцией, сбой связи между отделами, плохую поддержку поставщиков или смену CISO.
Какова бы ни была причина, CISO следует уделять пристальное внимание управлению имеющимся ПО в 2023 году, поскольку экономические факторы побудят руководителей идти на риски и сокращать штат (и используемый арсенал программ). Освободив бюджет от ненужных подписок на SaaS, CISO смогут уберечь персонал от внезапных увольнений.
Ниже приведены советы, которые помогут управлять ПО эффективнее:
- Качество важнее количества. Вместо того, чтобы приобретать отдельные продукты для решения проблем по мере их возникновения, стоит остепениться и взглянуть на происходящее под другим углом. Это просто проблема с безопасностью электронной почты, или же загвоздка в поверхности атаки? После того как масштаб проблемы безопасности будет определен, нужно провести тщательную оценку имеющихся технологий, чтобы убедиться, что решения соответствуют насущным и будущим потребностям.
- Вовлечение в процесс покупки заинтересованных сторон. Это касается как ИБ-специалистов, так и разработчиков, – стоит убедиться, что были услышаны все бизнес-требования перед закупкой ПО, чтобы получить максимальную отдачу от своих трат. Подобное удовлетворение потребностей бизнеса приведет к более быстрому и эффективному внедрению новых инструментов.
- Составление плана внедрения. Некоторые жадные до денег поставщики исчезнут после того, как компания оформит подписку на инструмент, предоставив ей право самой решать, как развернуть и использовать продукт. Прежде чем тратить деньги, следует уточнить у поставщика, каким образом обучение, адаптация и непрерывная поддержка будут включены в стоимость. Нехватка знаний является ключевой проблемой, ведь скорость и простота внедрения крайне важна для команд с ограниченными ресурсами.
2. Нехватка опыта и навыков в области кибербезопасности будет негативно сказываться на эффективности работы ИБ-отделов
В то время как нехватка навыков в сфере кибербезопасности становится все менее актуальной проблемой, предприятия все еще борются с высокой текучестью кадров. Опрос ISACA показал, что 60% компаний испытывают трудности с удержанием квалифицированных специалистов в области кибербезопасности, в то время как более половины организаций считают, что им не хватает работников, или они даже испытывают дефицит кадров.
Поиск и удержание хороших специалистов на рабочем месте – задача не из простых, а с ужесточением требований кандидатов к уровню зарплаты эта проблема становится еще более острой. Чтобы справиться с данной непростой ситуацией, CISO следует устранить «пробелы» в своей корпоративной культуре.
Задайте себе вопросы: «Зачем старшему аналитику работать на меня, помимо зарплаты?», «Что его мотивирует?». ISACA выявили, что тремя основными причинами ухода с работы специалистов в области кибербезопасности (без учета заработной платы) были:
- ограниченные возможности продвижения по службе;
- высокий уровень стресса;
- отсутствие поддержки со стороны руководства.
CISO должны помнить, что привлечение нового персонала означает внесение изменений в корпоративную культуру фирмы. Правильно подобранные специалисты смогут выполнять поставленные задачи быстрее и эффективнее. Компания не только повысит свой уровень безопасности, но и поднимет моральный дух команды и удержит ценных сотрудников.
3. Теневая деятельность в сфере IT и распределенная структура организаций будут играть значимую роль в сфере кибербезопасности
Дни монолитных IT остались позади. Цифровая трансформация, ускоренное внедрение облачных технологий и увеличение числа удаленных сотрудников привели к притоку распределенных и теневых IT-компаний. Нелегальные покупки, связанные с IT-сферой, сделанные вне CISO или отдела закупок, такие как Shadow cloud/SaaS и Shadow OT, вызывают растущую озабоченность в сфере кибербезопасности.
Многие организации сталкиваются с (дорогостоящей) задачей обеспечения безопасности систем и данных, распределенных по удаленным сотрудникам, штаб-квартирам, облачным сервисам. Распределенная деятельность является значимой проблемой для организаций, созданных наподобие холдинговых компаний, в которых есть независимые фирмы, ведущие свой собственный бизнес.
Простая блокировка неавторизованных приложений и устройств не решит эту проблему – сотрудники найдут способ обойти ограничения. Почти невозможно точно знать, какие устройства следует заблокировать, а каким – нужно разрешить доступ.
CISO нуждаются в новом подходе, чтобы снизить имеющиеся киберриски. Помимо внедрения правильной технологии, необходимо создать сильную культуру безопасности во всей компании. Понимание потребностей, забот, требований и привычек работников поможет руководителям ИБ-отделов лучше «говорить на языке» персонала, что обеспечит его эффективное обучение.
Обучение высшего руководства и исполнительных должностей ключевым аспектам безопасности имеет еще большее значение, чем осведомленность остальной части компании. Следует рассказать руководителям и начальникам отделов о том, что собой представляет безопасность, конфиденциальность данных, соответствие требованиям и управление рисками, чтобы они понимали, когда следует обращаться к ИБ-отделу, если случилось неладное.
Автор переведенной статьи: компания Trend Micro.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.
