Conferințele din ultima perioadă au avut în centrul atenției subiecte precum evoluțiile relativ “noi”, precum NextGen, Internetul Obiectelor (IoT) și atacurile de tip DDoS la adresa IoT. Faptul că o parte din acești termeni au devenit intens promovați nu reprezintă o problemă în sine, dar au făcut să ne întrebăm dacă nu cumva domeniul securității poate privi lucrurile dintr-o perspectivă greșită și dacă nu cumva omite cerințe care ar trebui adresate.
Acest articol explorează o nouă perspectivă asupra securității cibernetice, prin considerarea acesteia un scop în sine, mai degrabă decât ca pe ceva conectat direct la nevoile din domeniul afacerilor. Așa cum se poate observa acum, se pare că multor organizații de securitate le lipsește o viziunea.
Lecția 1: Începeți cu afacerea (și riscurile sale)
Securitatea în practică poate fi extrem de complexă, dar esența acesteia este destul de simplă. Securitatea constă în reducerea sau eliminarea riscurilor, precum și în a le face pe acestea vizibile, astfel încât afacerile să le poată accepta și să își poată continua activitatea – nici mai mult, nici mai puțin. Pentru a realiza acest lucru cât mai eficient posibil, oamenii de securitate trebuie să înțeleagă afacerea ca pe un ansamblu și să nu abordeze subiectul numai dintr-o perspectivă de natură IT, ci din perspectiva mai largă a activității în sine.
Pornind de la afaceri, în primul rând trebuie identificate, cartografiate și categorizate riscurile specifice acelor afaceri. În al doilea rând, trebuie determinate, inclusiv în ceea ce privește și mediul de afaceri, riscurile ce trebuie să fie tratate și ordinea în care trebuie să fie abordate.
În momentul în care s-a realizat această acțiune, persoana din interiorul companiei responsabilă pentru securitate trebuie să stabilească un plan de securitate ce să descrie modul în care acele schimbări trebuie să fie executate. Astfel, trebuie să existe obiective și termene clare. În mod ideal, acest lucru ar trebui să fie făcut într-un mod “inteligent”, treptat, astfel încât oamenii din domeniul securității să nu fie angajați în prea multe proiecte în același timp.
Lecția 2: Determinați un roadmap pentru securitate, cu obiective clare, pas cu pas
Definirea abordării cu privire la securitate (roadmap-ul securității) este esențială și ar trebui să fie în concordanță cu afacerea dvs. în mod constant, pentru ca ajustările să fie posibile atunci când este cazul și acolo unde este nevoie. În timpul conceperii și execuției acestui plan, proiectele definite vor contribui la reducerea riscurilor și la atingerea obiectivului final.
Este important să nu se piardă din vedere obiectivele afacerii, deoarece oamenii responsabili pentru securitate nu ar trebui să “restricționeze sau să obstrucționeze” afacerea prin măsurile de securitate. Nu este ceva excesiv de tehnic și nu ar trebui tratat acest lucru în acest fel. Întocmirea unui plan de securitate ar trebui să reprezinte ceva ce oricine, chiar și oameni fără abilități în domeniul IT, ar trebui să poată înțelege. Desigur, departamentul IT joacă un rol important, dar numai în momentul final când sunt necesare soluții IT pentru executarea proiectelor de securitate.
Lecția 3: Adresați mai întâi elementele de bază, apoi implementați soluții de securitate mai avansate
Majoritatea organizațiilor nu au implementate nici măcar măsuri de securitate de bază , fără a lua în calcul și soluțiile avansate de securitate. Prezentările companiilor de securitate cu privire la aceste tehnologii arată de obicei uimitor și oferă un conținut interesant, dar sunt pur și simplu prea avansate pentru majoritatea companiilor. În plus, experiența arată că cele mai multe atacuri (aproximativ 90%) utilizează încă cele mai simple metode și vulnerabilități: e-mailuri de tip phishing, atașamente de tip malware etc. În final, este vorba și despre veriga cea mai slabă: ființa umană.
Companiile trebuie să conceapă mai întâi soluții de securitate de bază pentru aceste riscuri simple, înainte de a aborda tehnologii mai avansate. Desigur, acestea sunt la fel de importante și ar trebui să fie puse în aplicare în viitor, dar numai după ce elementele de bază sunt asigurate. De multe ori, în timpul conferințelor se poate vorbi despre o concentrare asupra amenințărilor sofisticate și a APT-urilor (amenințări persistente avansate), dar companii precum TalkTalk sau Ashley Madison ar fi putut fi protejate de atac dacă ar fi avut implementată chiar și o securitate de bază.
Lecția 4: Construiți parteneriate adecvate – cooperarea dintre profesioniștii din domeniul securității IT este esențială
Noile evoluții malware apar rapid, iar grupurile și indivizii implicați în dezvoltarea lor folosesc atacuri și tactici variate și avansate. În cele din urmă, mai multe soluții avansate de securitate vor deveni inseparabile de roadmap-urile complexe de securitate ale companiilor. Cu toate acestea, fundația trebuie să fie realizată, înainte de construirea “casei”, iar pentru această construcție este necesară cooperarea între arhitect, dezvoltatorul imobiliar, zidar, tencuitor și nu în ultimul rând proprietar.
Acest sentiment de a construi ceva împreună este exact ce ar trebui să se petreacă în lumea securității. Este necesară o cooperare intensă, deoarece asemeni construirii unei case, nu există un singur proprietar sau arhitect care să fie, de asemenea, cel mai bun la zidărie, la tencuieli sau la construcții.
Nicio companie de securitate nu are cea mai bună soluție pentru fiecare risc de securitate, prin urmare lucrul în echipă fiind o necesitate. Cei care ar putea cauza prejudicii companiei dvs. fac deja acest lucru, iar profesioniștii din domeniul securității ar trebui să facă la fel. Trebuie început cu proprietarul (afacerea) și cu fundația (foaia de parcurs), apoi trebuie abordate relațiile cu contractorii adecvați (furnizorii de securitate). Numai atunci se poate construi o casă rezistentă, fiabilă și în condiții de siguranță.
Lecția 5: Luați în considerare toate persoanele implicate – singura cale spre succes
Pentru a face progrese în cadrul relației dintre securitate și afaceri, trebuie să existe înțelegere și sprijin din partea companiilor – și vice-versa. Persoanele responsabile pentru securitate trebuie să fie capabile să ofere explicații scurte și clare, în scopul de a face ca toate părțile interesate din cadrul companiei să participe la acest proces. În cazul în care aceste persoane nu pot să realizeze acest lucru, companiile nu vor putea înțelege niciodată și nu va exista suportul de implementare a planurilor (oricât de bune ar fi ele). Așa cum a afirmat cândva Einstein: “Dacă nu poți explica simplu, atunci nu înțelegi destul de bine acel lucru!”
Autor: Dave Maasland, CEO la ESET Olanda în cooperare cu Fred Streefland, Manager Securitate IT la LeaseWeb.
Lasa un comentariu