Când vine vorba de securitatea cibernetică corporativă, să conduci prin exemplu contează. Da, este important ca fiecare angajat să își joace rolul într-o cultură a securității prin proiectare. Dar tonul, abordarea și indicațiile vin, de cele mai multe ori, de la conducerea companiei. Dacă consiliul de administrație și conducerea nu își pot dedica timp pentru a învăța igiena cibernetică de bază, de ce ar trebui să o facă restul companiei?

În plus, directorii sunt ei înșiși o țintă foarte apreciată în rândul actorilor amenințărilor, având în vedere accesul lor la informații sensibile și puterea pe care o au de a aproba transferuri mari de bani. Deci, lipsa de a practica ceea ce predică ar putea duce la daune financiare și reputaționale semnificative.

Într-adevăr, un nou raport de la Ivanti dezvăluie o „diferență de conduită” semnificativă în domeniul securității cibernetice între ceea ce spun directorii seniori și ceea ce fac aceștia. Măsurile de contracarare a acesteia ar trebui să fie o chestiune de urgență pentru toate organizațiile.

Decalajul de conduită

Raportul de la Ivanti a fost realizat la nivel global, rezultatele venind în urma unor interviuri cu peste 6.500 de lideri executivi, profesioniști în securitate cibernetică și angajați din Europa, SUA, China, Japonia și Australia. Printre altele, este scoasă la iveală o deconectare majoră între ceea ce spun liderii de afaceri și ceea ce fac ei de fapt. De exemplu:

• Aproape toți (96%) susțin că „sunt cel puțin moderat implicați sau că au investit în mandatul de securitate cibernetică al organizației lor”
• 78% spun că organizația oferă instruire obligatorie în domeniul securității
• 88% spun că „sunt pregătiți să recunoască și să raporteze amenințări precum malware și phishing”

Până acum, totul sună bine. Dar, din păcate, asta nu este toată povestea. De fapt, mulți lideri de afaceri:

• Au solicitat eludarea uneia sau mai multor măsuri de securitate în ultimul an (49%)
• Utilizează parole ușor de reținut (77%)
• Accesează linkuri de phishing (35%)
• Utilizează parolele implicite pentru aplicațiile de serviciu (24%)

Comportamentul persoanelor din conducere este adesea cu mult sub ceea ce reprezintă o practică de securitate acceptabilă, discrepanța fiind destul de vizibilă, în comparație cu angajații obișnuiți. Doar 14% dintre angajați spun că folosesc parole implicite, față de 24% dintre directori. Iar cel din urmă grup are de trei ori mai multe șanse să partajeze dispozitive de lucru cu utilizatori neautorizați, potrivit raportului. Directorii au, de asemenea, de două ori mai multe șanse să descrie o interacțiune din trecut cu securitatea IT ca fiind „incomodă” și cu 33% mai multe șanse să spună că nu se „simt în siguranță” raportând erori precum accesarea unor link-uri de phishing.

5 pași pentru atenuarea amenințării executive

Acest lucru contează, din cauza drepturilor de acces pe care liderii seniori le au de obicei într-o organizație. Combinația dintre practicile de securitate slabe și „excepțiile pentru executiv”, care îi determină pe mulți să ceară soluții pentru care angajații obișnuiți ar fi refuzați, îi transformă într-o țintă atractivă. Raportul susține că 47% dintre directori au fost o țintă cunoscută de phishing în ultimul an, față de 33% dintre angajații obișnuiți. Și 35% au dat click pe un link rău intenționat sau au trimis bani către conturi compromise, comparativ cu doar 8% dintre angajați.

Experții în securitate vorbesc adesea despre necesitatea unei culturi de securitate prin proiectare sau centrată pe securitate, în care conștientizarea celor mai bune practici și igiena cibernetică să fie cunoscute și implementate în întreaga organizație. Acest lucru este aproape imposibil de realizat dacă pozițiile superioare de conducere nu întruchipează aceleași valori. Deci, ce pot face organizațiile pentru a atenua riscurile legate de securitatea cibernetică create de directorii lor?

1. Efectuați un audit intern al activității pozițiilor executive pentru ultimul an. Acesta ar putea include activitatea pe internet, comportamentul potențial riscant, cum ar fi click-urile pe linkuri de phishing care sunt blocate și interacțiunile cu administratorii de securitate sau IT. Există tipare demne de remarcat, cum ar fi asumarea excesivă de riscuri sau comunicarea greșită? Care sunt lecțiile învățate?

Cel mai important obiectiv al acestui exercițiu este de a înțelege cât de mare este decalajul de conduită și cum se manifestă în organizația dvs. O alternativă poate fi chiar și un audit extern, necesar pentru a obține o perspectivă terță parte asupra lucrurilor.

2. Abordați mai întâi elementele de bază. Aceasta înseamnă cele mai comune tipuri de practici de securitate proaste, care sunt cel mai ușor de remediat. Iată câteva exemple: actualizarea politicilor de acces pentru a impune autentificarea cu doi factori (2FA) la nivel general sau stabilirea unei politici de clasificare și protecție a datelor care exclude anumite materiale pentru directori specifici. La fel de importante ca actualizarea politicii sunt și informările regulate și prezentarea motivelor pentru care a fost necesară.

Accentul pe parcursul acestui proces ar trebui să fie pus pe punerea în aplicare a unor controale cât mai puțin intruzive posibil, cum ar fi descoperirea automată a datelor, clasificarea și protecția lor. Acest lucru va ajuta la găsirea echilibrului corect între securitate și productivitate.

3. Ajutați directorii să unească punctele dintre malpraxis în securitate și riscul de afaceri. O modalitate posibilă de a face acest lucru este desfășurarea de sesiuni de formare care utilizează tehnici de gamification și scenarii din lumea reală pentru a ajuta directorii să înțeleagă impactul igienei cibernetice slabe. De exemplu, tema unui training poate fi analiza modului în care o legătură de phishing a dus la o breșă de încălcare a datelor unui concurent major sau cum un atac de compromitere a e-mailurilor de afaceri a păcălit un director pentru a le transfera milioane de dolari escrocilor într-un cont compromis.

Astfel de exerciții ar trebui să se concentreze nu numai pe ceea ce s-a întâmplat și pe ce lecții pot fi învățate din perspectivă operațională, ci și pe impactul uman, financiar și reputațional. Directorii ar fi deosebit de interesați să audă cum unele incidente grave de securitate au fost cauza unor demisii sau concedieri.

4. Lucrați la construirea încrederii reciproce cu conducerea companiei. Acest lucru îi va scoate pe unii lideri IT și securitate din zona lor de confort. După cum explică raportul, în cazul unei greșeli la nivel de angajat, reacția ar trebui să se traducă prin „onestitate și sprijin prietenos” mai degrabă decât prin „condamnarea sau condescendența” care urmează adesea unui astfel de incident.

Accentul ar trebui să se pună pe învățarea din greșeli, mai degrabă decât pe individualizarea celui care a greșit. Este necesară asumarea responsabilității și conștientizarea consecințelor acțiunilor lor, dar întotdeauna într-un cadru de îmbunătățire și învățare continuă.

5. Luați în considerare un program de securitate cibernetică de tip „white glove” pentru liderii seniori. Directorii sunt mai predispuși decât angajații obișnuiți să spună că interacțiunile lor cu departamentul de securitate sunt incomode. În unele cazuri, igiena lor cibernetică este precară și pot deveni astfel o țintă mai mare pentru actorii amenințărilor. Toate acestea sunt motive întemeiate pentru a acorda o atenție specială acestui grup relativ mic de lideri seniori.

Luați în considerare un punct de contact special pentru interacțiunile cu directorii și pentru procesele special concepute de instruire și on/offboarding. Scopul este de a construi încredere, de a elabora cele mai bune practici și de a reduce barierele în calea raportării incidentelor de securitate.

Mulți dintre acești pași vor necesita o schimbare culturală, care în mod natural va dura timp. Dar, fiind sincer cu persoanele aflata în poziții de conducere, punând în aplicare procesele și controalele potrivite și învățându-i consecințele unei igiene cibernetice deficitare, veți avea șanse mai mari de succes. Securitatea este un sport de echipă, dar ar trebui să înceapă cu căpitanul.

Articol similar: 6 pași pentru a prezenta eficient managementului companiei inițiativa de securitate cibernetică