“Всичко, което може да се обърка, се обърква.”
Помните ли закона на Мърфи? Това е също толкова валидно и за излагането на компанията ви на хакери и рискове за киберсигурността.
ИТ екипът на всяка компания действа по същия начин, както строителният екип, който изгражда фабрика… Но строителите не трябва да отговарят за защитата на бизнеса от нападатели, като например крадци или злонамерени конкуренти, това не е тяхна работа. Вашите ИТ също не са подготвени за борба с хакерите.
Точно както в горното изображение – строителните работници и защитниците имат напълно различни умения и цели.
За да се биете с танк, ви е необходим танк.
Независимо колко голям е ИТ екипът ви, той няма да създаде сигурна фабрика. В най-добрия случай това ще бъде просто продуктивно.
Дори и с най-модерната защитна стена и най-скъпата антивирусна програма, все някога ще се стигне до пробив в сигурността. Случва се, точно както хората се разболяват от време на време. Ако имунната ви система е стабилна, ще се възстановите бързо, а ако не е, нещата може скоро да се влошат.
Всички инвестираме в личната си сигурност и тази на най-близките си от болести и други рискове – затова имаме въздушни възглавници в колите си, носим маски по време на блокирането на COVID-19 и защитаваме децата си, като ги наблюдаваме отблизо, докато са малки. Ако не го направим, може да пострадат децата ни или бизнесът ни.
Предприятията искат да се чувстват сигурни и купуват решения за сигурност. Вероятно вече сте закупили решение за защита от спам и защитна стена и използвате някаква форма на антивирусна програма или дори EDR за защита на компютрите си. Това е нормално.
Но да инвестирате в продукти за сигурност, преди да сте вложили време и усилия в конфигурирането на сигурността на всеки ИТ елемент във вашия бизнес, е все едно да хвърляте пари в огъня – инвестицията ви ще изчезне, без да ви осигури сигурност.
Представете си, че къщата ви е пълна с пари, златни кюлчета и ценни данни, съхранявани на компютри във всяка стая. В желанието си да защитите имуществото си, вие се обаждате на най-известната фирма за физическа охрана и закупувате най-добрите камери, детектори за движение и аларми на пазара.
Крадецът деактивира всички тях и си тръгва с вашето злато, пари и данни.
Как се случи това?
Крадците знаят как да заобикалят търговските системи за сигурност. В противен случай охранителните фирми щяха да фалират за една година.
За да защитите златото, парите и данните си, не трябва да се съсредоточавате върху вратите, алармите и системите за сигурност. Съсредоточете се върху това да направите златото “некрадимо”. Съсредоточете се върху това да направите данните нечетими. Съсредоточете се върху това парите да не могат да бъдат похарчени.
Тогава активите ви стават сигурни. Търговските продукти за сигурност не могат да решат този проблем, тъй като компаниите, които ги използват, постоянно са обект на посегателства.
Но архитектите по сигурността могат!
Същото се отнася и за защитата на ИТ инфраструктурата. Вместо да купувате най-скъпите антивирусни програми, защитни стени и системи за наблюдение, съсредоточете се върху сигурна архитектура и защита на всеки отделен ИТ елемент във възможно най-голяма степен, само с наличната за него конфигурация за сигурност, и поръсете малко “тайно вуду” отгоре.
Да знаете кои настройки за сигурност да приложите към ИТ инфраструктурата си е много различно от знанията, необходими за изграждането на същата. Ето защо е по-лесно просто да сложите продукт за сигурност върху него и да го наречете защитен, което правят повечето ИТ екипи, за да защитят това, което са създали.
Хакерите използват зловреден софтуер, затова нека използваме продукт за борба с него.
Те хакват компютрите ни, нека инсталираме защитна стена.
Но лесно ли е да се заобиколи защитната стена? Продавачът ни каза, че това е “военна сигурност”, така че трябва да е така.
След това организациите изплакват и повтарят същия процес за всеки нов проблем със сигурността, с който се сблъскват: Купуват се антиспам продукти, за да се предотвратят хакерски атаки, идващи по електронна поща, но се пренебрегва лекотата, с която хакерите заобикалят тази защита.
Купувате най-новата и най-добрата антивирусна програма, без да проверите дали има известни начини, по които хакерите могат да я заобиколят.
Виждал съм как една компания харчи повече от един милион долара за обещаващи, но нефункционални продукти за сигурност. Компанията прекара една година в опити да го осъществи. Никога не се е случвало.
Виждали ли сте един милион долара в брой? Бюрото за гравиране и отпечатване посочва, че всички американски банкноти тежат един грам. 1 000 000 долара в банкноти от 100 долара тежат около 10 килограма. Виждали ли сте някой да пуска в тоалетната такава сума пари?
Точно това е направила компанията по-горе. И вие също ще го направите, ако се опитате да си купите път към сигурността, вместо да се заемете с прилагането на принципите на сигурната архитектура във вашите ИТ.
Вашата задача е да управлявате бизнеса; Ако имате нужда от помощ за защитата му, може да се поинтересувате дали да наемете мениджър по сигурността или CISO.
Наемане на главен служител по сигурността на информацията (CISO)
Може ли служител, принуден да гледа 8 часа в компютърен екран, да бъде толкова ефективен, колкото нает екип?
Главният директор по сигурността на информацията (CISO) на пълно работно време сам определя целите си и графика си. Може да решат да играят игри цял ден, доколкото знаем. Ако не сте експерт по сигурността, как ще контролирате качеството на тяхната работа и тяхното представяне?
На кого бихте се доверили повече, ако къщата ви гори: на бюрократ с месечна заплата или на пожарникарски екип, който всеки ден гаси пожари от различен мащаб?
Защото повечето организации в крайна сметка наемат бюрократ, който да потуши пожара в компанията им, когато става въпрос за сигурност.
Преди години, когато работех като CISO в банка, а преди това консултирах банки на няколко континента, смятах, че служител на пълен работен ден е единствената възможност за всяка компания.
След като работих с множество големи (до 8000 души) и по-малки организации, за да подобря защитата им, установих, че те могат да получат най-доброто от двата свята – да не се налага да наемат CISO на пълен работен ден и да бъдат защитени от хакерски атаки като зловреден софтуер, ransomware, фишинг по имейл или дори човешка грешка.
Наемането на CISO на пълен работен ден е скъпо. И се повтаря!
Търсенето на CISO на пълно работно време е недостъпно за повечето компании, тъй като заплатата му варира от 100 000 до 240 000 долара годишно. Ловците на глави взимат минимум една месечна заплата.
Такава заплата е достъпна за големите организации, но не е опция за по-малките компании. Средната продължителност на живота на CISO в дадена организация е две години – след което ще трябва да повторите процеса отново.
Защо да правите компромиси с качеството и да наемате някой по-евтин служител, само за да имате емоционалната сигурност, че наемате CISO на пълно работно време?
Какво ниво на компромис бихте допуснали?
Няма. Никой не е правилният отговор!
Популярността на работата с външни екипи от експерти по сигурността, които поемат ролята на CISO, нараства експоненциално. Можете лесно да проверите това, като потърсите в Google “virtual ciso” – само преди няколко години терминът беше нов и непознат, а сега хиляди компании за сигурност го предлагат като услуга.
Ако се съсредоточите върху прилагането на принципите за сигурна работа в ИТ инфраструктурата си, не е необходимо да купувате продукти за сигурност:
- Настройките за сигурност във вашите ИТ активи са БЕЗПЛАТНИ за прилагане.
- Принципите за сигурно проектиране и изпълнение са БЕЗПЛАТНИ за използване.
- Укрепването на сигурността на операционни системи и офис пакети, браузъри и друг софтуер е БЕЗПЛАТНО.
- Принципите за сигурна разработка на софтуер са БЕЗПЛАТНИ за изучаване и прилагане.
CISO на непълно работно време ще работи ежедневно с екипа ви, точно както служител на пълно работно време.
В края на всеки месец, вместо да поискате заплата, както би направил един служител, ние ви молим да прегледате цялата свършена работа.
И САМО ако сте доволни от резултатите, ще ви бъде издадена фактура за виртуален CISO.
И това се повтаря всеки месец, докато сте щастливи.
Освен това ИТ екипът ви ще разполага с екип от танкове, които ще го защитават, докато той продължава да обновява фабриката ви. .
