Пʼять кроків диджитал-трансформації ІТ-безпеки: що потрібно зробити у 2023 році
Вітаю! Я фахівець з багаторічною експертизою в інформаційній кібербезпеці. За останні 13 років встиг попрацювати не лише у банківській сфері, а й у фармацевтичному, телеком, бетінговому, продуктовому та IT-бізнесах. Сьогодні я розповім вам про пʼять кроків, які варто зробити кожному у 2023 році для того, щоб вийти на якісно новий рівень інформаційної безпеки, підтримати диджитал-трансформацію та збільшити дохідність вашого бізнесу.
Cloud Security — «мастхев» вашої організації
Незалежно від того, чи плануєте ви впроваджувати хмарні технології зараз чи маєте довгострокові плани по міграції, здобувати експертизу в хмарних сервісах варто вже сьогодні.
Чому це важливо?
Цей крок дозволить зекономити десятки мільйонів доларів на консалтинг та місяці, витрачені на пошук фахівців для міграції вашого бізнесу до хмарних платформ. Перехід до хмари змінює підходи до культури інжинірингу, дозволяє бути повноцінним власником бюджетів для власних проєктів, сервісів та продуктів, а також надає можливості для швидкого розвитку.
Як реалізувати?
Почніть з малого — раджу вже сьогодні створити тестові акаунти на AWS, Google Cloud, Microsoft Azure тощо. Організуйте навчання, тренінги та воркшопи, щоб ваші команди стали більш компетентними у роботі з клаудом. Це дозволить познайомитися з хмарними сервісами та зрозуміти, як вони можуть допомогти вашому бізнесу.
Security Development
Для початку, ви маєте розуміти, що Security Development повинен відбуватись у межах функції інформаційної безпеки.
Чому це важливо?
Правильно організований Security Development дозволяє зрозуміти потреби вашої розробки, стати повноцінним власником своїх продуктів та додавати якості існуючим рішенням.
Усередині команди це прокачує інжинірингову культуру та покращує співпрацю та взаємодію між її членами.
Як реалізувати?
Підписуйтеся на наші соцмережі
Інформаційна безпека повинна бути відокремлена від звичайних інженерних задач, але в той же час бути близькою до процесу розробки.
Реалізувати це можна шляхом взаємного навчання та обміну досвідом між командами ІТ-розробки та ІТ-безпеки. Забрати невеликий проєкт в ІТ для команди безпеки або навпаки — перевести фахівця з безпеки у розробку. Достатньо 6-8 місяців для того, щоб налагодити співпрацю між IT і безпековими командами, а також уникнути непотрібних розбіжностей у використанні інструментів та підходів.
Ще один крок — використання підходу Innersourse, який включає відкритий доступ до коду продукту іншим командам, що дозволить команді ІТ безпеки доробляти ваш продукт, враховуючи потреби інформаційної безпеки, не порушуючи дедлайни та пріоритети бізнесових команд.
Back to basics. Security Awareness
На мою думку, це недооцінена активність всередині більшості компаній.
Чому це важливо?
Ви не можете стверждувати, що кожен працівник розуміє термінологію та понятійний апарат інформаційної безпеки. Запитайте трьох різних співробітників про те, що таке «продукт» і отримаєте три зовсім різних відповіді. Тому особливо важливо забезпечити максимальне розуміння понять інформаційної безпеки серед всього персоналу.
Як реалізувати?
Найкращий спосіб — це створити дружнє середовища для кожного співробітника, починаючи з першого робочого дня. Замість традиційних офіційних мітингів, де обговорюються стандартні вимоги та політики інформаційної безпеки, пропоную вчити ваші команди за допомогою особистого прикладу. Дайте колегам інструмент та поясніть, як його використовувати.
Застосовуйте прості приклади:
- "Чи хочете, щоб у вас вкрали гроші?". Розкажіть, як уникнути шахрайства.
-
"Чи знаєте, що кожне фото може розкрити вашу геопозицію?". Поясніть, як захистити свою приватність та прибрати геомітку.
Спілкуйтесь простою та доступною мовою, забезпечуючи єдиний рівень розуміння та свідомості щодо безпеки. Не забувайте, що кожен співробітник є частиною інформаційної безпеки компанії та несе відповідальність за її захищеність.
DevSecOps – вже не просто модне слово
DevSecOps — це інтеграція безпеки у процес розробки програмного забезпечення. Цей підхід варто впровадити у вашій компанії вже сьогодні, як частину гігієни інформаційної безпеки у компанії.
Чому це важливо?
DevSecOps дозволяє компаніям забезпечувати високий рівень безпеки своїх продуктів та послуг, мінімізувати ризики кібератак та операційні витрати.
Інтеграція безпеки на ранніх етапах розробки дозволяє виявити потенційні вразливості та проблеми безпеки на етапі аналізу і проектування, що значно зменшує витрати на подальше виправлення дефектів.
Як реалізувати?
Наділіть інформаційну безпеку інжиніринговою функцією, а не просто паперовими правилами. Файл конфігурації з усіма необхідними контролями стає більш практичним підходом, що допомагає автоматизувати та стандартизувати процеси безпеки.
Команда інформаційної безпеки повинна допомагати розробникам з безпечним кодом та забезпечувати належний контроль над процесами розробки. Це допомагає зняти когнітивне навантаження з розробників, оскільки вони можуть покладатися на експертів з безпеки щодо визначення контролів і рекомендацій.
Безпека повинна стати партнером для диджитал-трансформації компанії, активно співпрацювати з розробкою та бізнесом, щоб забезпечити кіберімунітет організації та стійкість проти кіберзагроз.
Go above and beyond
Цифрова трансформація вимагає глибоких змін в організації та підходах до інформаційної безпеки.
Якщо протягом трьох років команди безпеки не здатні змінити свою роль з функцій сек`юріті менеджменту та контролюючих органів на технічну реалізацію правил безпеки, можна вважати, що диджитал-трансформація компанії провалилась.
Штучний інтелект зараз здатний виконувати лише менеджерські функції. Цього недостатньо для повноцінної заміни спеціалістів з інформаційної безпеки. Тому команда безпеки повинна володіти інжиніринговою функцією та активно співпрацювати з IT розробниками.
Функції інформаційної безпеки не мають відрізнятися від ІТ з точки зору культури інжинірингу — інформаційна безпека повинна користуватись тими ж інструментами та підходами, що й ІТ.
Підписуйтеся на наші соцмережі
