7 советов по безопасности и соблюдению норм от ISC2 Security Congress

В течение месяца осведомленности о кибербезопасности тысячи экспертов по кибербезопасности со всего мира собрались в Лас-Вегасе на Конгрессе по безопасности ISC2 2024, чтобы обсудить проблемы отрасли и передовой опыт, включая стратегии снижения бизнес-рисков и минимизации неопределенности в своей деятельности.

Ральф Виллануева был одним из тех киберпрофессионалов, которые давали советы аудитории. Аналитик по безопасности и соответствию ИТ в Hilton Grand Vacations, он использовал в своей презентации популярную книгу по саморазвитию в сфере бизнеса «7 навыков высокоэффективных людей», сведя лучшие практики к семи привычкам и подробно описав, как они вписываются в повседневную работу.

7 привычек эффективных специалистов по ИТ-безопасности и соблюдению требований

Вильянуэва выделил следующие привычки:

Понимание бизнес-миссии, видения и целей вашего предприятия. Вместо того чтобы сосредотачиваться на своей роли, привлеките всех к одной миссии. Постоянное изучение внутренней и внешней ИТ-среды и рисков вашего предприятия. Знание ключевых игроков на вашем предприятии. Некоторые сотрудники могут отмахнуться от этого как от «политических игр», сказал Виллануева, но важно знать, к кому обращаться за бюджетными потребностями или другими запросами. Понимание своих сильных и слабых сторон, распознавание того, когда следует просить о помощи. Научитесь сообщать технические требования соответствия. Помогите коллегам и заинтересованным сторонам из других частей бизнеса понять, почему эти требования важны. Принятие реальности вашей работы, что означает ожидание и наличие планов на случай сопротивления. «Некоторые люди несправедливо посмотрят на политики безопасности и политики происхождения данных, которые мы внедряем, и скажут, что это ненужное бремя. По иронии судьбы, это касается и некоторых ключевых должностных лиц компании», — сказал Виллануева. Принятие проактивного, позитивного отношения — и помня, что вы можете изменить свою организацию. «Оно [позитивное отношение] не поможет выполнить работу, но поможет вам стать лучшим специалистом по аудиту ИТ-безопасности и обеспечению соответствия требованиям», — добавил Виллануева.

Какие препятствия стоят на пути специалистов по безопасности и соблюдению нормативных требований?

Эти рекомендации могут помочь специалистам по безопасности и соответствию требованиям преодолеть распространенные препятствия, сказал Виллануева. Препятствия могут включать «изолированную» природу бизнеса, в которой другие отделы рассматривают безопасность как «проблему ИТ».

Как объяснил Виллануэва, отдел продаж может стремиться уменьшить то, что они воспринимают как трение в определенных процессах. Между тем, ИТ-отдел может думать, что некоторое трение помогает поддерживать безопасность этих процессов. Аналогичным образом сотрудники как внутри, так и вне технических ролей могут зацикливаться на функциональности вместо того, чтобы смотреть на общую картину.

«Некоторые компании применяют поэтапный подход к обновлению своих серверов, конечных точек и баз данных», — сказал Виллануева.

СМОТРИТЕ ТАКЖЕ: На конгрессе по безопасности ISC2 руководитель службы информационной безопасности SentinelOne Алекс Стамос назвал современных злоумышленников наиболее актуальной проблемой для специалистов по кибербезопасности.

Кроме того, члены совета директоров и руководители могут не отдавать приоритет кибербезопасности.

Слишком большая зависимость от технологий также может быть пагубной для бизнеса. Специалисты по безопасности и соблюдению нормативных требований должны понимать, что чрезмерная зависимость от технологий сама по себе может быть разрушительной, поскольку Виллануэва выделил такие случаи, как сбой CrowdStrike в июле и штрафы юристов за использование ChatGPT, в качестве соответствующих примеров чрезмерной зависимости от технологий.

Как применить 7 привычек в вашем бизнесе

Вильянуэва подчеркнул, что вместо того, чтобы сосредотачиваться на повседневных проблемах, специалисты по безопасности и соблюдению норм должны рассматривать общую картину. Он напомнил присутствующим о важности старого делового стержня: «трехногого табурета» из людей, процесса и технологий.

Виллануэва предложил одно из решений проблемы разобщенности групп на работе — проводить собрания чаще. «Для некоторых собраний это пустая трата времени, но собрания действительно важны для того, чтобы привлечь всех», — сказал он.

Он рекомендовал максимально вовлекать совет директоров. Однажды, предсказал Виллануэва, публичным компаниям может быть предписано иметь эксперта по ИИ в совете директоров. SEC рассматривала возможность обязать эксперта по кибербезопасности заседать в советах директоров публичных компаний с 2022 года. Однако она отозвала это предложение к 2023 году.

Наконец, Виллануэва напомнил специалистам по безопасности и соблюдению правил о необходимости отслеживать риски третьих лиц. В одном игорном заведении, сказал он, злоумышленники ушли с горшком персонально идентифицируемой информации — потому что им удалось взломать систему через стороннего поставщика, управляющего аквариумом.

Отказ от ответственности: ISC2 оплатила мне перелет, проживание и питание на мероприятии ISC2 Security Congress, которое проходило с 13 по 16 октября в Лас-Вегасе.