Esteban Hernandez, Senior SA – Security bij Amazon Web Services (AWS) AWS

Om die reden moet security een onderdeel worden van de cultuur van een organisatie, waarbij elke medewerker beveiliging omarmt en gebruikt als een positief raamwerk voor gedrag, het bouwen van technologie en besluitvorming. Een optimistische, proactieve aanpak is immers essentieel om een ​​organisatie op te bouwen waarin beveiliging het hele bedrijf in staat stelt sneller te bewegen en continu veilig te blijven.

Het creëren van een veiligheidscultuur is de toekomst, maar hoe ziet die er in de praktijk uit en hoe kunnen organisaties ervoor zorgen dat ze effectieve leidende principes volgen om ze op koers te houden? Wat kan je vandaag doen om een ​​positieve veiligheidscultuur te bevorderen?

Hoe ziet een veiligheidscultuur eruit?

Een positieve veiligheidscultuur is er een waarin het beveiligingsteam samenwerkt met de rest van het bedrijf. Als we aannemen dat mensen het juiste willen doen, moeten we de veilige optie de gemakkelijkste optie maken. Dit gaat verder dan kijken naar de technologie, naar de mensen die het gebruiken, en naar de cultuur van de organisatie.

Traditioneel behandelden organisaties beveiliging als een iets dat ze moesten afstrepen of iets dat aan het einde van een project werd afgehandeld. Het was de verantwoordelijkheid van mensen met security in hun functietitel. Succesvolle bedrijven, daarentegen, denken positief over beveiliging en veerkracht , als een fundamentele basis voor de bedrijfscultuur en als een zorg voor alle leidinggevenden, managers en werknemers van het bedrijf. Deze aanpak zorgt ervoor dat beveiliging centraal staat in alle dagelijkse bedrijfsprocessen, waardoor de veerkracht toeneemt en de organisatie beter in staat is om te reageren als er een probleem is.

Leidende principes

Om een ​​veiligheidscultuur te creëren, moeten bedrijven tien basisprincipes volgen, waarvan we er hier vijf uitlichten:

  1. Educatie: dit betekent dat jouw personeel op de hoogte moet blijven van de beschikbare technologie, advies moet inwinnen bij beveiligingsspecialisten en moet werken aan het begrijpen van beveiligingsbeleid en -regels. Hierdoor wordt het vermogen van elke medewerker om de eerste verdedigingslinie in het beveiligingsprogramma van hun bedrijf te zijn, gemaximaliseerd. Daarnaast, wordt de kans op eenvoudige fouten die kunnen leiden tot een beveiligingsprobleem verkleind. Het houdt ook het stellen van de verwachtingen voor het hele bedrijf in, of het nu gaat om de beveiligingsconfiguratie die moet worden geïmplementeerd door applicatieontwikkelaars of om de patchverantwoordelijkheden van producteigenaren.
  1. Hygiëne: een goede veiligheidshygiëne is essentieel om te voorkomen dat basisfouten leiden tot bedreigingen voor de veiligheid. Werknemers moeten bijvoorbeeld de gevaren van slechte beveiligingspraktijken begrijpen, zoals het delen van gebruikersaccounts en wachtwoorden. Ondertussen moeten bedrijven ervoor zorgen dat de toegangssystemen die ze hebben, veilige praktijken mogelijk maken. Services van Amazon Web Services (AWS) bieden bijvoorbeeld tijdelijke inloggegevens die minuten of uren kunnen duren, waarna ze geen systeemtoegang meer toestaan. Dit verscherpt de controle over servicetoegang, waardoor de kans op onbedoelde toegang tot bedrijfsdata wordt verkleind.
  1. Leren van problemen zonder de vinger te wijzen: er zullen altijd problemen zijn met mensen en de software die ze bouwen. Het belangrijkste is om te leren van de problemen en actie te ondernemen. Het creëren van een cultuur waarin de analyse van de onderliggende oorzaak objectief en zonder schuld wordt uitgevoerd, zal een organisatie helpen te leren. Vraag niet of de persoon een fout heeft gemaakt, maar vraag in plaats daarvan wat er gedaan kan worden om ervoor te zorgen dat de volgende keer de juiste keuze wordt gemaakt. Je wilt ook een cultuur hebben waarin mensen het prettig vinden om beveiligingskwesties aan te kaarten omdat ze weten dat ze zullen worden ondersteund door het beveiligingsteam.
  1. Ontmoet jouw mensen waar ze zijn: door samen te werken met jouw ontwikkelaars krijg je meer inzicht in de processen die ze doorlopen om software te bouwen en vrij te geven. Dit helpt de beveiliging om te begrijpen waar ze ontwikkelaars in staat kunnen stellen goede beveiligingskeuzes te maken, of capaciteiten kunnen overnemen, zodat ze zich kunnen concentreren op bedrijfslogica. Door bijvoorbeeld jouw cloudplatform te integreren met jouw huisstijlprovider en ervoor te zorgen dat ontwikkelaars machtigingen kunnen creëren binnen bekende vangrails, wordt beveiliging als poort verwijderd. Door geautomatiseerde controles aan te bieden die in pijplijnen worden uitgevoerd, kunnen ontwikkelaars vroegtijdig feedback krijgen die hen helpt om de gewenste beveiligingshouding te creëren.
  1. Statistieken en monitoren: in staat zijn om jouw beveiligingshouding te meten en mensen toegang te geven tot data is een goede manier om te communiceren en te begrijpen waar de goed presterende onderdelen van jouw organisatie zich bevinden. Als je teams kan identificeren die het goed doen of innovatieve oplossingen ontwikkelen, kan je het gebruik ervan in het hele bedrijf uitbreiden. Door mensen te vertellen waaraan ze worden gemeten en door hen trackingtools te geven, wordt een cultuur van eigenaarschap bevorderd die de positieve beveiligingsbenadering versterkt.

Een veiligheidscultuur zal de beveiligingshouding van een organisatie aanzienlijk verbeteren doordat het de manier van werken wordt waarin alle werknemers zich gedragen, technologie ontwikkelen en beslissingen nemen. Om het een succes te maken, moeten bedrijven het op een gestructureerde manier introduceren. Een veiligheidscultuur is gebaseerd op educatie, hygiëne, dreigingsmodellering en werken als één team. Als je dit doet, zal jouw organisatie haar beveiligingshouding verbeteren, je boven de concurrentie plaatsen en jouw data veilig houden.

Copyright © 2020 IDG Communications, Inc.



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here