Riskienhallinta on aina ollut tärkeä prosessi yrityksille. Digitaalisella aikakaudella tämä jatkuva toiminta on entistäkin tärkeämpää. Organisaatiot eivät voi nykyään hallita riskejä tehokkaasti arvioimatta säännöllisesti tietoturvakäytäntöjään ja niitä vastaavia täytäntöönpano-ohjelmia. Ne, jotka eivät ole halukkaita tai kykeneviä tutkimaan, miten ne hallitsevat tietoturvakäytäntöjään, eivät voi tunnistaa, milloin jokin toimii. Mikä pahempaa, ne eivät pysty tunnistamaan, milloin niiden ohjelma on juuttunut paikoilleen tai milloin ne jättävät huomiotta mahdollisuuksia, jotka vähentävät riskejä.
Seuraavassa on viisi yleistä virhettä, joita organisaatiot tekevät tietoturvakäytäntöjen hallintaohjelmassaan.
-
Ajattele verkkoa etkä liiketoimintasovelluksia
Organisaatiot eivät joskus näe metsää puiden läpi. Ne luovat käytännöt, joilla perustellaan verkkokokoonpanot, kuten käytettävät portit tai VPN-tunnelit. Ne eivät kuitenkaan mieti, miksi verkkoyhteyttä ylipäätään tarvitaan ja mitä liiketoimintasovellusta sääntö tai käytäntö tukee. Sama pätee myös toisinpäin. Yritykset eivät yleensä poista verkkoyhteyttä käytöstä poistetulta sovellukselta ja tarkista yhtä käytännöistään, koska ne pelkäävät, että se voisi vaikuttaa haitallisesti jonkin hyödykkeen toimintaan. Todellisuudessa niiden pitäisi olla enemmän huolissaan siitä, miten hyökkääjä voisi käyttää avointa pääsyä hyväkseen hyökätäkseen niiden järjestelmiin.
- Tehokkaan viestinnän puute eri tiimien välillä
Organisaation turvallisuuskäytäntöjen hallinta vaatii paljon tiimityötä. On niitä, jotka luovat ja valvovat käytäntöjä, niitä, jotka varmistavat, että nämä käytännöt takaavat järjestelmän optimaalisen toimivuuden, ja niitä, jotka yhdistävät käytännöt liiketoimintasovelluksiin. Nämä henkilöryhmät eivät aina ole vuorovaikutuksessa keskenään. Heidän työnsä ovat kuitenkin pohjimmiltaan yhteistoiminnallisia ja riippuvaisia toisistaan. Henkilöstö ei voi luoda tehokkaita tietoturvakäytäntöjä, ellei se ymmärrä, mitä liiketoimintasovelluksia on tuettava. Ryhmien on myös tunnettava nämä käytännöt, jotta he ymmärtävät, miten ne voivat vaikuttaa tai olla vaikuttamatta organisaation verkkoon.
- Salli dokumentoimattomat muutokset lennossa
Olennainen osa turvallisuuskäytäntöjen hallintaa on jokaisen käytännön dokumentointi. Jos organisaatiot eivät kannusta dokumentointiin, on vaarana, että henkilöstö luo käytäntöjä, joille ei ole selitystä, kun tilintarkastaja tulee paikalle. On myös mahdollista, että työntekijät luovat useita käytäntöjä, jotka kattavat saman tietoturvariskin, mikä johtaa tarpeettomaan sotkuun. Dokumentointi on tärkeää, koska se tallentaa politiikan ja yhdenmukaistaa sen soveltamisen kaikissa tiimikavereissa. Organisaatioiden ei siis pitäisi kannustaa dokumentointiin, vaan yhdistää se myös viralliseen prosessiin uusien käytäntöjen luomiseksi. Näin estetään työntekijöitä luomasta impulsiivisesti tietoturvakäytäntöjä, jotka saattaisivat ansaita harkinnan ja tarkistuksen.
- Älä ota huomioon inhimillisiä virheitä
Olemme kaikki ihmisiä. Se tarkoittaa, että teemme joskus virheitä. AlgoSecin globaalista strategiasta vastaava johtaja Nimrod Reichenberg kertoo Dark Reading -lehdessä julkaistussa artikkelissa eräästä tällaisesta skenaariosta, johon hän törmäsi työssään:
"Eräässä yrityksessä, jonka kanssa työskentelimme, eräs järjestelmänvalvoja kirjoitti vahingossa portin 433 portin 443 sijasta, kun hän teki palomuurisääntömuutoksen. Sanotaan vain, että se ei ollut hyvä päivä hänelle."
Syöttövirheet aiheuttavat muutakin kuin ajanhukkaa. Ne aiheuttavat sekaannusta, joka saattaa heikentää yrityksen turvallisuutta. Organisaatioiden on siksi otettava huomioon inhimilliset virheet tietoturvakäytäntöjen hallintaohjelmassaan. Yksi tapa tehdä tämä on käyttää lisätyökalua tai skriptiä, joka pystyy havaitsemaan kirjoitusvirheet ja muut virheet.
- Sisäänrakennetun riskin huomiotta jättäminen
Huonosti suunnitellut tietoturvakäytännöt eivät ole yrityksen edun mukaisia. Joskus ne lisäävät riskejä, rikkovat vaatimustenmukaisuusvaatimuksia tai ovat ristiriidassa organisaation IT-strategian muiden osien kanssa. Kun otetaan huomioon tietoturvakäytäntöjen luomat mahdolliset riskit, yritysten tulisi miettiä tarkemmin, miten ne suunnittelevat tietoturvakäytäntöjen hallintaohjelmansa. Niiden olisi erityisesti selvitettävä, mitä riskejä voi syntyä, jos ne luovat uuden tietoturvakäytännön.
Sisäänrakennetun riskin vähentämiseksi organisaatioiden tulisi harkita automatisointia. IT Business Edge on tämän päätöksen vankka kannattaja:
"Automaatio virtaviivaistaa prosesseja, mahdollistaa nopean suunnittelun muuttamisen, uudelleen käytettävien sääntöjen tunnistamisen, saumattoman käytäntöjen levittämisen, nopean riskianalyysin ja auditoinnin, välittömän dokumentaation luomisen sekä validoinnin ja täsmäytyksen, ja kaikki tämä reaaliajassa. Aina tulee olemaan joitain tehtäviä, jotka vaativat ihmisen toimia, mutta saat turvallisemman järjestelmän, jos pidät tiimisi ihmiset keskittyneinä tehtäviin, jotka vaativat analysointia ja tutkimista, eikä niinkään arkipäiväisiin tehtäviin, jotka voidaan automatisoida."
Päätelmä
Turvallisuuspolitiikan hallinta on tärkeä osa riskienhallintaa. Kaikille yrityksille se ei kuitenkaan ole luontevaa. Siksi Metacompliance on kehittänyt valikoiman käytäntöjenhallintatuotteita, jotka auttavat yrityksiä suunnittelemaan turvallisuuskäytäntöjä ja varmistamaan henkilöstön tietoisuuden.
Jos haluat lisätietoja siitä, miten Metacompliancen ratkaisut voivat auttaa yritystäsi, klikkaa tästä.