Министерство обороны (MOD) недавно опубликовало документ о «Secure By Design» PFH Time, который показывает то, что мы редко видим в кибербезопасности правительства: прозрачное признание сложности, связанной с реализацией безопасности с первых принципов.
Secure By Design — это фундаментальный подход, который встраивал безопасность с самого начала в системах, вместо того, чтобы позже рассматривать их в разработке как к функции оболочки.
После того, как они использовались для человеческого элемента в течение многих лет, приятно видеть, что технический контроль так же эффективен, как и люди, которых они реализуют.
Ведущая осведомленность о безопасности в Knowbe4.
Содержание
Справиться с проблемой навыков безопасности
Первая идентифицированная проблема мода: «Как мы можем поставить защиту Соединенного Королевства на передний план в« Secure By Design »?»
Реальность отражает ее признание того, что эффективная реализация требует подхода «команды» в британской обороне, что безопасность не может быть в технических командах.
Это идеально соответствует тому, что я наблюдал в организациях с сложными культурами безопасности.
Проблема распределения знаний
Проблема Twoth, пожалуй, самая увлекательная: «Как« защищать дизайн »для неравномерно распределенной информации и знаний?»
Мод правильно определяет, что информационная асимметрия доступна по различным законным причинам. Что делает эту оценку ценной, так это осознание того, что не все препятствия для обмена информацией связано с плохой культурой безопасности. Некоторые существуют посредством дизайна и необходимости.
Представьте себе семью, которая планирует удивительную вечеринку по случаю дня рождения для вашей бабушки. У разных членов семьи есть другая информация, которую вы намеренно не со всеми частями:
Дочь знает список гостей и отправила индивидуальные приглашения каждому человеку и попросила их не открывать их в чате для семейных групп.
Сын организовал место и обслуживание конкретных потребностей в питании для некоторых гостей.
Внуки заботятся об украшениях и имеют тему, над которой они работают.
И, прежде всего: никто не рассказывает об этом бабушке.
Это не потому, что семья обладает плохими навыками общения или не доверяет друг другу. Эти информационные барьеры состоят из дизайна и необходимости для достижения цели удивительной бабушки. Если бы все поделились всем со всеми, сюрприз был разрушен.
Подход мода
В контексте безопасности мода это похоже на:
Определенная информация об угрозе не может быть передана всем поставщикам
Поставщики не могут поделиться всеми своими проприетарными технологическими деталями с клиентами, такими как MOD, потому что они должны защищать свое конкурентное преимущество.
Конкретный контроль безопасности может быть конфиденциально для общего персонала, чтобы предотвратить избегание этих контролей.
Это не неспособность культуры безопасности — это преднамеренная компартментализация, которая обеспечивает в первую очередь работу безопасности. Задача не устраняет эти барьеры, а дизайн систем, которые могут работать эффективно, несмотря на них.
Это отражает нюансную реальность человеческого поведения в контекстах безопасности. Люди сдерживают информацию о безопасности не только из -за территориальности или халатности. Законные ограничения часто предотвращают идеальный уровень прозрачности. Задача разрабатывает развивающиеся системы и практики, которые могут эффективно работать, несмотря на эти неотъемлемые ограничения.
Ранний дизайн -конкурс
Третья проблема посвящена хорошо известному парадоксу: как реализовать безопасность на самых ранних этапах способности записывать, если сама способность вряд ли определена.
Другими словами, это все равно, что попытаться построить систему безопасности с высокой техникой для дома, если у вас есть только грубый набросок того, как дом может выглядеть в какой -то момент -вы знаете, что вам нужна защита, но трудно планировать конкретные меры безопасности, если вы все еще решаете, сколько дверей и окон будет там, какая ценность внутри или даже где находится дом. Как говорит мод, на этом этапе есть способность «едва ли больше, чем одна инструкция пользователя».
Это напрямую сочетает в себе то, как люди подходят к управлению рисками. Если основные цели (обеспечивают военные навыки) конкурируют с вторичными проблемами (безопасностью), неизбежно возникают практические компромиссы. Открытое подтверждение мода, что «кибербезопасность всегда будет вторичной целью», отражает прагматическое понимание функционирования приоритетов в сложных организациях.
Усердие
Задача четвертая посвящена наиболее требовательным человеческим аспектам безопасности: поддержание соображений безопасности и практики на протяжении десятилетий жизни способности. Поскольку оборонные платформы могут оставаться в действии более 30 лет, сегодняшние решения о безопасности должны быть полезными сегодняшними инженерами.
Вопрос о непрерывном управлении рисками становится особенно актуальным, потому что организации сталкиваются с новыми угрозами для их более длительного срока службы. Долгосрочная безопасность этих систем определяет, как человеческие операторы интерпретируют и реагируют на развитие ландшафтов риска.
Создание совместной культуры безопасности
MOD признает, что реализация «безопасного дизайна» не является технической проблемой, а в принципе в отношении сотрудничества между людьми в организационных, дисциплинарных и национальных границах.
Подход MOD указывает на сдвиг в более зрелой культуре безопасности, которая распознает ограничения, ищет внешнюю экспертизу и распознает сложное взаимодействие между человеческими факторами и техническими проверками. Их открытость, которая нуждается в помощи от науки и промышленности, показывает совместный образ мышления, который необходим для борьбы со сложными проблемами безопасности.
Этот совместный подход к культуре безопасности заключается в тесном контрасте с традиционной тенденцией правительства к самооценке. Через явное приглашение внешних перспектив мод показывает понимание того, что разные точки зрения усиливают безопасность вместо того, чтобы влиять на это.
Безопасность-это не все ответы-это заключается в создании условий, при которых люди могут разрабатывать адекватные ответы вместе на постоянно меняющиеся угрозы.
Мы собрали список лучшего программного обеспечения для управления идентификациейПолем
Эта статья была произведена в рамках канала Expert Insights Techradarpro, в котором мы сегодня предлагаем лучшие и умные руководители в технологической индустрии. Взгляды, выраженные здесь, относятся к авторскому и не обязательно мнениям Techradarpro или Future PLC. Если вы заинтересованы в том, чтобы определить больше здесь:
