Зрелость кибербезопасности в Австралии все еще недооценивается

287

Многоуровневая технологическая защита играет важную роль в реализации средств защиты и контроля кибербезопасности, но некоторые организации и их сотрудники уделяют слишком много внимания инструментам безопасности, чтобы выступать в качестве промежуточной и последней линии защиты.

Недавний CompTIA опрос компаний Австралии и Новой Зеландии показывает, что менее трети респондентов применяют методы кибербезопасности для «оценки/обучения персонала», при этом большинство из них, похоже, концентрируют свои усилия в области кибербезопасности на более технических аспектах, где преобладают средства защиты, основанные на инструментах. Опрос выявил необходимость сосредоточиться на повышении квалификации специалистов по кибербезопасности в ряде технических и бизнес-ориентированных областей.

Это отражает наши собственные наблюдения за местным рынком кибербезопасности.


Квалифицированные специалисты по безопасности играют решающую роль, помогая организациям оставаться на шаг впереди угроз, но их не хватает, и один отчет от CyberCX прогнозируется нехватка 30 000 человек в Австралии в течение следующих четырех лет. Разработчики находятся в прекрасном положении, чтобы разделить ответственность за безопасность, если они должным образом повышают свою квалификацию, однако их обучение часто является отсутствующим или разрозненным элементом стратегий кибербезопасности, уступая место более технологически ориентированным защитным механизмам. Это, в свою очередь, оказывает негативное влияние на относительную зрелость этих фирм в области кибербезопасности.

Местным организациям необходимо делать больше для устранения этого дисбаланса.

Определение эффективной программы кибербезопасности
В Интернете существует обширная библиотека исследований, которые показывают, что организации и лидеры склонны переоценивать свою зрелость в области кибербезопасности. В одной Бэйн и компания В исследовании разрыв между ожиданиями и реальностью был проиллюстрирован тем, что 43% руководителей считают, что «их фирмы следуют передовым методам кибербезопасности, но более глубокий анализ [showing] только около 24% фирм соответствуют этой планке».

Урок здесь заключается в том, что, хотя у организаций есть стратегии и программы кибербезопасности, им часто не хватает строгости и надежности, необходимых для защиты от всевозможных угроз.

Организации в более строго регулируемых отраслях в Австралии, включая операторов критической инфраструктуры, от коммунальных служб и поставщиков медицинских услуг до банков, могут иметь здесь преимущество, поскольку от них часто требуется соблюдение определенных минимальных стандартов в отношении людей, процессов и технологий для поддержания лицензия на деятельность.

Кроме того, в более слабо регулируемых отраслях зрелость кибербезопасности является гораздо более субъективной мерой. Защитные меры, которые, по мнению организаций и особенно руководителей, делают их операции устойчивыми к кибератакам, часто не оправдывают этих ожиданий.

На самом деле немногим менее половины крупных компаний обдуманный иметь всесторонние программы кибербезопасности, которые выдерживают внешнюю оценку и проверку и делают их более устойчивыми к растущему потоку атак и угроз, согласно исследованию Accenture.

В этом смысле всесторонняя программа кибербезопасности строится на прочном фундаменте, основанном не только на инструментах, но и на соответствующих ресурсах для постоянного улучшения или развития.

Программа не может быть слишком сильно сосредоточена на стеке технологий безопасности, потому что технология эффективна только до определенного момента. Как одно исследование показалв то время как 92 % команд считают, что их набор инструментов эффективен, подавляющее большинство по-прежнему сталкивались с атаками, которые требовали внимания со стороны руководителей высшего звена или уровня совета директоров.

Чтобы реально устранить риски кибербезопасности, внимание организации должно быть более равномерно распределено между людьми, процессами и технологическими элементами, которые являются ключевой частью любой эффективной стратегии кибербезопасности и реагирования. Поскольку технологии часто используются для реализации процессов, а организации считают, что их технологические стеки находятся в относительно хорошем состоянии, становится ясно, что элемент людей требует самого срочного внимания, и любой человек, работающий с кодом, должен быть осведомлен о безопасности, иметь возможность идентифицировать и исправить общие проблемы, с которыми они столкнутся в своей роли.

Увеличение зрелости
В кибербезопасности стало клише говорить, что каждый должен сыграть свою роль. В этом заявлении есть доля правды, но оно должно быть подкреплено надлежащим планированием, определением и делегированием ответственности, подкрепленным обучением, которое дает людям необходимые навыки, которые они должны демонстрировать в своей обычной работе или как часть ответ на инцидент. В этом году австралийские организации, заботящиеся о кибербезопасности, должны уделять больше внимания осведомленности о безопасности на основе ролей.

В частности, нельзя недооценивать роль групп разработчиков программного обеспечения и инженеров в уменьшении поверхности атаки организации. Secure Code Warrior отмечает неуклонный рост числа специалистов по безопасности в организациях. Предоставление командам навыков для выполнения качественных шаблонов кодирования и применения принципов безопасного проектирования в коде, который они создают, вместо того, чтобы пытаться защитить код постфактум, внедряя реактивные элементы управления безопасностью, а также процессы мониторинга и оповещения, — это чрезвычайно ценный способ повысить эффективность. общая зрелость кибербезопасности организации. Это означает меньшее количество ошибок, уязвимостей или неправильных конфигураций в коде во время тестирования и/или производства, а также повышение качества и безопасности кода с течением времени.

Обучение имеет решающее значение для повышения осведомленности о безопасности среди разработчиков. Возможности обучения должны быть постоянными, интерактивными, актуальными и контекстуальными для рабочих процессов разработчиков. Но для формирования подлинной культуры безопасности, возглавляемой разработчиками, могут также потребоваться изменения в способах формирования и управления командами разработчиков. Это также поможет им в создании высококачественного кода, безопасного и свободного от уязвимостей.

В конечном счете, все, что организация может сделать для улучшения своего состояния кибербезопасности и зрелости для борьбы с угрозами, будет иметь ценность. В 2023 году обучение — это область, на которой должны сосредоточиться все организации, чтобы реально изменить свои усилия в области кибербезопасности.

Зрелость кибербезопасности в Австралии все еще недооценивается
Зрелость кибербезопасности в Австралии все еще недооценивается
Читать полную новость на сайте