Home Technologie De CISO-risicocalculus: navigeren op de dunne grens tussen paranoia en waakzaamheid

De CISO-risicocalculus: navigeren op de dunne grens tussen paranoia en waakzaamheid

0
De CISO-risicocalculus: navigeren op de dunne grens tussen paranoia en waakzaamheid


Bent u klaar om meer bekendheid te geven aan uw merk? Overweeg om sponsor te worden van The AI ​​Affect Tour. Lees meer over de mogelijkheden hier.


Geboren en getogen in Israël, herinner ik me de eerste keer dat ik me in een Amerikaans winkelcentrum waagde. De parkeerplaats stond vol met auto’s en mensen liepen rond, maar ik kon niet achterhalen waar de ingang was. Het duurde een paar minuten voordat ik besefte dat winkelcentra in de VS, anders dan in Israël, niet allemaal gewapende bewakers en metaaldetectoren voor elke deur hebben.

Ik deel deze anekdote vaak als een manier om het idea van ‘gezonde paranoia’ op het gebied van cyberbeveiliging. Web zoals de politieke realiteit van Israël terecht een staat van constante waakzaamheid onder zijn burgers heeft ingeprent op het gebied van fysieke veiligheid, moet de huidige CISO eveneens een soortgelijk ethos onder zijn werknemers cultiveren om hen voor te bereiden op en te beschermen tegen een evoluerende reeks digitale bedreigingen.

Natuurlijk, CISO’s Door hun aard hebben ze weinig andere keus dan paranoïde te zijn over alle dingen die mis kunnen gaan. Omgekeerd worden anderen in een organisatie meestal pas paranoïde als er iets ergs gebeurt.

Dus waar trek je de grens tussen nuttige waakzaamheid en slopende paranoia?

VB-evenement

De AI Affect-tour

Maak contact met de zakelijke AI-gemeenschap tijdens VentureBeat’s AI Affect Tour die naar een stad bij jou in de buurt komt!

Kom meer te weten

Paranoia heeft een doel nodig

Gebruikers vragen om voortdurend waakzaam te zijn is zowel onrealistisch als contraproductief. Op psychologisch vlak kan aanhoudende alertheid mentaal uitputtend zijn, wat vaak leidt tot vermoeidheid en burn-out. Wanneer individuen consequent wordt gevraagd om aan te staan groot alarmkunnen ze een verminderde cognitieve functie, verminderde productiviteit en verhoogde vatbaarheid voor fouten ervaren. Dergelijke alerte vermoeidheid kan uiteindelijk de voordelen van waakzaamheid tenietdoen, waardoor mensen vatbaarder worden voor fouten.

Deze tendensen worden alleen maar verergerd in het tijdperk van nul vertrouwen, waarin ons wordt verzocht ‘nooit te vertrouwen en altijd te verifiëren’. Het is gemakkelijk te begrijpen hoe sommigen dit edict tot het uiterste kunnen doorvoeren, waardoor de grenzen tussen gezond scepticisme en slopend wantrouwen vervagen.

Hoewel de zero trust-principes op het gebied van cyberbeveiliging pleiten voor rigoureuze verificatie en monitoring, is het van cruciaal belang om onderscheid te maken tussen deze strategische aanpak en een allesverslindende paranoia die operaties, samenwerking en innovatie kan belemmeren.

Denk eens aan enkele manieren waarop organisaties hun paranoia in een ongezonde mate hebben gecodificeerd in de manier waarop zij hun systemen en gegevens beveiligen.

  • Zware wachtwoordvereisten: De tekortkomingen van wachtwoorden worden tegenwoordig door de meeste gebruikers goed begrepen, maar hun brede gebruik blijft bestaan. Als gevolg hiervan vereisen de meeste grote organisaties dat werknemers complexe combinaties van tekens, cijfers en symbolen gebruiken en regelmatig wijzigen. Dergelijke protocollen gaan echter vaak voorbij aan de realiteit dat veel inbreuken op de authenticatie niet het gevolg zijn van het kraken van een wachtwoord, maar eerder ongedaan worden gemaakt door relatief eenvoudige social engineering-programma’s. Bovendien, als uw sterke wachtwoord op het darkish net lekt, kan geen enkele complexiteit de aanvaller ervan weerhouden credential stuffing-aanvallen uit te voeren.
  • Streven naar ‘nul risico’: Zoals bij veel strategische inspanningen is ook bij risicobeperking vaak sprake van een moist van afnemende opbrengsten. Te restrictieve beveiligingsmaatregelen kunnen de productiviteit belemmeren en gebruikers frustreren, waardoor ze oplossingen gaan vinden die onbedoeld nieuwe kwetsbaarheden kunnen introduceren. Hoewel het nastreven van absolute veiligheid uiteraard lovenswaardig is, is het vaak praktischer om middelen toe te wijzen aan gebieden waar ze de grootste affect zullen hebben op het verminderen van het algehele risico.
  • Door angst gedreven besluitvorming: Te vaak nemen we beslissingen op foundation van emotionele reacties die geworteld zijn in angst en onzekerheid, in plaats van op objectieve analyse en rationeel oordeel. Bijvoorbeeld als een medewerker per ongeluk op malware klikt phishing mailEen door angst gedreven reactie zou kunnen zijn om de internettoegang voor alle werknemers ernstig te beperken, waardoor de productiviteit en samenwerking worden belemmerd, in plaats van de oorzaak aan te pakken door middel van betere coaching of meer genuanceerde toegangscontroles.

Het versterken van de menselijke firewall

Soms vergeten we de cruciale overlevingsrol die paranoia en angst hebben gespeeld in het collectieve voortbestaan ​​van onze soort. Onze vroege voorouders leefden in omgevingen vol roofdieren en andere onbekende bedreigingen. Een gezonde dosis paranoia stelde hen in staat waakzamer te zijn, waardoor ze potentiële gevaren konden opsporen en vermijden.

De uitdaging in onze moderne tijd is om echte bedreigingen te onderscheiden van het eindeloze geluid van valse alarmen, en ervoor te zorgen dat onze overgeërfde paranoia en angst ons dienen en niet hinderen. Het vereist ook dat we het menselijke ingredient in de veiligheidscalculus erkennen en aanpakken.

Zoals wijlen Kevin Mitnick schreef: “Naarmate ontwikkelaars steeds betere beveiligingstechnologieën uitvinden, waardoor het steeds moeilijker wordt om technische kwetsbaarheden te misbruiken, aanvallers zal zich meer en meer richten op het exploiteren van het menselijke ingredient. Het kraken van de menselijke firewall is vaak eenvoudig.”

Welke stappen kunnen veiligheidsleiders ondernemen om deze instincten constructiever te benutten, zodat we gebruikers kunnen helpen alert te zijn op deze reële gevaren en er het hoofd aan te bieden, zonder overweldigd te raken? Hier zijn een paar strategieën die kunnen helpen.

  • Omarm een ​​safety by design-aanpak: Hoewel het een algemene retoriek is om te beweren dat veiligheid de verantwoordelijkheid van iedereen is en te pleiten voor een alomtegenwoordige veiligheidscultuur, ligt de echte uitdaging in het operationeel maken van deze mentaliteit en het integreren veiligheids maatregelen tot in de kern van product- en systeemontwikkeling. Om dit echt te bereiken moeten beveiligingsprincipes naadloos worden ingebed in processen en praktijken, en ervoor zorgen dat deze instinctief gedrag worden in plaats van alleen maar verplichte taken.
  • Benadruk de randgevallen: Een edge case verwijst naar een situatie of gebruikersgedrag dat plaatsvindt buiten de verwachte parameters van een systeem. Terwijl de meeste CISO’s bijvoorbeeld prioriteit zullen geven aan hun inspanningen op het gebied van bescherming tegen digitale bedreigingen, wat gebeurt er als iemand fysieke toegang krijgt tot een serverruimte? Naarmate de technologie en het gebruikersgedrag evolueren, kan wat vandaag als een randgeval wordt beschouwd in de toekomst wellicht vaker voorkomen. Door deze uitschieters te identificeren en erop voor te bereiden, zullen beveiligingsteams beter in staat zijn te reageren op een onzeker toekomstig dreigingslandschap.
  • Beveiligingstraining moet persistent zijn: Beveiligingstraining magazine geen eenmalig initiatief zijn. Hoewel het vaststellen van robuust beleid een cruciale eerste stap is, is het onrealistisch om te verwachten dat mensen het automatisch zullen begrijpen en zich er consequent aan zullen houden. De menselijke natuur is niet inherent geprogrammeerd om informatie die slechts één keer wordt aangeboden huge te houden en ernaar te handelen. Het gaat niet alleen om het verstrekken van informatie; het gaat erom die kennis voortdurend te versterken door middel van herhaalde coaching. Af en toe een duwtje of herinnering, zelfs als het voelt als zeuren, speelt een essentiële rol bij het hoog in het vaandel houden van beveiligingsprincipes en het garanderen van naleving op de lange termijn.

Zoals Joseph Heller schreef Vangst-22, “Het feit dat je paranoïde bent, betekent niet dat ze niet achter je aan zitten.” Het is een goede herinnering dat in deze onvoorspelbare wereld van ons een gezonde dosis paranoia de beste verdediging tegen zelfgenoegzaamheid kan zijn.

Omer Cohen is CISO bij Descoop.

DataBeslissers

Welkom bij de VentureBeat-community!

DataDecisionMakers is de plek waar specialists, inclusief de technische mensen die datawerk doen, datagerelateerde inzichten en innovatie kunnen delen.

Als u meer wilt lezen over de allernieuwste ideeën en actuele informatie, finest practices en de toekomst van knowledge en datatechnologie, sluit u dan aan bij DataDecisionMakers.

Je zou het zelfs kunnen overwegen een artikel bijdragen van je eigen!

Lees meer van DataDecisionMakers

LEAVE A REPLY

Please enter your comment!
Please enter your name here