Net güvenlik röportajında bu yardımda, Novonesis’teki CISO Anne Sofie Roed Rasmussen, bilim odaklı bir organizasyonun siber güvenliğe nasıl yaklaştığını, yeniliğe korunma ile nasıl hizalandığını, kültürel ilerlemeyi ölçmeyi, gölgeyi yönetmeyi ve bilimsel liderlerden güven kazandığını tartışıyor.
Bilim odaklı bir organizasyonda bir siber güvenlik kültürü oluşturma söz konusu olduğunda ilerlemeyi nasıl ölçüyorsunuz?
Bilim, keşif ve inovasyon örgütsel DNA’mızın merkezindedir. Bununla birlikte, hiç kimse hata yapmaya bağışık değildir – rolleri ne olursa olsun, kimsenin kimlik avı saldırısına veya diğer sosyal mühendislik biçimlerine kurban olabilir. Bir siber güvenlik kültürü oluşturmada ilerlemeyi ölçmek için hem nitel hem de nicel metriklere odaklanıyoruz.
Nicel tarafta, kimlik avı simülasyon başarı oranlarını, olay tepkisi sürelerini ve bildirilen güvenlik endişelerinin sayısını izliyoruz. Nitel tarafta, çalışanların geri bildirimi, eğitim oturumları sırasında katılım ve siber güvenlik tartışmalarına katılım yoluyla zihniyetteki değişiklikleri değerlendiriyoruz. Güvenlik dış yük olarak görülmeyi durdurduğunda ve günlük rutinlere gömüldüğünde ilerleme belirgindir – insanlar içgüdüsel olarak “Bu güvenli mi?” Diye sorduğunda. karar verme sürecinin bir parçası olarak.
Nihayetinde, güvenliğin sadece BT ekibi için bir sorumluluk değil, aynı zamanda kuruluştaki herkes tarafından benimsenen ortak bir değer olduğu bir ortam yaratmakla ilgilidir.
Bilim adamları genellikle hız, veri paylaşımı ve deneylere öncelik verirler. İnovasyonu yavaşlatmadan bu öncelikleri siber güvenlik en iyi uygulamalarıyla nasıl hizalıyorsunuz?
Bilim adamlarının hızlı deneyler ve açık işbirliği konusunda geliştiklerini tam olarak kabul ediyoruz. Güvenlik, bu arayışlara engel olamaz – ve olmamalıdır. Bunun yerine, siber güvenliği yeniliği destekleyecek ve hatta geliştirecek şekilde entegre etmeyi amaçlıyoruz.
Örneğin, güvenli sınırlar içinde işbirliği sağlayan güvenli ortamlar tasarlayarak proaktif bir yaklaşım benimsiyoruz. Bu, veri paylaşımı için önceden onaylanmış platformlar ve araçlar sağlamayı, güvenli laboratuvar ağlarının uygulanmasını ve deney için kum havuzları oluşturmayı içerir. Dış işbirlikleri için-üniversiteler, girişimler veya erken aşama araştırmacılarla ortaklıklar gibi-genellikle gerekli güvenlik olgunluğundan yoksun olduklarını görüyoruz. Bu durumlarda, ister güvenli altyapı sunarak veya temel kontrolleri uygulamalarına yardımcı olarak işbirlikçi ekosistemi güvence altına alma sorumluluğunu üstleniyoruz.
Anahtar, güvenlik önlemlerinin sürtünmesiz, şeffaf ve bilimsel topluluğun benzersiz ihtiyaçlarına göre uyarlanmış olmasını sağlamaktır. Güvenlik, bir engel olmaktan ziyade bir inovasyon sağlayıcısı haline geldiğinde, hizalama doğal olarak takip eder.
Güvenliği bir kolaylaştırıcıdan ziyade bir engel olarak görebilen etkili bilim adamlarından veya laboratuvar liderlerinden nasıl alım kazanırsınız?
Güvenliğin bir engel olarak algılanması, özellikle inovasyonun öncelik verildiği ortamlarda birçok kuruluşun karşılaştığı bir zorluktur. Çözüm, anlatıyı değiştirmede yatmaktadır: Güvenlik, bu organizasyonda yaratılan değer için bakım vericileridir.
Çoğu bilim adamı ve yöneticisi, bir siber saldırının sonuçlarını zaten anlıyor – büyük araştırmalar, çalınan fikri mülkiyet ve bozulmuş operasyonlar. Onları sürece dahil ediyoruz. Laboratuvar liderleri girdilerinin güvenlik protokollerini şekillendirdiğini düşündüklerinde, bu girişimleri destekleme ve savunma olasılıkları daha yüksektir. Ortak yaratma çözümleri, güvenlik kontrollerinin sadece etkili değil, aynı zamanda bilimsel iş akışı için de pratik olmasını sağlar.
Kısacası, güven oluşturmak, zorlukları için empati göstermek ve empati eylem yoluyla güvenliğin değerini kanıtlamak, nihayetinde Buy-in’i kazanan şeydir.
Laboratuar ortamlarında gölge veya onaylanmamış araçlar için yaklaşımınız nedir? Verimliliği öldürmeden kullanıcıları daha güvenli seçimlere nasıl yönlendiriyorsunuz?
Gölge Herhangi bir organizasyonda bir gerçektir, ancak özellikle yaratıcılık ve deneylerin genellikle resmi onay süreçlerini geride bıraktığı bizimki gibi ortamlarda yaygındır. Gölge risklerini net bir şekilde iletmek önemli olsa da, açık yasakların nadiren etkili olduğunu da biliyoruz. Bunun yerine, güvenli alternatifleri etkinleştirmeye odaklanıyoruz.
Daha geniş organizasyonda, onaylanmış çözümler etrafında katı iletişim ile birleştiğinde gölgeyi tespit etmek ve önlemek için araçlar kullanıyoruz. Bununla birlikte, laboratuvar ortamlarında risk profili farklıdır ve katı uygulamanın yeniliği bastırabileceğini kabul ediyoruz. Yaklaşımımız bir denge yaratmaktır: onaylanmamış araçları aktif olarak izliyoruz ve kabul edilemez riskler olup olmadığını değerlendiriyoruz. Eğer yaparlarsa, bilim insanlarına güvenlik standartlarına bağlı kalırken ihtiyaçlarını karşılayan alternatifler sunuyoruz.
İlk kez bilim odaklı bir organizasyona adım atan CISOS veya güvenlik liderlerine ne tavsiye edersiniz?
CISO veya güvenlik lideri olarak bilim odaklı bir organizasyona adım atmak bir zihniyet değişimi gerektirir. İşte birkaç önemli tavsiye:
1. Görevi anlayın: Kendinizi kuruluşun amacına ve değerlerine daldırmak için zaman ayırın. Bilim adamlarının nasıl çalıştığını, onları neyin motive ettiğini ve güvenliğin hedefleriyle nerede kesiştiğini öğrenin. Güvenilirlik oluşturmak dünyalarını anlamakla başlar.
2. Duvarlar değil köprüler inşa edin: İşbirliği kritiktir. İş akışlarıyla uyumlu güvenlik çözümlerini birlikte oluşturmak için bilim adamları, laboratuvar liderleri ve yöneticilerle ortak olun. “Tek bedene uyan” bir yaklaşımdan kaçının ve riske dayalı yaklaşımı paydaşları davet eden bir çerçeve haline getirin.
3. Dillerinde iletişim kurun: Teknik jargondan kaçının ve kendileri için önemli olan sonuçlara odaklanın – araştırmayı korumak, uyumluluğu korumak ve yeniliği sağlamak. Siber güvenlik, bir iş sağlayıcısı olarak, bir polislik mekanizması değil.
4. Esnek ve uyarlanabilir olun: Bilim odaklı kuruluşlar dinamiktir ve güvenlik önlemleri eşit derecede çevik olmalıdır. Riske dayalı bir yaklaşımı benimseyin ve gereksiz sürtünme getirmeden en yüksek etkili tehditleri ele alan kontrollere öncelik verin.
5. Küçük kazançları kutlayın: Değişen kültür zaman alır. Momentum oluşturmak ve olumlu davranışı güçlendirmek için phishing e -postalarının artan raporlanması veya güvenli bir aracın başarılı bir şekilde benimsenmesi gibi kilometre taşlarını kutlayın.
Son olarak, rolünüzün sadece kuruluşun varlıklarını korumak olmadığını unutmayın – kuruluşun misyonunu güvenli bir şekilde gerçekleştirmesi için güçlendirilir. Güvenliği devam eden bir ortak olarak konumlandırdığınızda, güven kazanacak ve anlamlı bir değişim sağlayacaksınız.