Branża cybernetyczna musi zaakceptować fakt, iż ryzyka nie da się wyeliminować

cyberfeed.pl 1 miesiąc temu


W dziedzinie bezpieczeństwa cybernetycznego mamy wrażenie, iż musimy poddać się większej kontroli niż inni. Oczekuje się od nas, iż będziemy złotym standardem – całym poziomem perfekcjonizmu, który jest nieosiągalny. Co więc się stanie, gdy firma zajmująca się bezpieczeństwem cybernetycznym popełni prosty błąd?

CrowdStrike można uznać za studium przypadku. Pamiętam, iż czytałam odczyt techniczny i było to tak „proste”, jak dodanie jednego dodatkowego pola do szablonu i to wszystko spowodowało awarię. Spodziewam się jednak, iż nie był to prosty przypadek niepowodzenia przypadku testowego, ale prawdopodobnie była to seria zdarzeń, które doprowadziły do ​​​​poważnego problemu globalnego. Czasami nazywa się to modelem sera szwajcarskiego, w którym zestaw usterek lub testów kończy się niepowodzeniem, a wszystkie dziury w serze układają się w jedną całość, umożliwiając wystąpienie zdarzenia.

Musimy jednak zaakceptować fakt, iż tak się stało, a dzieje się tak dlatego, iż nigdy tak naprawdę nie możemy wyeliminować ryzyka w technologii – im szybciej zmienimy nasze postrzeganie tego problemu, tym szybciej będziemy mogli przygotować się na skuteczne radzenie sobie z przyszłymi incydentami lub, co ważne, zrozumieć związane z tym ryzyko nieprawdopodobne, iż takie mogą być.

Należy uznać systemowy charakter ryzyka

Awaria CrowdStrike naprawdę uwydatniła pytanie – czy nie staliśmy się zbyt zależni od firm technologicznych, które są od siebie krytycznie zależne w jednym dużym systemie?

Powodem, dla którego korzystamy ze wszystkich tych scentralizowanych dostawców usług w chmurze i SaaS, jest to, iż korzyści często przewyższają ryzyko. jeżeli jednak u jednego z tych dużych dostawców wystąpi incydent, może to mieć rozległe skutki dla wielu organizacji korzystających z ich usług.

Może to spowodować powstanie dynamiki „zbyt dużych, by upaść”, podobnie jak w sektorze finansowym, gdzie niepowodzenie głównego gracza mogłoby mieć skutki kaskadowe.

Odkryłem, iż na ogół ludzie dobrze rozumieją ryzyko, które jest ich osobistą sprawą. Wszyscy wiemy, iż przechodzenie przez ruchliwą drogę w godzinach szczytu jest ryzykowne, ale minimalizujemy to ryzyko, korzystając z wyznaczonych przejść. Jednak jako ludzie nie rozumiemy poważnych problemów systemowych, przed którymi stoimy w ten sam sposób, i tego, iż potencjalnie przerzucamy całe to ryzyko na garstkę organizacji. Czy już czas zacząć dywersyfikować nasze stosy technologiczne i nie wkładać wszystkich jajek do jednego koszyka?

Nie da się osiągnąć zerowego ryzyka

Bądźmy ze sobą szczerzy! Niezależnie od tego, jak bardzo chciałbyś myśleć, iż możesz wyeliminować wszystkie ryzyko, my nie możemy.

Musimy podejść realistycznie do ryzyka, w przeciwnym razie organizacje będą wydawać nieskończone pieniądze i czas na ograniczanie ryzyka na kontrolach bezpieczeństwa, a to nie jest praktyczne ani pragmatyczne. jeżeli skończysz kodować, dopóki krowy nie wrócą do domu, nic nie zostanie wydane.

Należy skupić się na ograniczeniu ryzyka do rozsądnego, możliwego do zarządzania poziomu, a nie na dążeniu do osiągnięcia bezwzględnego zerowego ryzyka. Zawsze będzie jakiś poziom, którym trzeba zarządzać. Pracowałem w sektorze kolejowym w Wielkiej Brytanii i istniała koncepcja tzw Tak niskie, jak jest to rozsądnie wykonalne. Dziś stosuję to podejście i dobrze mi służy.

Należy zachować przejrzystość w zakresie ryzyka resztkowego

Otwarte informowanie o tym, iż niektóre ryzyka utrzymają się choćby po podjęciu działań łagodzących, jest ważne dla ustalenia realistycznych oczekiwań wobec interesariuszy i kadry kierowniczej wyższego szczebla.

Nie próbuj mydlić nikomu oczu i mówić, iż ryzyko w Twojej organizacji będzie zerowe – musisz zachować przejrzystość wobec interesariuszy w kwestii wykonywania funkcji lub tego, nad czym pracujesz. Nie możesz siedzieć i mówić, iż wszystko jest w porządku, gdy tak nie jest, i sprawić komuś niemiłą niespodziankę, jeżeli coś pójdzie nie tak. Przejrzystość jest ważna nie tylko w przypadku incydentu – w wielu przypadkach pozostało ważniejsza, jeżeli chodzi o zapobieganie samemu incydentowi.

Osobiście uważam, iż CrowdStrike zrobił wszystko, co mógł, aby dobrze zareagować na incydent. Byli otwarci i uczciwi, jasno komunikowali się z klientami i interesariuszami oraz włożyli wiele zasobów i wysiłku w PR, zarządzanie relacjami i, co najważniejsze, pomoc techniczną. Można to zobaczyć na ciągłe aktualizacje i naprawy rada opublikowane w Internecie. Jednak niezależnie od tego, co zrobi organizacja, nigdy nie będzie w stanie naprawdę wyeliminować ryzyka w swoich systemach i obiecać tego światu.

Kluczem jest znalezienie adekwatnej równowagi. Zapewnienie prostoty i łatwości wdrożenia środków bezpieczeństwa i reagowania na incydenty ma najważniejsze znaczenie, w przeciwnym razie prawdopodobnie zostaną zaniedbane. Jednocześnie organizacje muszą być na tyle przejrzyste, aby utrzymać zaufanie, zarządzać ryzykiem do akceptowalnego poziomu i wdrażać praktyczne rozwiązania, których można konsekwentnie przestrzegać.



Source link

Idź do oryginalnego materiału