Ключевые идеи книги: Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании. Эллисон Серра

Smart Reading, 2022

Это саммари – сокращенная версия книги «Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании» Эллисон Серра. Только самые ценные мысли, идеи, кейсы, примеры. Представьте, что минуту назад кто-то неизвестный получил полный доступ к банковским счетам вашей компании. Или к личным данным сотрудников. Или к вашим ключевым коммерческим тайнам. Что делать?! И если этого еще не произошло, риск кибератаки все равно очень велик: достаточно, к примеру, поделиться конфиденциальными подробностями в ответе на письмо, которое якобы отправил ваш коллега… Уверены ли вы, что виртуальный разум вашей компании защищен надежно? Это зависит отнюдь не только от бдительности айтишников. Эллисон Серра объясняет, что должен понимать и делать для кибербезопасности каждый сотрудник компании – от директора до менеджера по персоналу. Ее инструкции просты, но очень эффективны. Минимум сложных технических подробностей, максимум здравого смысла! В формате PDF A4 сохранён издательский макет.

Кибербезопасность для всей компании

Что должны знать гендиректор и правление

1. Сделайте кибербезопасность регулярно обсуждаемой на заседаниях правления темой. Если представление о текущей ситуации в этой сфере еще не сложилось, на эту тему стоит выделить не менее полутора часов: за это время руководитель по информационной безопасности (ИБ) должен осветить все ключевые вопросы. Важно иметь представление об уязвимости по каждому активу в порядке убывания его стратегической значимости. Стратегически важные активы, оказавшиеся самыми уязвимыми, требуют немедленного перераспределения бюджета. Оценка степени риска должна постоянно обновляться (для этого отдел ИБ должен устраивать регулярные учения, моделирующие атаки хакеров на вашу компанию).

2. Пусть руководитель по ИБ станет постоянным участником заседаний правления (возможно, стоит назначить членом совета директоров человека с опытом в сфере кибербезопасности — это расширит корпоративное мышление). На каждом таком заседании уделяйте теме кибербезопасности как минимум полчаса. Дайте руководителю по ИБ возможность провести собрание, на котором он сможет обосновать идею выделять больше ресурсов на кибербезопасность: пусть руководитель по ИБ побудет управленцем.

Что должен знать разработчик продуктов

Ныне хакеры атакуют нас не только через телефоны и ноутбуки, но и через программное обеспечение электромобилей и бытовой техники. Это в разы повышает требования к разработчикам продуктов.

1. На начальных этапах разработки продукта нужно участие клиента: чем больше уточняющих вопросов о тонкостях будущего использования продукта вы ему зададите, тем лучше. Безопасность должна быть обязательным требованием к минимально необходимому функционалу вашего продукта, а не той функцией, что дорабатывается вслед за другими.

2. Тщательно определите принципы конфиденциальности клиентских данных, с которыми связан ваш продукт. Каким образом, как долго и где эти данные будут использоваться? Готовы ли вы, сохраняя эти данные, идти на риск взлома? Очевидно, нет! Это повышает требования к стандартам продукта.

3. Безопасность должна обеспечиваться на каждом этапе жизненного цикла вашего продукта. Глава каждого подразделения вашей компании должен засвидетельствовать, что требования к безопасности продукта в рамках его компетенции соблюдены, разумеется, еще до того, как продукт будет представлен на рынке. Четко распределите ответственность за безопасность: кто отвечает за обслуживание, кто за обновление продукта, а кто за решение проблем после взлома.

4. Если в безопасности продукта возникли сомнения, его производство должно быть остановлено, причем сразу же, на любой стадии. Помнить про право «остановить конвейер» должен каждый сотрудник, оно не только не осуждается, но вознаграждается. Тем самым вы даете понять: о безопасности в вашей компании заботятся не меньше, чем о качестве; более того, безопасность — неотъемлемая часть качества.

Конец ознакомительного фрагмента.