حساب ریسک CISO: پیمایش خط باریک بین پارانویا و هوشیاری

من در اسرائیل متولد و بزرگ شدم، اولین باری را که به یک مرکز خرید آمریکایی رفتم را به یاد دارم. پارکینگ پر از ماشین بود و مردم در حال آسیاب بودند، با این حال نمی‌توانستم بفهمم ورودی کجاست. چند دقیقه طول کشید تا متوجه شدم که برخلاف اسرائیل، مراکز خرید در ایالات متحده همه نگهبانان مسلح و فلزیاب‌های بیرون از هر دری ندارند.

من اغلب این حکایت را به عنوان راهی برای روشن کردن مفهوم “پارانویای سالم” در حوزه امنیت سایبری. همانطور که واقعیت سیاسی اسرائیل به درستی یک وضعیت هوشیاری دائمی را در بین شهروندان خود برای امنیت فیزیکی ایجاد کرده است، CISO امروز نیز باید اخلاقی مشابه را در بین کارکنان خود پرورش دهد تا آنها را در برابر تهدیدات دیجیتالی در حال تکامل آماده و محافظت کند.

البته CISO ها طبیعتاً انتخاب کمی دارند جز اینکه در مورد همه چیزهایی که ممکن است اشتباه پیش بروند پارانوئید باشند. برعکس، دیگران در یک سازمان معمولاً تا زمانی که آن اتفاق بد رخ ندهد، پارانوئید نمی‌شوند.

بنابراین، مرز بین هوشیاری مفید و پارانویای تضعیف‌کننده را کجا می‌کشید؟

پارانویا به هدف نیاز دارد

درخواست از کاربران برای حفظ حالت هوشیاری ثابت هم غیرواقعی و هم غیرمولد است. در سطح روان‌شناختی، هوشیاری پایدار می‌تواند از نظر ذهنی خسته‌کننده باشد، که اغلب منجر به خستگی و فرسودگی می‌شود. زمانی که به طور مداوم از افراد خواسته می شود تا روشن باشند هشدار بالاآنها می توانند کاهش عملکرد شناختی، کاهش بهره وری و افزایش حساسیت به خطا را تجربه کنند. چنین خستگی هشیاری در نهایت می تواند مزایای هوشیاری را خنثی کند و افراد را بیشتر مستعد اشتباهات کند.

این تمایلات تنها در دوران تشدید می شوند اعتماد صفر، جایی که از ما درخواست می شود “هرگز اعتماد نکنید و همیشه تأیید کنید.” به راحتی می توان فهمید که چگونه برخی می توانند این حکم را به حد افراط برسانند و مرزهای بین شک و تردید سالم و بی اعتمادی تضعیف کننده را محو کنند.

در حالی که اصول اعتماد صفر در امنیت سایبری از تأیید و نظارت دقیق حمایت می کند، مهم است که بین این رویکرد استراتژیک و یک پارانویای همه جانبه که می تواند عملیات، همکاری و نوآوری را مختل کند، تفاوت قائل شویم.

برخی از راه‌هایی را در نظر بگیرید که سازمان‌ها پارانویای خود را تا حدی ناسالم در نحوه ایمن‌سازی سیستم‌ها و داده‌های خود مدون کرده‌اند.

• الزامات رمز عبور سخت: نارسایی های رمزهای عبور این روزها توسط اکثر کاربران به خوبی درک می شوند، اما استفاده گسترده از آنها همچنان ادامه دارد. در نتیجه، اکثر سازمان‌های بزرگ از کارگران می‌خواهند که از ترکیب‌های پیچیده از کاراکترها، اعداد و نمادها استفاده کنند و مرتباً آنها را تغییر دهند. با این حال، چنین پروتکل‌هایی اغلب این واقعیت را نادیده می‌گیرند که بسیاری از نقض‌های احراز هویت به دلیل شکسته شدن رمز عبور نیست، بلکه توسط طرح‌های مهندسی اجتماعی نسبتاً ساده لغو می‌شوند. علاوه بر این، اگر رمز عبور قوی شما در وب تاریک فاش شود، هیچ پیچیدگی نمی تواند مانع از انجام حملات پر کردن اعتبار توسط مهاجم شود.
• پیگیری “ریسک صفر”: مانند بسیاری از تلاش‌های استراتژیک، کاهش ریسک اغلب قانون کاهش بازده را تجربه می‌کند. اقدامات امنیتی بیش از حد محدود کننده می تواند مانع بهره وری شود و کاربران را ناامید کند و آنها را به یافتن راه حل هایی سوق دهد که ممکن است ناخواسته آسیب پذیری های جدیدی را ایجاد کنند. در حالی که پیگیری امنیت مطلق البته قابل ستایش است، تخصیص منابع به مناطقی که بیشترین تأثیر را در کاهش ریسک کلی خواهند داشت اغلب عملی تر است.
• تصمیم گیری مبتنی بر ترس: ما اغلب بر اساس واکنش‌های احساسی که ریشه در ترس و عدم اطمینان دارند، تصمیم می‌گیریم تا تحلیل عینی و قضاوت منطقی. به عنوان مثال، اگر یک کارمند به طور تصادفی روی یک بدافزار کلیک کند ایمیل فیشینگیک واکنش ترس محور ممکن است محدود کردن شدید دسترسی به اینترنت برای همه کارمندان باشد، به جای پرداختن به علت اصلی از طریق آموزش بهتر یا کنترل های دسترسی دقیق تر، مانع بهره وری و همکاری شود.

تقویت دیوار آتش انسان

گاهی اوقات نقش حیاتی بقا را فراموش می کنیم که پارانویا و اضطراب در بقای جمعی گونه ما ایفا کرده است. اجداد اولیه ما در محیط های پر از شکارچیان و سایر تهدیدات ناشناخته زندگی می کردند. دوز سالم پارانویا آنها را قادر می سازد تا هوشیارتر باشند و به آنها کمک کند تا خطرات بالقوه را شناسایی کرده و از آنها اجتناب کنند.

چالش در عصر مدرن ما این است که بتوانیم تهدیدات واقعی را از سر و صدای بی پایان هشدارهای کاذب متمایز کنیم، و اطمینان حاصل کنیم که پارانویا و اضطراب موروثی ما به جای اینکه مانع ما شود، در خدمت ما باشد. همچنین مستلزم آن است که عنصر انسانی در حساب امنیتی را بشناسیم و به آن بپردازیم.

همانطور که کوین میتنیک فقید نوشت، “از آنجایی که توسعه دهندگان به طور مداوم فناوری های امنیتی بهتری را اختراع می کنند، و بهره برداری از آسیب پذیری های فنی را به طور فزاینده ای دشوار می کند. مهاجمان بیشتر و بیشتر به بهره برداری از عنصر انسانی روی خواهد آورد. شکستن فایروال انسان اغلب آسان است.

بنابراین، رهبران امنیتی چه اقداماتی می‌توانند برای مهار این غرایز به‌طور سازنده‌تر انجام دهند تا بتوانیم به کاربران کمک کنیم تا نسبت به این خطرات دنیای واقعی هوشیار باشند و بدون غرق شدن در آنها حرکت کنند؟ در اینجا چند استراتژی وجود دارد که می تواند کمک کند.

• رویکرد امنیتی با طراحی را بپذیرید: در حالی که ادعای این که امنیت مسئولیت همه است و از فرهنگ امنیتی فراگیر دفاع می کند، شعار رایج است، چالش واقعی در عملیاتی کردن این طرز فکر و یکپارچه سازی است. تمهیدات امنیتی به بافت توسعه محصول و سیستم. برای دستیابی واقعی به این هدف، اصول امنیتی باید به طور یکپارچه در فرآیندها و عملکردها گنجانده شوند، و اطمینان حاصل شود که آنها به جای انجام وظایف اجباری، به رفتارهای غریزی تبدیل می شوند.
• روی موارد لبه تاکید کنید: یک مورد لبه به موقعیت یا رفتار کاربر اشاره دارد که خارج از پارامترهای مورد انتظار یک سیستم رخ می دهد. به عنوان مثال، در حالی که اکثر CISO ها تلاش های خود را برای محافظت در برابر تهدیدات دیجیتال در اولویت قرار می دهند، اگر شخصی به اتاق سرور دسترسی فیزیکی پیدا کند چه اتفاقی می افتد؟ همانطور که فناوری و رفتار کاربر در حال تکامل است، آنچه امروز به عنوان یک مورد برتر در نظر گرفته می شود ممکن است در آینده رایج تر شود. با شناسایی و آماده سازی برای این موقعیت های دورتر، تیم های امنیتی بهتر می توانند به یک چشم انداز تهدید نامشخص آینده پاسخ دهند.
• آموزش امنیتی باید مداوم باشد: آموزش امنیتی نباید یک ابتکار یکباره باشد. در حالی که ایجاد سیاست های قوی اولین گام مهم است، انتظار اینکه مردم به طور خودکار آن ها را درک کنند و به طور مداوم به آن پایبند باشند، غیرواقعی است. طبیعت انسان ذاتاً طوری برنامه ریزی نشده است که اطلاعات ارائه شده را فقط یک بار حفظ کند و بر اساس آن عمل کند. این فقط در مورد ارائه اطلاعات نیست. این در مورد تقویت مداوم آن دانش از طریق آموزش مکرر است. تلنگر یا یادآوری گاه به گاه، حتی اگر شبیه به آزار دادن باشد، نقش اساسی در حفظ اصول امنیتی و تضمین رعایت در دراز مدت دارد.

همانطور که جوزف هلر در آن نوشت Catch-22، “فقط به این دلیل که شما پارانوئید هستید به این معنی نیست که آنها دنبال شما نیستند.” یادآوری خوبی است که در این دنیای غیرقابل پیش‌بینی ما، یک دوز سالم از پارانویا می‌تواند بهترین دفاع در برابر رضایت از رضایت باشد.

عمر کوهن CISO در کشف کردن.