Ngày 21 tháng 6 năm 2023Tin tức về hackerAn ninh mạng
Khi chúng tôi lập kế hoạch hàng quý, nhóm của tôi phân loại các mục tiêu của chúng tôi theo bốn kết quả thường xanh:
Giảm nguy cơ xảy ra sự cố bảo mật thông tin Tăng niềm tin vào chương trình bảo mật thông tin của Vanta Giảm xung đột do kiểm soát bảo mật thông tin Sử dụng chuyên môn bảo mật để hỗ trợ doanh nghiệp
Trong bài viết này, tôi sẽ tập trung vào điều thứ ba: giảm ma sát.
Tuyên bố ý định của bạn
Có giá trị trong việc biến “giảm ma sát” thành một mục tiêu rõ ràng trong chương trình bảo mật của bạn. Nó thiết lập giọng điệu phù hợp với các đối tác của bạn trong toàn tổ chức và là một bước để xây dựng văn hóa bảo mật tích cực.
Lần đầu tiên tôi trình bày những kết quả đó trong một diễn đàn toàn công ty, tôi đã nhận được một tin nhắn Slack từ một nhà lãnh đạo cấp cao mới gia nhập công ty:
“Thật tuyệt khi biết về việc các nhóm bảo mật tập trung vào việc loại bỏ các biện pháp kiểm soát bảo mật vô hình. Triết lý tuyệt vời cho nhóm bảo mật
[…]nó thật tuyệt vời
quá nhiều nhóm bảo mật coi bảo mật là sự đánh đổi độc quyền giữa sức mạnh vận hành của nhóm và bảo mật”
ma sát ẩn
Đôi khi, khi giới thiệu các biện pháp kiểm soát bảo mật mới, bạn đang cân nhắc kỹ lưỡng giữa bảo mật và trải nghiệm người dùng. Có một số tình huống mà ma sát không được hiểu rõ ràng:
Mâu thuẫn gây ra bởi một biện pháp kiểm soát bảo mật mà bạn hoặc nhóm của bạn không hiểu rõ trước thời hạn Một cá nhân bên ngoài tổ chức của bạn đang kích hoạt các biện pháp kiểm soát bảo mật với mục đích tốt nhưng không thông báo cho bạn hoặc nhóm của bạn. nhưng nó thực sự được thực hiện vì những lý do hoàn toàn không liên quan
Mỗi tình huống này đều dẫn đến xung đột ẩn. Xung đột tiềm ẩn làm xói mòn niềm tin vào nhóm của bạn và đẩy văn hóa bảo mật của bạn theo hướng tiêu cực.
Một giải pháp cho ma sát ẩn là khảo sát ma sát.
Tìm ma sát ẩn
Tại Vanta, chúng tôi thực hiện một cuộc khảo sát nhân viên hai năm một lần để tìm ra những xích mích tiềm ẩn. Để tránh “sự mệt mỏi khi khảo sát” khi nhân viên cũng đang được thăm dò ý kiến thông qua các cuộc khảo sát về mức độ tương tác, chúng tôi tham gia cùng với hai nhóm khác: Kỹ thuật Doanh nghiệp và Quyền riêng tư, Rủi ro và Tuân thủ.
Mỗi nhóm trong số ba nhóm của chúng tôi đặt cùng nhau một số câu hỏi nhỏ để hiểu rõ hơn cách công ty nhìn nhận những xích mích do công việc của chúng tôi gây ra.
Trong nhóm bảo mật, chúng tôi hỏi ba câu hỏi:
Bạn đánh giá như thế nào về xung đột do các biện pháp kiểm soát bảo mật của Vanta gây ra khi thực hiện các hoạt động hàng ngày của bạn? (thang điểm 1-5) Vui lòng mô tả các biện pháp kiểm soát an ninh ảnh hưởng đến công việc của bạn tại Vanta như thế nào và ở đâu. Bạn có suy nghĩ hoặc nhận xét nào khác về Nhóm bảo mật hoặc công việc của chúng tôi không? (Chúng tôi đặc biệt muốn nghe ý kiến của bạn nếu bạn chọn 3/trung lập hoặc thấp hơn cho bất kỳ câu hỏi nào ở trên.)
Lần đầu tiên chúng tôi thực hiện khảo sát này là vào quý 2 năm 2022. Chúng tôi đã nhận được xếp hạng tích cực và không có nhiều phản hồi hữu ích. Tôi có xu hướng xem đây là một dấu hiệu của sự tương tác hạn chế, hơn là một bài đánh giá tích cực.
Chúng tôi đã thực hiện lại cuộc khảo sát vào Quý 4 năm 2022 và thu được nhiều kết quả thú vị hơn. Chúng tôi đã phát hiện ra các nguyên nhân chính gây xích mích được cho là do bảo mật, nhưng không liên quan gì đến nhóm của chúng tôi.
Chúng tôi cũng phát hiện ra rằng nhiều người đang gặp sự cố với các chính sách xác thực mới mà chúng tôi đã bắt đầu triển khai. Họ không biết quy trình dự kiến là gì, vì vậy khi gặp lỗi yêu cầu họ xác thực nhiều lần mỗi ngày, họ cho rằng đó chỉ là một phần của chính sách.
hành động
Theo kết quả của cuộc khảo sát, chúng tôi đã tổng hợp một tài liệu để chia sẻ với công ty tóm tắt kết quả và các hành động mà chúng tôi dự định thực hiện. Chúng tôi muốn minh bạch nhất có thể. Mục tiêu là làm rõ khi nào có điều gì đó mâu thuẫn vì chúng tôi đã đánh đổi rõ ràng, khi nào chúng tôi mắc lỗi và khi có ngữ cảnh bổ sung sẽ giúp mọi người hiểu rõ hơn về các biện pháp kiểm soát.
Kết quả
Khảo sát ma sát là một công cụ có giá trị trong việc đấu tranh chống lại các chuẩn mực kế thừa của văn hóa an ninh. Bằng cách có mối quan hệ làm việc tích cực với mọi đồng nghiệp, chúng ta sẽ đạt được hiệu quả cao hơn nhiều trong các kết quả khác mà nhóm của chúng ta đang cố gắng đạt được.
Theo thời gian, những kết quả này tạo thành một số liệu chương trình mạnh mẽ và có thể được theo dõi như một phần của KPI của bạn.
Lưu ý: Bài viết được đóng góp chuyên môn này được viết bởi Rob Picard, Trưởng nhóm bảo mật tại Vanta. Rob Picard lãnh đạo chương trình bảo mật thông tin của Vanta. Trước khi gia nhập, anh ấy là người sáng lập công ty khởi nghiệp bảo mật được hỗ trợ bởi Y Combinator, một nhà tư vấn bảo mật lâu năm và đã xây dựng một số chức năng bảo mật tại Robinhood. Anh ấy thích sử dụng những bài học đã học được để giúp các công ty khởi nghiệp xây dựng các chương trình bảo mật hiện đại, hiệu quả và hiệu quả. Bài viết này ban đầu được xuất bản trên LinkedIn.
