Ukrayna’ya bombalar düşmeye başlamadan bir hafta önce, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bir “Kalkanlar Yukarı” ABD çıkarları için uyarı. Uyarıyı, haber ve siyasi yelpazedeki uzmanlardan gelen kıyamet siber saldırıları uyarıları izledi. Felaket saldırılar henüz gerçekleşmemiş olsa da, hala not edilmesi gereken uyarılar ve olasılığı en aza indirmek için atılması gereken adımlar var. kuruluşunuz, yakında sona erme belirtisi göstermeyen bir savaşın zayiatı haline geliyor.
Şimdi, “Kalkanlar Yukarı” uyarısını henüz okumamış olanlar için, işte tl;dr versiyonu: “Son on yıldır size yapmanızı söylediğimiz tüm o siber güvenlik şeylerini biliyor musunuz? Biz ciddiydik. Ve biz GERÇEKTEN şimdi ciddiyim.” Bildirimde çığır açan hiçbir şey yoktu, büyük yeni tehditler ya da cesur yeni eylemler için öneriler yoktu. İyi siber güvenlik uygulamalarının fidye yazılımlarından sıfır gün saldırılarına kadar her şeye karşı sahip olduğumuz en iyi koruma olduğuna dair sağlam, çığlık atan kırmızı bir hatırlatma.
Ancak hepimiz, özel bir dizi duruma yanıt olarak özel bir şey yaptığımızı hissettirecek bir şey aradığımızdan, kurumsal siber güvenliğinizi yükseltmek için uygulayabileceğiniz en iyi tek yaklaşım şudur: Daha iyi iletişimi daha yüksek bir öncelik haline getirin .
İyi bir dinleyici ol
Bu, iletişim için 360 derecelik bir öneridir. Bulabileceğiniz her güvenilir bilgi kaynağını dinleyerek başlayın. Örneğin herhangi bir kritik altyapıya dahilseniz, kuruluşunuzun üyesi olması gerekir. Kızılötesi, bilgi paylaşımı için bir FBI/özel sektör ortaklığı. Diğer piyasa sektörlerinde hem az hem de çok resmi benzer ortaklıklar vardır. Uygun olduğunuz herhangi birine katılan birinin olduğundan emin olun.
Personelin zamanını yeni tehditler, yeni yanıt seçenekleri ve tehdit ortamının mevcut durumu hakkında bilgi edinmeye ayırın. Personeliniz yeterince büyükse, belirli bilgi kanallarını veya konularını izlemek için farklı üyelere “dövüş” veya görevler verin. Personel daha küçükse, bu bilgi kanallarını veya konuları belirlemek için birlikte çalışın ve en son gelişmeler için kaynakları izlemeye her hafta içinde biraz zaman ayırdığınızdan emin olun. Ardından araştırmadan gelen bilgileri paylaşın.
Belli ki bilgileri güvenlik ve BT personeli içinde paylaşmak istiyorsunuz, ancak bilgileri organizasyonun geri kalanıyla da paylaşmayı planlamalısınız. Bunlar stresli zamanlar ve iyi bilgiler, çalışanların kontrolde olduklarını hissetmelerine yardımcı olacak çünkü onlara neler olduğunu anlatıyorsunuz. ve bu konuda yapabilecekleri. Bunu kısa, teknik olmayan ve arkadaşça bir dilde ilettiğinizden emin olun. Bunu yapmanın disiplinli bir yolunu arıyorsanız, şunun gibi bir şey düşünün: peça kuça format — her biri 20 saniyelik 20 slayt.
Tedarik zincirinizle başka bir iletişim seti gerçekleşmelidir. Bu, bulut sağlayıcıları, barındırma şirketleri, SaaS sağlayıcıları ve diğerleriyle düzenli iletişimin sık ve düzenli olması gereken bir çağdır. Onlara altyapılarını korumak için ne yaptıklarını, varlıklarınızı korumak için ne yaptıklarını ve işe yarayan diğer müşterilerinin ne yaptığını sorun. Ardından stratejilerinizi, kazançlarınızı ve endişelerinizi paylaşın. Stresli zamanlar tek başına gitme zamanı değildir – tedarik zincirinizin toplu bilgisinden yararlanın.
Touchy-Feely’nin Ötesinde
Tüm bunları gerçek eylem yerine dokunma hissi etkinliği olarak reddetmek cazip gelebilir. Değil. İletişim eksikliği, bilgi ve korumadaki boşlukların çoğalmasına yol açar – bu boşluklar, tehdit aktörleri için mükemmel saklanma yerleri ve savunmasızlık noktalarıdır. Kuruluş içinde ve dışında iletişim kurduklarından emin olarak en değerli siber güvenlik varlıklarınızı – çalışanlarınızı – en güçlü durumda tutun. İletişimi bir öncelik haline getirin ve kuruluşunuz 2022’den içeri girdiği zamandan daha güçlü çıkacaktır.