YORUM
Bilgi güvenliği rehberliğinin kalitesi son yıllarda arttı – özellikle temellere odaklanma konusunda – ancak endüstrimiz bu temelleri tekrarlanabilir süreçler olarak oluşturmayı vurgulamakta çoğu zaman başarısız oluyor.
Temeller, politikalar, eğitim, masaüstü egzersizlerive teknoloji, kendi yararlılıkları açısından sınırlı kaynaklardır; her biri bir yapbozun sınırlı ve sıklıkla öznel bir parçasıdır. Yönetici ifadesinin “Daha azıyla daha fazlasını yapmayı öğrenin” ile özetlenen bir sektörde tutarlı nihai hedeflere ulaşmak, baştan sona tanınabilir, tekrarlanabilir ve esnek süreçler gerektirir.
Ortak bir sözlüğü benimsemek için, “süreci”, bir kişinin bir uyarana yanıt olarak gerçekleştirebileceği uygulayıcı tarafından tanımlanan bir dizi beklenen eylemin oluşturulması, eğitimi, değerlendirilmesi ve iyileştirilmesi olarak tanımlayalım. Uyarıcı örnekleri arasında 911 çağrısı, uç nokta tespiti veya İK’dan gelen bir katılım bileti yer alır. Daha da önemlisi, süreç faaliyet için bir çerçeve sağlar, tekrarlanabilir, genelleştirilebilir ve uygulayıcının fiziksel, zihinsel ve dijital yetenekleri tarafından yönlendirilir..
Psikoloji profesörü ve insan hatası uzmanı James T. Reason nedenselliğin “İsviçre Peyniri Modeli”ni ilk kez 1990 yılında resmen önerdi. Onun modeli, karmaşık sistemlerin çöküşünün genellikle bir fırsat anında hizalanan birden fazla savunma (dilim) arasındaki zayıflıkları içerdiğini teorileştiriyor. arızada. Yazar ve teknoloji uzmanı Cory Doctorow yakın zamanda bunun mükemmel bir örneğini gösterdi Başarılı bir mali dolandırıcılıkla sonuçlanan uyum içinde. Güvenlik bağlamında, İsviçre Peyniri Modeli bize, baştan itibaren tekrarlanabilir, güvenilir süreçleri iş akışlarınıza entegre etmeye odaklanmadan sistemlerinizdeki zayıflıkların nasıl ve ne zaman bir saldırgan fırsatı sunacak şekilde sıralanacağını güvenilir bir şekilde tahmin edemeyeceğinizi söylüyor.
Kongre’de teknik destekte çalışan yeni bir teknoloji uzmanı olarak, Washington DC’ye günlük gidişim genellikle podcast dinlemeye odaklanıyordu. Favorilerden biri savunma temalıydı podcast Bombabölümün ortasında sık sık “Süreç benim sevgilimdir” sloganını tekrarlayarak, sürecin kritikliğini ulusal güvenlik kadar önemli ve öngörülemeyen bir şeye benzetiyor. Bu ifade bende sadece otizm nedeniyle değil (sonuçta kendi kendimize empoze ettiğimiz rutinleri seviyoruz) aynı zamanda teknoloji kariyerimden önce acil servis müdahalesinde on yıllık deneyimim nedeniyle de yankı uyandırdı.
Binlerce kişiye müdahale etmekten sorumlu bir 911 görevlisi olarak süreç gerekli hale geldi. Çalışmam gerekiyordu:
-
Eylem sırası: Ne olması gerekiyor ve ne zaman?
-
Eylemlerin kinetiği: Düzen çevreyle uyumlu mu? Uygun radyolar ve klavyeler doğru yerlerde mi? Doğru araçlar ulaşılabilir durumda mı ve doğru yönde mi?
-
Eylemlerin yanallığı: Birini başlatmaktan diğerine geçerek, daha sonra minimum düzeyde doğrudan etkileşim ve minimum geçerli dikkatin dağılmasıyla birbirleriyle birlikte gelişecek neyi paralelleştirebilirim?
-
Değerlendirme: Neyi ölçebilirim? Burada etkileşime giren sistemleri nasıl değerlendirebilirim? Süreci ne kadar iyi benimsediler veya tek seferlik hale getirdiler? Neyin iyileştirilmesi gerekiyor?
Bunu çözmek, sayısız önemli unsurun eşzamanlı dikkat gerektirdiği, öngörülemeyen bir ortamda ilerlemenin tek yoluydu. Sevk işi gibi teknik güvenlik de süreçte ustalaşmayı gerektirir. Hiç bitmeyen bir bilet kuyruğunun ortasında mermeri ezmek için Virginia banliyösünden Capitol’e hızla koşmak ve daha sonra özel istihdamda sağlam ve gelişen bir güvenlik programını sıfırdan ayağa kaldırmaya yardımcı olmak, süreç bir kez daha benim sevgilim oldu.
Politika Kuralcıdır, Süreç Hareketlidir
Bunu kas hafızası yoluyla bir uyaran tepkisi olarak düşünün. Süreç, rehberlik etmek istediği uygulayıcının fizyolojisini, nörolojisini, önyargılarını ve yeteneklerini doğrudan dikkate alır. Arka ofisin bir ürünü olamaz. Süreç zorunlu olarak uygulayıcı merkezlidir; sandalyelerine oturun, gözleriyle görün, aletleriyle çalıştırın ve en önemlisi uygulayıcının yorgunluğuyla sürece meydan okuyun. Çift vardiyanın 13. saatindeki biri bunu etkili bir şekilde gerçekleştirebilir mi?
Oluşturma süreci de etkileşimli olmasına ve mutabakata dayalı olmamasına rağmen, en azından fikir birliği sağlandı. Hem yakın ekibin hem de etrafındaki senaryoya dokunanların paydaş katılımını ve katılımını gerektirir.
Sürecin ilk yinelemesi oluşturulduktan sonra, bunu revizyonu vurgulayacak şekilde belgeleyin. Belirli ve ölçülebilir unsurlar etrafında eylem sonrası değerlendirme de dahil olmak üzere, bunun canlı doğasını belgelere ekleyin. Herhangi bir durumun nasıl sonuçlanacağını her zaman etkilediği için öznel olanı göz ardı etmeyin. Uygulayıcılarınızın süreçle nasıl karşılaştığı, sürecin gerçekte ne kadar başarılı bir şekilde hayatta kaldığını belirler.
Sonra gözden geçirin, nefes alın ve her şeye baştan başlayın.
Başarılı bir güvenlik programını yürütmek için mümkün olan her yerde gerçekçi, uygulayıcı odaklı bir süreç oluşturmak kritik öneme sahiptir. Çalışanların tükenmişliğini önler, deneyimleri standartlaştırır ve tekrarlanan tek seferlik deneyimlerden kaynaklanan boşlukların çoğunu kapatır. Uygulayıcıları merkeze alarak, ortamları değerlendirerek ve temel ilkelere ve proaktif iletişim şemalarına dikkat etmenin yanı sıra esnek çerçeveler oluşturarak hepimiz daha güvenli bir duruşa doğru ilerleyebiliriz. Kötü aktörlerin işini zorlaştıralım.