Bezpieczeństwo ewoluuje od odpowiedzialności jednego zespołu do odpowiedzialności całej firmy. Powinno ono stać się częścią kultury organizacji, w której każdy pracownik ma obowiązek zaakceptować ideę bezpieczeństwa jako fundament i działać zgodnie z jego zasadami. Pozytywne i proaktywne podejście w tym zakresie jest niezbędne do zbudowania organizacji, w której bezpieczeństwo umożliwia szybsze działanie całej firmie.
Tworzenie kultury bezpieczeństwa to przyszłość, ale jak to wygląda w praktyce i jak organizacje mogą zapewnić, że przestrzegają głównych zasad bezpieczeństwa? Co można zrobić już dzisiaj, aby promować pozytywną kulturę bezpieczeństwa?
– Bezpieczeństwo jest niezwykle istotne w każdej firmie, zwłaszcza jeśli mówimy o bezpieczeństwie danych. Warto zatem zadbać o ich odpowiednią ochronę – mówi Tomasz Stachlewski, CEE Senior Solutions Architecture Manager w AWS. – W Amazon Web Services bezpieczeństwo jest najwyższym priorytetem. Klienci korzystający z naszych usług mogą lepiej dostosować się do wymogów bezpieczeństwa i obowiązujących przepisów poprzez dostęp do najwyżej klasy usług chmurowych ułatwiających budowanie nowoczesnych i bezpiecznych systemów i aplikacji informatycznych.
Zasady dla bezpieczeństwa
Aby stworzyć kulturę bezpieczeństwa, firmy powinny stosować kilka kluczowych zasad:
- Wykształcenie: oznacza to utrzymywanie umiejętności pracowników w zakresie dostępnej technologii, zasięganie porady specjalistów ds. bezpieczeństwa oraz pracę nad zrozumieniem zasad i reguł bezpieczeństwa. Takie postępowanie maksymalizuje zdolność każdego pracownika do bycia pierwszą linią obrony dla bezpieczeństwa firmy, zmniejszając ryzyko prostych błędów, które mogą spowodować problemy z bezpieczeństwem. Obejmuje to również ustalanie oczekiwań dla całej firmy, czy to konfiguracji bezpieczeństwa, która powinna być wdrażana przez programistów aplikacji, czy też obowiązków właścicieli produktów.
- Higiena: dobra higiena bezpieczeństwa jest niezbędna, aby zapobiec przekształcaniu się podstawowych błędów w zagrożenia dla bezpieczeństwa. W związku z tym, pracownicy powinni rozumieć zagrożenia wynikające ze złych praktyk bezpieczeństwa, takich jak udostępnianie kont użytkowników i haseł. W międzyczasie firmy mają za zadanie zapewnić, że stosowane przez nie systemy dostępu ułatwiają stosowanie bezpiecznych praktyk. Na przykład usługi AWS oferują tymczasowe poświadczenia, które działają przez określony czas, po którym nie zezwalają na dostęp do systemu za pomocą wcześniej udostępnionych poświadczeń. Zwiększa to kontrolę nad dostępem do usług, zmniejszając prawdopodobieństwo niezamierzonego dostępu do danych biznesowych przez osoby nieupoważnione.
- Uczenie się na podstawie błędów, bez obwiniania: ludzie zawsze będą popełniać błędy, a tworzone przez nich oprogramowanie nie będzie doskonałe. Ważną rzeczą do zrobienia jest zatem wyciągnięcie wniosków z błędów i podjęcie odpowiednich działań. Stworzenie kultury, w której analiza powstałych problemów, wykrycie powodów i błędów proceduralnych w sposób obiektywny, bez szukania winnych, pomaga w tworzeniu zdolności uczenia się organizacji i przyczynia się do zwiększenia zaufania pracowników do firmy. Kierownictwo nie powinno kierować się zasadą dopytywania czy i który pracowników popełnił błąd, zamiast tego powinno zadać pytanie co należy zmienić w firmie, aby taki błąd się nie powtórzył. Ludzie w organizacji powinni czuć się swobodnie poruszając kwestie bezpieczeństwa, mając świadomość, że będą wspierani przez zespół ds. bezpieczeństwa.
- Poznanie ludzi i ich pracy: lepsze zrozumienie pracy programistów może być pomocne w zrozumieniu procesów, przez które przechodzą, aby zbudować i wdrożyć oprogramowanie i aplikacje wykorzystywane w firmie. Pomoże to w zrozumieniu, gdzie w procesach IT można wprowadzić ulepszenia zwiększające bezpieczeństwo organizacji np. poprzez określenia klarownych reguł związanych z polityką przechowywania danych i dostępów do nich, czy też przekazanie pewnych zadań związanych z bezpieczeństwem innemu, dedykowanemu zespołowi. Przykładem może być tutaj często spotykana integracja platformy chmurowej z działającym w firmie rejestrem pracowników – dzięki czemu łatwiej zapanować nad uprawnieniami i dostępami pracowników. Dodatkowo firmy powinny wdrażać w ramach procesów wytwórczych aplikacji automatyczne walidacje, które weryfikują zgodność tworzonych systemów z wytycznymi działu bezpieczeństwa.
- Kontrola i monitorowanie: możliwość kontroli postawy bezpieczeństwa i zapewnienia ludziom dostępu do danych jest dobrym sposobem komunikacji i zrozumienia, gdzie znajdują się najsprawniejsze części organizacji. Dzięki zidentyfikowaniu zespołów, które radzą sobie dobrze lub budują innowacyjne rozwiązania, można rozszerzyć ich zakres działań na cały biznes. Mówienie ludziom, jakie zasady oceny ich obowiązują, promuje kulturę własności, która wzmacnia pozytywne podejście do bezpieczeństwa.
Wdrożenie kultury bezpieczeństwa może znacząco poprawić pozycję bezpieczeństwa organizacji, tworząc swojego rodzaju ramy, w których wszyscy pracownicy mogą sprawnie się poruszać, budując technologie w oparciu o podjęte decyzje. Aby jednak odnieść sukces, firmy powinny przyjąć ustrukturyzowane podejście do wprowadzenia takich ram. Kultura bezpieczeństwa opiera się na edukacji, higienie, modelowaniu zagrożeń, gdzie wszyscy pracownicy pracują razem jako wspierający się zespół. Stosując się do powyższych zasad, organizacja będzie w stanie poprawić swoją pozycję w zakresie bezpieczeństwa, plasując się ponad konkurencją i przede wszystkim zapewniając bezpieczeństwo danych.
