Bảo mật 2022: Vấn đề của sự đồng cảm và cộng tác nhóm

Tháng Một 13, 2022
Nga Pham

Nếu bạn muốn thúc đẩy sự thay đổi, bạn cần biết cách thúc đẩy mọi người.

Tóm tắt:

  1. Bảo mật không chỉ là một vấn đề kỹ thuật, đó là vấn đề về tổ chức và con người.
  2. Để tạo ra các hệ thống linh hoạt, các nhà phát triển và nhóm bảo mật cần phải hiện thực hóa các mục tiêu chung của họ.
  3. Cá nhân hóa đào tạo để các giám đốc điều hành và các thành viên trong nhóm hiểu được rủi ro bảo mật ảnh hưởng như thế nào đến các bộ phận của họ trong doanh nghiệp.
  4. Tất cả các nhóm bảo mật nên ưu tiên giải quyết nợ kỹ thuật và giảm độ phức tạp vào năm 2022.

David Balaban, một nhà nghiên cứu an ninh mạng và nhà báo đã chia sẻ bài báo dưới đây cho Forbes.

Yếu tố con người thường được coi là một mắt xích yếu trong mọi tình thế bảo mật của tổ chức và điều đó phản ánh một quan niệm sai lầm. Các cuộc tấn công lừa đảo lợi dụng cognitive payloads (“khối lượng nhận thức”) khiến những nhân viên không cảnh giác bị đánh lừa. Những sai lầm của nhà phát triển do áp lực về thời gian hoặc mệt mỏi để lại kẽ hở trong mã nguồn có thể dễ dàng lọt vào tay những kẻ tấn công.

Đây không phải là một danh sách đầy đủ, nhưng không khó để thu hẹp khoảng cách giữa các điểm yếu và điểm mạnh. Trong bối cảnh tổ chức, tất cả những gì cần làm là một phong cách thực hiện bảo mật lấy con người làm trung tâm, trong đó sự đồng cảm và tinh thần đồng đội không xích mích đóng một vai trò cực kỳ quan trọng.

Mặc dù cách tiếp cận này là một sự thay đổi mô hình đối với nhiều tổ chức, nhưng nó đang thu hút ngày càng nhiều người hâm mộ trong hệ sinh thái CNTT. Adrian Ludwig, Giám đốc Tín thác tại Atlassian đã ủng hộ nó trong suốt sự nghiệp bảo vệ an ninh tươi sáng của mình. Ông tin rằng đó sẽ là chìa khóa để xây dựng khả năng phục hồi vào năm 2022, trong khi việc chỉ áp dụng biện pháp bảo vệ vào các biện pháp kiểm soát kỹ thuật là một sai lầm.

“Chúng ta sẽ bắt đầu nhận ra rằng bảo mật không chỉ là một vấn đề kỹ thuật, đó là một vấn đề về tổ chức và con người. Là một ngành công nghiệp, chúng ta đã nhận thấy rằng việc bắt buộc các giao thức bảo mật và tăng cường đào tạo là chưa đủ. Thay vào đó, các nhóm bảo mật sẽ cần thể hiện nhiều sự đồng cảm với nhau để hiểu rõ hơn về các mối quan tâm hàng đầu của các nhà phát triển và các yếu tố thúc đẩy.” – Adrian chia sẻ.

Bảo mật là trách nhiệm chung

Mối quan hệ giữa bộ phận bảo mật và kỹ thuật phần mềm ở nhiều công ty là một vấn đề khá căng thẳng. Đó là bởi vì các mục tiêu và động lực khuyến khích của họ không trùng lặp, hơn nữa, lợi ích của một nhóm có thể mâu thuẫn với lợi ích của nhóm khác. Các nhà phát triển ưu tiên tạo ra các hệ thống đúng lịch trình và sẽ nhăn mày khi nhu cầu tuân thủ các giao thức bảo mật ngăn chúng đạt đến các mốc quan trọng. Đến lượt mình, các nhân viên bảo mật lại tập trung vào việc giảm thiểu các sự cố và thường bị choáng ngợp với công việc giải quyết các lỗ hổng mà các nhà phát triển phần mềm bỏ sót.

Cuộc đối đầu tự nhiên này là một hoạt động kinh doanh đầy rủi ro vì nó buộc bất kỳ tổ chức nào cũng phải ưu tiên những lợi ích thấp. Để tránh đi quá giới hạn không thể quay lại, chúng ta cần xây dựng một môi trường làm việc với sự đồng cảm và khả năng tương tác liền mạch ngay từ cốt lõi. Bảo mật phải shift left đủ xa trong quá trình phát triển để đảm bảo rằng mã nguồn kết quả vừa đáng tin cậy, vừa có thể phòng chống giả mạo.

Sự đảm bảo chắc chắn rằng các đội an ninh và kỹ thuật “trên cùng một thuyền” là một nửa trận chiến. Hãy đặt ra các mục tiêu chung cho họ, tạo ra các khuyến khích liên quan, loại bỏ các rào cản cộng tác và đưa tính năng quét bảo mật đến gần hơn với các kỹ sư phần mềm. Về vấn đề này, Giám đốc Tín thác của Atlassian nói: “Các tổ chức bảo mật cần hiểu các hành vi và động cơ của nhà phát triển để đạt được các hệ thống có khả năng phục hồi.”

Tai họa của nợ kỹ thuật

Một trong những cạm bẫy lớn của việc không loại bỏ được xích mích giữa nhân viên bảo mật và nhà phát triển là khối nợ kỹ thuật sẽ tiếp tục gia tăng và cuối cùng có thể “phá vỡ” khả năng phục hồi tổ chức của bạn. Đối với những người mới bắt đầu, thuật ngữ này biểu thị việc tối đa hóa tốc độ phân phối mã nguồn trong khi tạm thời hy sinh chất lượng, độ tin cậy và bảo mật. Trì hoãn việc trả nợ kỹ thuật vô thời hạn sẽ chỉ là một con dốc trơn trượt.

Những công ty không trả nợ kỹ thuật sẽ chỉ tích lũy thêm nợ bảo mật.

– Adrian Ludwig

Adrian coi sự không nhất quán này là một trong những thách thức bảo mật hàng đầu của công ty: “Xử lý nợ kỹ thuật sẽ tiếp tục là trọng tâm bảo mật quan trọng đối với chúng tôi vào năm 2022. Độ phức tạp của việc phát triển phần mềm có thể tâng lên theo cấp số nhân và chúng ta sẽ không thể theo kịp với tư cách một ngành công nghiệp. Những công ty không trả nợ kỹ thuật sẽ chỉ tích lũy thêm nợ bảo mật.”

Để tránh khỏi một kịch bản trong đó nợ kỹ thuật vượt quá tỷ lệ, các tổ chức cần phải đại tu các hoạt động bảo mật và mã hóa của họ theo hướng tiêu chuẩn hóa và tự động hóa cao hơn. “Các nhóm bảo mật nên tự động hóa các tác vụ thủ công và lặp đi lặp lại, càng nhiều càng tốt. Các chiến thuật đe dọa ngày càng phức tạp, vì vậy mỗi bước thủ công được loại bỏ sẽ giải phóng không gian cho nhân viên của bạn để họ tập trung giải quyết những thách thức phức tạp.” – Adrian nói.

Sự phức tạp là chất xúc tác cho hầu hết các vấn đề bảo mật

Thật dễ dàng để luôn cập nhật các quy trình bảo mật và xây dựng sự đồng thuận về các biện pháp đối phó với tấn công mạng trong một tổ chức có môi trường kỹ thuật số thống nhất và hiện đại. Trong một cơ sở hạ tầng không đồng nhất với nhiều thành phần được giám sát chặt chẽ, điều này nói dễ hơn làm vì bạn có thể cập nhật những gì đang chạy trên các thiết bị đầu cuối và máy chủ của mình. Nợ kỹ thuật và mức độ tương tác thấp giữa các đội có thể tạo ra một chìa khóa bổ sung trong công việc bằng cách làm cho mọi thứ trở nên phức tạp hơn.

Trong một hội thảo gần đây về tương lai của bảo mật và khả năng phục hồi, Adrian đã đưa ra một quan điểm hay về chủ đề này: “90% các vấn đề bảo mật chỉ là các vấn đề phức tạp. Đó là sự phức tạp về kỹ thuật, sự phức tạp của mạng và sự phức tạp về tổ chức. Đó là một sự trì trệ được tạo ra do sự phức tạp đó và không một ai biết họ có thể thay đổi điều gì để không làm sụp đổ tổng thể.”

Giảm thiểu độ phức tạp cũng là một động thái chiến lược giúp các tổ chức tận dụng máy học và trí tuệ nhân tạo để xác định các điểm bất thường có thể là dấu hiệu của một hoạt động độc hại. Các công nghệ này hoạt động tốt nhất trong các môi trường nhất quán được hỗ trợ bởi phương pháp quản lý tài sản kỹ thuật số tập trung và các nhật ký sự kiện được điều chỉnh tốt.

Đào tạo là quan trọng, nhưng có một lưu ý

Các chương trình đào tạo về bảo mật được thực hiện chỉ để cho đủ checklist sẽ có cơ hội rất nhỏ để tạo ra sự khác biệt và tiếp cận được tâm trí nhân viên của bạn. Thay vào đó, chương trình đào tạo được cá nhân hóa có tiềm năng lớn hơn trong việc trau dồi kiến thức và kỹ năng bảo mật phù hợp với vai trò của nhân viên trong tổ chức và những mô hình mối đe dọa liên quan.

Ví dụ, nhân viên có cấp bậc thấp và hồ sơ ít quan trọng hơn sẽ ít bị tấn công bởi các cuộc tấn công xâm nhập email doanh nghiệp (Business email comprromise – BEC) so với các giám đốc điều hành cấp cao. Vậy nên khi một giám đốc điều hành hoặc thành viên trong nhóm nhận thấy các rủi ro bảo mật có thể ảnh hưởng đến các lĩnh vực kinh doanh cụ thể của họ, việc đó sẽ thúc đẩy động lực mạnh mẽ để họ tham gia các khóa đào tạo về bảo mật một cách nghiêm túc.

Diễn giải mọi thứ một cách tích cực vì khả năng phục hồi cao

Động lực của nhân viên là một khối xây dựng quan trọng của một lãnh thổ doanh nghiệp an toàn. “Tôi nghĩ thực tế chính là, lý do khiến hầu hết các tổ chức bảo mật không thành công là họ không thể hiểu cách thúc đẩy những người mà họ cần thúc đẩy thay đổi,” Adrian chia sẻ khi tham gia hội thảo nói trên.

Ông cũng nhấn mạnh rằng điều kiện tiên quyết để có được động lực phù hợp là hình thành các yêu cầu theo cách vừa hấp dẫn, vừa có lợi cho nhóm của bạn. “Làm thế nào để chúng ta diễn giải mọi thứ một cách tích cực? Thay vì nói về việc bỏ lỡ thời hạn, làm thế nào để chúng ta nhấn mạnh rằng bạn đang đạt đến thời hạn? Bởi vì mọi người thường phản hồi tích cực hơn với những phản hồi tích cực.”

Điều này, một lần nữa, dẫn đến sự đồng cảm và quan hệ đối tác chặt chẽ. Hãy cố gắng biến chúng thành trụ cột trong triết lý bảo mật của tổ chức bạn vào năm 2022, nếu bạn chưa làm như vậy!

Theo Atlassian Blog