A szervezetek információbiztonságért felelős munkatársairól igyekeztek levenni a nyomást a Gatner szakértői a cég Ausztráliában rendezett biztonsági és kockázatkezelési rendezvényén. A konferencia hétfői nyitónapjának kiemelt előadópárosa, Chris Mixter alelnök és Dennis Xiu elemzési igazgató egyaránt azt hangsúlyozta, hogy irreális elvárás zéró toleranciát hirdetni a biztonsági incidenseknél.

Ráadásul ennek az erőltetett kommunikációja még ronthat is a helyzeten, hiszen csak feleslegesen nehezíti meg a IT-biztonsági munkatársak életét, miközben azoknak munkájuk egy lényegi részére, az elkerülhetetlen támadásokra való gyors és szakszerű reagálásra kellene koncentrálni.

A Gartner vezetői szerint nincs az a mértékű erőfeszítés, ami elegendő lenne az infokommunikációs incidensek teljes megelőzésére. Ennek megfelelően a cégek jobban járnak, ha szervezetük és kiberbiztonsági csapatuk hatékonyságának felkészültségét inkább abban mérik, hogy milyen minőségben képesek egy-egy problémára reagálni. Az ugyanis irreális elvárás, hogy soha ne valljanak kudarcot, miközben próbálják megállítani a soha véget nem érő támadásokat.

Ne az adrenalin hajtsa a védekezést, hanem a ráció

Az üzleti oldal hajlamos úgy elképzelni ezt a küzdelmet, hogy a kiberbiztonságiak adrenalinbombától felpörgetve küzdenek hősiesen a betolakodók ellen, és hogy ezt a hősiességet a kirúgástól vagy egy esetleges büntetőeljárástól való félelem motiválja. Ez azonban a probléma totális félreértése, hívja fel a figyelmet Dennis Xiu. Ez a felfogás a legfontosabbról vonja el a figyelmet: mennyire érett a szervezet képessége az incidensekre való reagálás terén?

A kiberbiztonsági szakembereknek és az üzleti oldalon ülőknek együtt kell kidolgozniuk egy olyan helyreállítási tervet, amelynek mentén az adott szervezet tűrőképességén belül lehet tartani egy támadás hatásait. Ennek a tűrőképességnek a felmérésével lehet priorizálni például az IT-biztonsági beruházásokat. A közös munka megteremti az alapot arra is, hogy szervezeti szinten be lehessen gyakorolni a helyreállítási forgatókönyveket. Így ha probléma van, mindenki tudja a feladatát, és az egyéni hősiességre is kevésbé lesz szükség.

Ha az üzleti oldal bevonódik a problémába, könnyebb lesz közösen kielemezni egy incidenst, és a szervezet minden szereplője jobban átlátja, hogy a biztonsági csapat milyen megfontolások alapján javasol bizonyos intézkedéseket, például érthetőbbé válik, hogy esetleg miért kell leállítani olyan rendszereket is, melyeket az incidens közvetlenül nem érint.

Ha az IT-biztonsági csapat mélyen beágyazódik a szervezetbe, és tervszerűen képes feladatait ellátni, az a benne dolgozók mentális állapotára is pozitív hatást gyakorol. Csökken a kiégés veszélye (súlyosabb incidensek akár poszttraumás stresszt is okozhatnak), kisebb lesz a fluktuáció, így egyre nagyobb domaintudással rendelkező szakemberek védhetik egyre hatékonyabban az adott céget.

A Gartner a negatív hatások megelőzésére például két incidensreagálási csapat felállítását javasolja, akik váltott műszakban dolgoznak. Amelyik csapat pedig extra terhelésnek volt kitéve, utána hosszabb pihenőidőt kell kapnia. Sokat segít az is, ha a CISO legalább alapszintű képzést kap, hogy időben felismerje a kiégés vagy a poszttraumás stressz jeleit. Persze az ideális az lenne, ha a csapatnak lenne saját pszichológusa.

Utóbbi azonban valószínűleg irreális elvárás.