Kinek szól ez a kézikönyv?
Ez a kézikönyv egy egyszerű célt szem előtt tartva íródott: hogy segítsen politikai pártoknak egy érthető és megvalósítható kiberbiztonsági tervet kidolgozni. Ahogy a világ egyre inkább az internetre költözik, a kiberbiztonság nemcsak divatszó, hanem kritikus fogalom a szervezet sikere és a csapat biztonsága szempontjából. Különösen a politikai pártok számára jelent kihívást az információbiztonság (online és azon kívül is), amely összpontosítást, befektetést és éberséget igényel.
Megjegyzés: Annak érdekében, hogy a dolgok egyszerűek és következetesek legyenek, ez a kézikönyv elsősorban a szervezet kifejezést használja az Ön pártjára, mozgalmára vagy koalíciójára más szakaszokban.
Szervezete valószínűleg kiberbiztonsági támadás célpontjává válik – ha még nem vált azzá. Ennek nem a pánikkeltés a célja; ez még olyan szervezetek számára is valóság, amelyek nem tekintik magukat konkrét célpontnak.
Egy átlagos évben a Stratégiai és Nemzetközi Tanulmányok Központja, amely folyamatban lévő listát vezet az általuk „jelentős kiber-incidensekről”, több száz súlyos számítógépes támadást katalogizál, amelyek sokszor egyszerre több tucatnyi, ha nem több száz szervezetet céloznak meg. Az ilyen bejelentett támadásokon kívül valószínűleg évente több száz kisebb támadásra is sor kerül, amelyek észrevétlenek vagy bejelentés nélkül maradnak, és sok a pártok, mozgalmak és demokratikus intézmények ellen irányul.
Az ehhez hasonló kibertámadásoknak jelentős következményei vannak. Függetlenül attól, hogy a céljuk az Ön pénzének elvétele, hangjának elnyomása, szervezeti működésének megzavarása, hírnevének csorbítása, vagy akár olyan információk ellopása, amelyek pszichológiai vagy fizikai károsodáshoz vezethetnek partnereinél vagy munkatársainál, az ilyen fenyegetéseket komolyan kell venni.
A jó dolog az, hogy nem kell kódolónak vagy technológusnak lennie ahhoz, hogy megvédje magát és szervezetét a gyakori fenyegetésekkel szemben. De fel kell készülnie arra, hogy némi erőfeszítést, energiát és időt fektessen egy erős szervezeti biztonsági terv kidolgozására és végrehajtására.
Ha még soha nem gondolt a kiberbiztonságra a szervezetében, nem volt ideje rá koncentrálni, vagy ismer néhány alapvető dolgot a témával kapcsolatban, de úgy gondolja, hogy szervezete javíthatja kiberbiztonságát, akkor ez a kézikönyv Önnek szól. Függetlenül attól, hogy honnan érkezik, ennek a kézikönyvnek az a célja, hogy megadja szervezetének azokat az alapvető információkat, amelyekre egy erős biztonsági terv kidolgozásához szüksége van. Egy olyan tervhez, amely túlmutat a papírra vetett szavakon, és lehetővé teszi a bevált gyakorlatok megvalósítását.
Mi az a biztonsági terv, és miért kell a szervezetemnek rendelkeznie vele?
A biztonsági terv olyan írott irányelvek, eljárások és utasítások összessége, amelyekben a szervezet megállapodott, hogy elérje azt a biztonsági szintet, amelyet Ön és csapata megfelelőnek tart az emberek, partnerek és információk biztonságának megőrzéséhez.
Egy jól kidolgozott és frissített szervezeti biztonsági terv biztonságban tarthatja és hatékonyabbá teheti Önt azáltal, hogy nyugalmat biztosít a szervezete fontos napi munkájára való összpontosításhoz. Átfogó terv átgondolása nélkül nagyon könnyű vaknak lenni bizonyos típusú fenyegetésekkel szemben, túlságosan egy kockázatra összpontosítva vagy figyelmen kívül hagyva a kiberbiztonságot, amíg válság nem következik be.
Amikor elkezdi a biztonsági terv kidolgozását, fel kell tennie magának néhány fontos kérdést, amelyek egy kockázatértékelésnek nevezett folyamatot alkotnak. A kérdések megválaszolása segít a szervezetnek megérteni azokat az egyedi fenyegetéseket, amelyekkel szembesül, és lehetővé teszi, hogy visszalépjen, és átfogóan átgondolja, mit kell megvédenie, és kitől kell megvédenie azt. A képzett értékelők, akiket olyan rendszerekkel támogatnak, mint az Interjúk SAFETAG auditálási keretrendszere, segíthetnek átvezetni a szervezetet egy ilyen folyamaton. Ha ilyen szintű szakmai tudáshoz jut hozzá, akkor megéri, de még ha nem is tud teljes körű felmérésen részt venni, akkor is érdemes megbeszélnie a szervezetével, hogy átgondolják ezeket a kulcsfontosságú kérdéseket:
Milyen eszközökkel rendelkezik a vállalata, és mit szeretne megvédeni?
Elkezdheti megválaszolni ezeket a kérdéseket, ha létrehoz egy katalógust szervezete összes eszközéről. Az olyan információk, mint az üzenetek, e-mailek, névjegyek, dokumentumok, naptárak és helyek, mind lehetséges eszközök. A telefonok, számítógépek és egyéb berendezések lehetnek eszközök. Az emberek és a kapcsolatok is eszközök lehetnek. Készítsen listát az eszközökről, és próbálja katalogizálni azokat a szervezet számára fontosságuk, a tárolási helyük (esetleg több digitális vagy fizikai hely) szerint, és mi akadályozza meg, hogy mások hozzáférjenek, károsítsák vagy megzavarják őket. Ne feledje, hogy nem minden egyformán fontos. Ha a szervezet egyes adatai nyilvánosak, vagy olyan információk, amelyeket egyébként is közzétesz, akkor ezek nem titkok, amelyeket meg kell védenie.
Kik az ellenfelei, mire képesek és mik a motivációik?
Az „ellenfél” a szervezeti biztonságban általánosan használt kifejezés. Egyszerűen fogalmazva, az ellenfelek azok a szereplők (egyének vagy csoportok), akik érdekeltek abban, hogy megcélozzák az Ön szervezetét, megzavarják a munkáját, és hozzáférjenek az Ön információihoz vagy megsemmisítsék őket: a rosszfiúk. A lehetséges ellenfelek közé tartoznak például a pénzügyi csalók, versenytársak, helyi vagy nemzeti hatóságok vagy kormányok, illetve ideológiai vagy politikai indíttatású hackerek. Fontos, hogy listát készítsen az ellenfeleiről, és kritikusan gondolja át, kik akarnak negatívan hatni szervezetére és munkatársaira. Bár könnyű elképzelni a külső szereplőket (például egy külföldi kormányt vagy egy adott politikai csoportot) ellenfélként, ne feledje, hogy az ellenfelek lehetnek olyan emberek, akiket Ön ismer, például elégedetlen alkalmazottak, volt alkalmazottak, nem támogató családtagok vagy partnerek. A különböző ellenfelek különböző fenyegetéseket jelentenek, és eltérő erőforrásokkal és képességekkel rendelkeznek ahhoz, hogy megzavarják a műveleteket, és hozzáférjenek az Ön adataihoz vagy megsemmisítsék azokat. Például a kormányok gyakran sok pénzzel és hatalmas befolyással rendelkeznek, beleértve az internet leállítását vagy a drága megfigyelési technológia használatát; a mobilhálózatok és az internetszolgáltatók valószínűleg hozzáférnek a hívási adataihoz és a böngészési előzményekhez; A nyilvános Wi-Fi hálózatokon képzett hackerek képesek a rosszul biztosított kommunikáció vagy pénzügyi tranzakciók lehallgatására. Akár saját maga ellenfele is lehet, ha például véletlenül töröl fontos fájlokat, vagy nem a megfelelő személynek küld privát üzenetet.
Az ellenfelek motívumai a képességeik, érdeklődési körük és stratégiáik függvényében valószínűleg különböznek. Érdekeltek a szervezet diszkreditálásában? Talán szándékukban áll elhallgattatni az ön üzenetét? Vagy talán versenytársnak tekintik az Ön vállalatát, és előnyhöz akarnak jutni? Fontos megérteni az ellenfél motivációját, mert ezzel segíthet a szervezetnek jobban felmérni az általa jelentett veszélyeket.
Milyen fenyegetésekkel néz szembe a vállalata? És mennyire valószínűek és nagy hatásúak ezek?
Ahogy azonosítja a lehetséges fenyegetéseket, valószínűleg hosszú listára bukkan, amely elsöprő lehet. Előfordulhat, hogy úgy érzi, minden erőfeszítés értelmetlen lenne, vagy nem tudja, hol kezdje. Annak érdekében, hogy szervezete képessé váljon a következő produktív lépések megtételére, hasznos az egyes fenyegetéseket két tényező alapján elemezni: a fenyegetés bekövetkezésének valószínűsége; és a hatása, ha bekövetkezik.
A fenyegetés valószínűségének mérésére (például „Alacsony, Közepes vagy Magas” annak alapján, hogy egy adott esemény nem valószínű, megtörténhet-e vagy gyakran megtörténik) felhasználhatja az ellenfelei kapacitásáról és motivációjáról ismert információkat, a múltbeli biztonsági incidensek elemzését, más hasonló szervezetek tapasztalatait, és természetesen a szervezete által bevezetett meglévő mérséklő stratégiák jelenlétét.
A fenyegetés hatásának méréséhez gondoljon arra, hogyan nézne ki a világa, ha a fenyegetés valóban megtörténne. Tegyen fel olyan kérdéseket, mint „hogyan ártott a fenyegetés nekünk, mint szervezetnek és az embereknek fizikailag és lelkileg?”, „milyen hosszan tartó a hatása?”, „teremt-e ez más káros helyzeteket?” és „hogyan hátráltat abban, hogy képesek legyünk elérni szervezeti céljainkat most és a jövőben?” Amikor válaszol ezekre a kérdésekre, gondolja át, hogy a fenyegetés alacsony, közepes vagy nagy hatású.
A kockázatértékelési folyamat kezelésének elősegítése érdekében fontolja meg az Electronic Frontier Foundation által kifejlesztett, ehhez hasonló munkalap használatát. Ne feledje, hogy a folyamat részeként kidolgozott információk (például az ellenfelek listája és az általuk jelentett fenyegetések) maguk is érzékenyek lehetnek. Ezért fontos, hogy biztonságban legyenek.
Miután a veszélyeket valószínűségük és hatásuk szerint kategorizálta, megkezdheti egy megalapozottabb cselekvési terv kidolgozását. ÉS amelyeknek jelentős negatív hatásai lesznek, ott a korlátozott erőforrásait a lehető leghatékonyabb és legeredményesebb módon fogja átirányítani. Az Ön célja mindig az, hogy a lehető legtöbb kockázatot csökkentse, de senki – sem a világ legjobb forrásaival rendelkező kormánya vagy vállalata – soha nem tudja teljesen kiküszöbölni a kockázatot. És ez így van rendjén: sokat tehet önmaga, kollégái és szervezete védelmében, ha gondoskodik a legnagyobb veszélyekről.