Lecție de securitate cibernetică de la Harvard: Antrenează-ți angajații sa gândească ca un hacker

Companiile care doresc să-și ajute angajații să devină administratori mai buni ai securității cibernetice trebuie să depășească pregătirea obișnuită. Cea mai bună modalitate de a instrui angajații în lupta împotriva hackerilor este să-i înveți cum să gândească ca unul, scrie Marten Mickos, CEO al HackerOne, într-un articol publicat de Harvard Business Review.

Primul pas este sa știi ceea ce înseamnă cu adevărat sa fii un "hacker".

Mass-media are un istoric de senzaționalizare a termenului, folosindu-l pentru a denunța infractorii cibernetici. În multe privințe, hackerii sunt cetățeni model ai erei digitale. Sunt creativi, persistenți și inventivi. Ei gândesc în termeni digitali și au curiozitatea să-și dea seama cum funcționează tehnologia.

Hackerii au o neîncredere sănătoasă în sistemele informatice și înțeleg că niciun software nu este imun la bug-uri (și chiar fără bug-uri, software-ul va avea în continuare vulnerabilități de securitate). Pentru ei, este de la sine înțeles că un software va face întotdeauna mai mult decât a fost produs să facă, și astfel sunt în permanență în căutarea de vulnerabilități.

Pentru cei care s-au nascut înainte de digitizarea societății (probabil cea mai mare parte a forței de muncă), aceste concepte pot suna străine, dar pentru hackeri, este pur și simplu modul în care funcționează lumea.

De aceea este important ca firmele să înceapă să cultive mentalitatea hackerilor în cadrul afacerilor lor. Nu numai că poate schimba modul în care angajații văd și apreciază securitatea cibernetică, ceea ce conduce la o mai bună securitate în întreaga afacere, dar poate ajuta oamenii să devină mai curioși și mai creativi - două dintre cele mai valoroase abilități într-un viitor plin de inteligență artificială.

Hackathon-uri și competiții

Încurajați angajații să participe la hackathon-uri chiar dacă numai în calitate de observatori. Aceste evenimente oferă oamenilor șansa de a face un pas înapoi de la munca lor de zi cu zi pentru o clipă și de a gândi creativ pentru a rezolva o anumită problemă, ceea ce înseamnă "hacking".

Ideea este ca oamenii să-și schimbe viziunea și să găsească soluții în moduri noi și îi face pe toți mai atenți și mai curioși în privința lumii din jurul lor.

Pentru mai multă educație virtuală, organizați competiții la nivel de companie și jocuri care îi încurajează pe angajați să afle cum funcționează criminalitatea informatică. Puteți să faceți chiar și un pas mai departe cu o simulare a unui incident cibernetic fictiv. Implicarea angajaților într-un scenariu de încălcare a securității informatice îi poate ajuta să se raporteze mai bine la riscul organizațional și să inspire un nou nivel de atenție atunci când vine vorba de securitatea informatică.

Schimbul de informații

Când se întâmplă ceva important în industria în care activează afacerea pe care o conduci, încurajați echipele să împărtășească rezultatele și analizele. 

Aceste lucuri vă vor ajută să construiți o comunitate și să creați un scop comun — o apărare puternică atunci când vine vorba de securitatea informatică. Aceasta ajută la crearea unei forțe de muncă mai vigilente, care este mai probabil să detecteze și să răspundă la amenințări.

Acest lucru este deosebit de important pentru echipele de securitate. Atunci când există un incident, aceștia ar trebui să dezbată ceea ce sa întâmplat și modul în care au răspuns amenințării. Dacă vulnerabilitățile sunt găsite și reparate, ar trebui să colaboreze cu arhitecții de software, designeri și ingineri pentru a-i ajuta să evite să facă greșeli similare în viitor. Atunci când industriile sunt lovite de atacuri cibernetice majore (cum ar fi WannaCry) sau vulnerabilități (cum ar fi Heartbleed), echipa de securitate ar trebui să ofere în mod activ actualizări și informații cu întreaga firmă.

Colaborarea echipelor

Angajații ar trebui să lucreze în departamente și echipe. Acest lucru ajută la deschiderea liniilor de comunicare mai bune în întreaga afacere și ajută echipele să rezolve tot felul de provocări cu o perspectivă nouă.

Chiar dacă echipa de securitate este foarte bună, realitatea este că toți oamenii au vulnerabilități. Când aceiași oameni se uită la același cod sau tabloul de bord în fiecare zi, este doar o chestiune de timp înainte ca ceva important să fie trecut cu vederea. De aceea, cele mai multe firme care se confruntă cu securitate caută ajutor în afara lor - adică invita experți de securitate externi pentru a ajuta la identificarea vulnerabilităților.

De asemenea, echipele trebuie să colaboreze îndeaproape, mai ales pe măsură ce se dezvoltă noi produse și caracteristici. În timp ce unele vulnerabilități sunt cauzate de deficiențe în cod, altele sunt rezultatul unei funcționalități ascunse, care există datorită echipei de design. Aducerea timpurie a echipei de securitate în acest proces poate ajuta la descoperirea și rezolvarea acestor probleme înainte de a deveni vulnerabilități reale.

Citește articolul original pe Harvard Business Review.