Человеческий рецепт безопасности Интернета вещей

Хотя о технологии Интернета вещей (IoT) много говорят Преобразующие бизнес-приложения, особенно в производстве, зловещая угроза кибербезопасности заставляет некоторых скептически относиться к такой широкой сети устройств, датчиков, программного обеспечения и средств связи. Поток новостных отчетов с подробным описанием массовых утечек данных подтверждает опасность, присущую проблемам Интернета вещей.

По оценкам, количество подключенных устройств может достигнуть 20-30 миллиардов к 2020 году по сравнению с 10 миллиардами до 15 миллиардов устройств в 2015 году. По мнению McKinsey and Co., риск обязательно будет расти. В моих беседах с ИТ-руководителями предприятий, занимающимися вопросами Интернета вещей, проблема номер один, которую они выражают, - это безопасность.

Но организации, использующие цифровые технологии, могут предпринять ценные шаги для поддержания целостности данных из источника через любую точку анализа и поддержки принятия решений. как центральные, так и локальные, чтобы повысить уверенность в безопасности активов данных. Однако удивительно, но наиболее важные шаги в решении проблемы безопасности Интернета вещей могут иметь не столько отношение к технологиям, сколько к корпоративной культуре и поведению сотрудников.

Итак, каковы одни из самых важных Интернета? о мерах безопасности, которые производитель может незамедлительно внедрить, чтобы сделать данные и сети более безопасными? Давайте посмотрим на самые важные из них.

Оцените культуру . Самый важный шаг, который требует небольших дополнительных затрат или не требует никаких дополнительных затрат, - это честная культурная оценка. Задавайте открытые вопросы, возможно, используя инструмент, обеспечивающий анонимность, о методах, которые сводят пользователей с ума и мотивируют их создавать ужасную «теневую ИТ-среду».

Например, если для ИТ-отдел для создания отчета о клиентах для отдела доставки, группа доставки может хранить свою собственную копию данных о клиентах на сайте облачного хранилища. Теперь любой член группы доставки может загрузить файл данных о клиентах на свои ноутбуки, чтобы своевременно составлять еженедельные отчеты сотрудников к собраниям сотрудников. Но учтите риск для вашей организации, если один из этих ноутбуков будет утерян или украден.

Честные показатели . Точно так же внимательно посмотрите на показатели организации и спросите, какое поведение они используют, что может быть контрпродуктивным для безопасности. Если инженеры по техническому обслуживанию дежурят и исследуют каждый сигнал тревоги, независимо от его серьезности - даже если он происходит в 2 часа ночи, - они вполне могут быть заинтересованы в установке видеокамеры с поддержкой 4G, чтобы следить за объектом из дома. Этот, казалось бы, безобидный хакер позволил бы им «все проверить», не проезжая по городу посреди ночи.

Однако эти недосыпающие инженеры могут не проинформировать ИТ-отдел об этом обходном пути. Точка доступа 4G - или сама камера - может быть установлена ​​таким образом, чтобы, к сожалению, предоставить хакерам точку входа для остальной части вашей организации. Взгляните на свою организацию целостно и помните о человеческом элементе.

Тень ИТ . Лучшее решение для теневых действий ИТ - это «период амнистии», позволяющий пользователям заявить о своей неавторизованной технологии без каких-либо негативных последствий. Затем их проблемы могут быть решены в соответствии со стратегией безопасности компании. После того, как это будет выполнено и внедрена надежная система безопасности, это также может помочь нанять «белую» хакерскую организацию, чтобы попытаться проникнуть в сетевую защиту. Этичный хакер будет думать так, как инсайдер. Слишком часто обнаруженные слабые места больше связаны с человеческим фактором, чем с самой технологией.

Постоянная кибербезопасность . В долгосрочной перспективе организации важно понимать, что кибербезопасность - это непрерывный процесс, а не разовое мероприятие. Пользователи со временем становятся самодовольными, поэтому необходимы периодические выборочные проверки, равно как и регулярные формальные проверки безопасности.

С бюджетными ограничениями или без них очень важно эффективное обучение кибербезопасности для всех в организации, равно как и формирование культуры, в которой ценится ИТ-безопасность. Хотите верьте, хотите нет, но некоторые сотрудники до сих пор не осознают опасности нажатия на ссылку, полученную по электронной почте.

Кроме того, корпоративные лидеры должны продемонстрировать своим поведением, что это нормально и что они могут задавать вопросы. вещи. Например, смоделируйте, как вежливо, но эффективно расспрашивать незнакомцев в коридоре о цели их визита и о том, с кем контактирует их сотрудник, а затем проводите их к этому сотруднику. Начинайте каждую встречу с напоминания о безопасности, чтобы держать ее в голове, как и производственные компании в течение многих лет в отношении физической безопасности.

Хотя вышеперечисленные меры безопасности справедливы для всех развертываний технологий, а не только для Интернета вещей, это еще более верно для предприятий, использующих IoT, из-за широты их охвата. Человеческие и культурные факторы могут повлиять на вашу стратегию безопасности Интернета вещей.

Марсия Элейн Уокер - главный отраслевой консультант по производству в SAS. Подпишитесь на нее LinkedIn или @MWEnergy в Твиттере. Следите за новостями SAS @SASsoftware в Twitter.