Използването на генеративни AI инструменти трябва да залегне в една от петте задължителни ИТ политики на всяка организация (снимка: CC0 Public Domain)
От политики за приемливо използване до насоки за дистанционна работа – определянето на правилата и процедурите за всички лица, които имат достъп до ИТ ресурсите на дадена организация, е фундаментален елемент от ИТ сигурността.
За много предприятия ИТ инфраструктурите са се разширили до такава степен, че сякаш нямат граници. Много служители работят дистанционно или чрез хибриден модел. Облачните услуги са се превърнали в норма. Изчисленията „на ръба“ и интернет на нещата продължават да се разрастват.
Всичко това може да е чудесно от гледна точка на задоволството на служителите, улеснения достъп до нужните данни, подобряването на анализите. Но тенденцията може също да увеличи рисковете за киберсигурността. Затова организациите трябва непрекъснато да преразглеждат своите ИТ политики – за да видят дали се нуждаят от актуализиране. Предприятията трябва да бъдат бдителни при определянето на нови политики, когато възникнат нови сценарии на употреба на дадена технология.
Ето някои важни ИТ политики, които всяка организация трябва да обмисли и да дефинира, за да си осигури по-сигурна технологична среда.
Политика за приемливо ползване
Това е една от основите на всяка програма за киберсигурност: осигуряване на правилното използване на ИТ активите из цялото предприятие. Политиките за приемливо ползване описват какво организациите определят като приемливо използване на своите технологии и данни. Накратко, тази политика обяснява какво се очаква от служителите, докато използват активите на компанията.
Предоставяйки на потребителите насоки за това какво могат да правят и какво – не, предприятията могат да намалят рисковете.
„Що се отнася до ИТ политиките, една от най-важните области, които трябва да се разгледат, е приемливото използване на активи и данни, включително поведението на потребителите“, казва Естер Щраус, съосновател на Step by Step Business – доставчик на онлайн ръководства за създаване на бизнес. „Тази политика е жизненоважна за поддържане на целостта и сигурността на ИТ инфраструктурата на организацията. Политиката за приемливо използване определя ясни насоки за това как служителите могат да използват ресурсите на компанията – такива като компютри, мрежи и данни“.
Тази политика е от съществено значение по няколко причини, казва Щраус. Първо, тя помага за предотвратяване на злоупотреба с ресурси, което може да доведе до пробойни на сигурността. „Например, служителите могат неволно да изтеглят злонамерен софтуер, като посещават неоторизирани уебсайтове или използват лични устройства, които не са защитени“, казва Щраус.
От друга страна, ефективната политика за използване помага за защитата на чувствителните данни. „Тя предоставя насоки за това как данните трябва да се обработват, съхраняват и предават“, казва Щраус. „Това е от решаващо значение за съответствието с разпоредбите за защита на данните“.
Политика за използване на AI
Изкуственият интелект продължава да става все по-популярен и по-значим за много организации, но технологията не е без рискове. Потребителите се нуждаят от насоки как правилно да използват AI инструменти и данни.
„Бизнесът трябва да започне да определя ясни приемливи политики за използване на AI“, казва Ари Харисън, ИТ директор в BAMKO – доставчик на промоционални продукти. „Ако има съществуващи политики за превенция на изтичането на данни, те трябва да бъдат актуализирани, за да включват специфики за големите езикови модели (LLM) на AI. Например, политиките трябва изрично да посочват, че да се дават промптове, съдържащи фирмена информация, на инструменти като ChatGPT е строго забранено“, казва той.
Изключително важно е не само да има приемливи политики за използване на AI, но и да се прилагат чрез дефинирани защити, казва Харисън. „Microsoft Defender вече може да проследява, предупреждава и блокира използването на LLM, като гарантира спазването на тези политики“, казва той. „Внедряването на подобни мерки помага за предпазване от неоторизирано използване на данни и потенциални пробиви на сигурността“.
Все повече компании интегрират LLM, като същевременно гарантират, че тези модели не са обучени върху техни собствени данни, казва Харисън. „Този подход помага за избягване на рискове и поддържане на контрол върху използването на AI в организацията“, казва той.
Използването на наскоро публикуваната рамка за сертифициране на AI по ISO 42001 може значително да подобри подхода на организацията към управлението на изкуствения разум, казва Харисън. ISO 42001 е специално разработен за AI. „Рамката представя структуриран модел за управление на рисковете, свързани с употребата на изкуствен разум, и осигурява защитим подход към използването му“, допъва той.
Политика за управление на данни, класификация на данните
Защитата на данните, особено високочувствителните, е жизненоважна част от всяка стратегия за ИТ политиките.
Компаниите трябва да имат политика за защита на данните и поверителността. Това е нужно, за да гарантират опазването на личната информация и спазването на законите за тази цел, казва Кейн Макгладри, CISO в доставчика на софтуер за управление на риска Hyperproof и старши член на IEEE.
Подобна политика трябва да включва:
- насоки за събиране, обработка и съхранение на данни;
- механизми за прилагане на политиките;
- контроли за сигурност за съхранението и предаването на данни;
- процедури за реагиране при пробиви в данните.
Предприятията се нуждаят и от политика за съхранението и унищожаването на данни. Това трябва да включва графици за съхранението на данни въз основа на класификацията на данните; процедури за сигурно унищожаване на данни, които вече не са необходими за законните бизнес-цели; спазване на законовите и регулаторни изисквания за съхранението на данни; документация и одитни документи от дейностите по унищожаването на данни.
Политика за реагиране при инциденти
Екипите по сигурност трябва да са готови да реагират бързо, когато възникне какъвто и да е вид пробив или атака. Времето за реакция може да се окаже разликата между осуетяването на атака, преди тя да нанесе щети, и значителното въздействие на инцидента.
Политиката за реагиране при инциденти очертава подхода за управление и реагиране на инциденти в киберсигурността, казва Макгладри.
Това трябва да включва:
- определение за това какво представлява инцидент;
- роли и отговорности на екипа за реагиране при инциденти;
- стъпки за откриване, анализ, ограничаване, премахване и възстановяване от инциденти;
- задължителни времеви прозорци за докладване;
- информация за контакт с докладващите органи;
- процеси за преглед и подобрение след инцидент.
Реагирането при инциденти може да бъде част от обща политика за информационна сигурност, която установява рамка за управление и защита на информационните активи на компанията, казва Макгладри. Това трябва да включва цели и обхват на информационната сигурност, роли и отговорности, свързани с информационната сигурност, общи принципи и практики за сигурност.
Политика за хибриден и отдалечен достъп
Дистанционната и хибридната форма на работа изглеждат като практика, която ще остане. Сред по-често срещаните рискове са неспазването на разпоредбите за опазване поверителността на данните, повишената податливост към фишинг и други атаки, както и неправилно защитените устройства и мрежи, които се използват за достъп до корпоративни системи и данни.
„Днешните организации трябва да балансират мрежовата сигурност и достъпността,“ казва Леон Луис, CIO в университета Шоу. „Поради увеличаването на регулациите във финансовите услуги, здравеопазването и други сектори, както и появата на закони за поверителност и защита на данните по целия свят, тази задача е трудна“.
Следвайки строги протоколи за сигурност, фирмите могат да защитят своята инфраструктура и да насърчат иновациите в условията на дистанционна и хибридна работа. Това обаче не бива да става на цената на затруднения за работещите хора. Достъпността и защитата на данните трябва да бъдат балансирани, напомня Луис.