🕎 👨🏼‍✈️ 🧗🏾 تعزيز ثقافة أمن المعلومات في شركات التكنولوجيا المالية 🤘🏽 👩🏼‍💻 ㊗️

تتطلب الشركات الحديثة نهجًا خاصًا لأمن المعلومات. يتوقف قسم أمن المعلومات عن كونه مشرفًا ومراقبًا فقط ، ويبدأ في التحدث بنشاط مع الأشخاص ، ويصبح مشاركًا كاملًا في العمليات التجارية.

تمتلك شركة Exness fintech أكثر من 70،000 عميل نشط شهريًا حول العالم ، ويتم تشغيل الشركة بالكامل عبر الإنترنت. البيانات هي أصلنا ومحركنا الرئيسي ، وبالتالي فإن حماية المعلومات هي الأولوية رقم 1.

توظف Exness أكثر من 500 شخص. يعمل حوالي 150 موظفًا في مجال البحث والتطوير وتكنولوجيا المعلومات ، والعديد من موظفي الدعم الفني ومديري المبيعات وخدمات مكافحة الاحتيال والامتثال. بطريقة أو بأخرى ، يعملون مع بيانات حساسة أو لديهم حق الوصول إلى وظائف مهمة ، معلومات داخلية ، رمز ، وحدات تحكم المشرف. يمكن أن يكلف خطأ غير مقصود أو نقص في الوعي للموظفين الأعمال الملايين. لست مضطرًا للذهاب بعيدًا للحصول على أمثلة: الأخبار مليئة بالرسائل المتعلقة بالتسريبات من نظام التخزين المرن غير المرن أو خادم التخزين MongoDB أو مجموعة S3 ، والتي غالبًا ما تنتج عن عامل بشري.

الإنسان هو الحلقة الأضعف في أمن المعلومات ، لذا وضعنا لأنفسنا مهمة تحسين ثقافة أمن المعلومات بين الموظفين. نشارك تجربتنا في ما فعلناه لهذا وكيف قمنا بتقييم النتائج.

قسمنا المهمة إلى اتجاهين:

تحسين فهم قضايا السلامة بين الفرق الفنية.
تحسين فهم القضايا الأمنية بين جميع الموظفين ، بما في ذلك غير المتخصصين في تكنولوجيا المعلومات.

سوف نسمي هذه المجالات بشروط "تنظيمية" و "فنية". العمل في الاتجاه الأول هو نقل القضايا الشائعة للنظافة الرقمية والتهديدات الحديثة والإجراءات المضادة والعواقب المحتملة على الأعمال.

الاتجاه الثاني أكثر تخصصًا في الطبيعة. يجب على المتخصصين الفنيين الامتثال لقواعد أمن المعلومات أثناء عملهم ، بينما يجب أن يعرفوا ليس فقط لماذا يجب القيام بذلك ، ولكن ماذا بالضبط وكيف.

الغرض - الوعي الأمني

الوعي الأمني هو مفهوم أساسي لأمن المعلومات في الشركة. يلتزم الموظفون بقواعد أمن المعلومات إذا كانوا يعرفونها ويفهمونها ويشاركونها.

إن نقل القواعد إلى الموظفين مهمة واضحة. التحفيز على اتباع القواعد أصعب بالفعل. نحن نعلم أن استخدام أحزمة الأمان في السيارة أو غسل اليدين بالصابون والماء يقلل بشكل كبير من احتمال حدوث عواقب سيئة ويفعل ذلك تلقائيًا ، دون معاناة أخلاقية. كيف تعتاد على "غسل اليدين" قبل التعامل مع البيانات؟

يبدأ الوعي الأمني بإدراك أن المخاطر يمكن تحقيقها. أنت ، نظامك يمكن أن يكون بالفعل هدف الهجوم. من خلال فهم العادات ، تصبح النظافة الرقمية جزءًا من بيئة العمل والثقافة الداخلية. بمعنى آخر ، يتبع الموظفون قواعد أمن المعلومات إذا فهموا سبب ضرورة ذلك ومدى ارتفاع المخاطر. لا توجد مقاومة داخلية في هذه الحالة.

شريف أم خطيب؟

تولي الشركات الحديثة اهتماما كبيرا لراحة الموظفين وحالتهم النفسية. وهذا يعني أنه من الصعب تطبيق الإجراءات القمعية حتى في مجال أمن المعلومات: يجب الحفاظ على التوازن بين حرية العمل والقواعد. نحن نعتقد أن فهم التهديدات والشعور بالمسؤولية عن الأعمال التجارية يعمل بشكل أفضل من الخوف من العقاب. والمفتاح إلى التنفيذ الفعال لأمن المعلومات هو التواصل مع الموظفين وفهم مشاكل كل منتج وكل فريق.

من النظرية إلى العمل!

لذا ، كيف يقدم فريقنا ثقافة أمن المعلومات على المستويين التنظيمي والتقني؟

تدريب الموظفين ومشاركتهم

بالنسبة للموظفين الجدد ، سنقدم عرضًا تقديميًا حول كيفية تنظيم العمليات الأمنية في شركتنا ، وكيفية حماية أنفسنا من أبسط المخاطر المنزلية ، مثل التصيد الاحتيالي ، وتسرب كلمة المرور ، وإصابة البرامج الضارة.

لجميع الموظفين ، نعقد ورش عمل (OSINT ، حماية العلامة التجارية ، حقن sql العمياء ، آلات المختبرات pentest ، تقنيات القرصنة الخاصة بالسحابة) وتقديم العروض التقديمية في الأحداث الداخلية. التدريب الداخلي المنتظم والمظاهرات الحية مهمة للغاية. تعمل أمثلة استغلال الثغرات النمطية بشكل أفضل من المحاضرات الطويلة. شرح على أصابع ما هو التشفير غير المتماثل ، ولماذا هناك حاجة إلى رمز مميز وأسهل طريقة لاستخدام Vault هو توفير الكثير من الوقت للفرق الفنية.

مدونة مصغرة لأمن الشبكات الاجتماعية للشركات

نحاول الحفاظ على تدفق مستمر من المشاركات من فريق البكالوريا الدولية. يجب أن يرى زملاؤنا أننا نواظب باستمرار ، ونقدم المشورة ، ونعلن عن الابتكارات ، ونحاول الاهتمام وجذب كل موظف.

ميتابس منتظمة ، تبادل الخبرات

على سطح مكتبنا في ليماسول ، بالإضافة إلى المناظر الجميلة ، هناك كل الاحتمالات لعقد اجتماعات لأكثر من 100 شخص ، والتي نستخدمها بانتظام. مرتين أو ثلاث مرات في السنة ، نجمع المتخصصين ونناقش أمن التطبيقات ، وإدارة المخاطر ، وممارسات تطوير الأجهزة وغيرها من القضايا. يحضر الأحداث موظفو الشركة وممثلو مجتمع تكنولوجيا المعلومات المحلي ، وهنا مهمتنا الرئيسية من حيث تشكيل الثقافة الداخلية هي إظهار أن قضايا أمن المعلومات مثيرة للاهتمام ومهمة.

التصيد الداخلي

لا يعتقد العديد من الموظفين أن فتح رابط أو مستند يمكن أن يكون ضارًا أو غير يقظ بما فيه الكفاية. من خلال تنفيذ حملات التصيد الداخلي ، نحصل على إحصائيات حول المنظمة ، التي يرتكبها الناس في أغلب الأحيان ، ونحسن باستمرار برنامج التدريب الداخلي من حيث الحماية ضد الهندسة الاجتماعية والتصيد. نحصل أيضًا على تأكيد بأن التصيد الاحتيالي يعمل.

سلامة الغذاء

لتعزيز ثقافة التنمية الآمنة وفهم أفضل لقضايا الأمان من قبل المطورين ، قمنا بتنفيذ الممارسات التالية.

نتواصل باستمرار مع فرق المنتج

نذهب إلى مراجعات العدو ، اللجان المعمارية ، نناقش بشكل دوري المشاكل والمشاكل الحالية مع الفرق الفنية. لذا ننخرط في كل مشروع ونفهم بشكل أفضل الجو والعلاقات في الفرق. يمكننا تقديم توصيات على الفور (ماذا ولماذا وكيف نحمي) وإصلاح المهام في الأعمال المتأخرة.

نقوم بتطوير برنامج مكافآت الأخطاء الخارجية على منصة HackerOne

لأكثر من ثلاث سنوات ، استخدمنا خبرة خارجية للبحث عن نقاط الضعف في بنيتنا التحتية باستخدام منصة HackerOne. في عام واحد ، ننفق أكثر من 50 ألف دولار على مدفوعات المكافآت ، وهو مبلغ كبير مقارنة بالخسائر المحتملة. إذا لم يكن لديك برنامج باغتي باون ، نوصيك ببدء تشغيله. للحصول على القليل من المال نسبيًا ، تحصل على مكانة لا نهائية تقريبًا.

نستخدم أيضًا تقارير حول نقاط الضعف والعواقب المحتملة التي اكتشفها "شخص ما من الإنترنت". تساعد هذه المعلومات الأعمال على اتخاذ قرار بشأن زيادة الأولوية وتعزيز متطلبات أمن المعلومات في المنتجات الجديدة ، وإدخال فحوصات إضافية على مستوى ضمان الجودة والضوابط الآلية.

نحن نبحث عن (ونجد!) حملات أمنية في أوامر التحكم في أمان المنتج المحلي

في الحقائق الحديثة ، عند استخدام نماذج Scrum / Agile ، من المهم في كل فريق أن يكون هناك شخص واحد على الأقل يمكنه العمل كدليل لتوصياتك و "ابتهج" بشأن سلامة المنتج. من الناحية المثالية ، تحتاج إلى خبرة أمنية كاملة في كل فريق ، ولكن لا توجد دائمًا موارد كافية. بعد مرور بعض الوقت ، يمكن أن ينمو Devsecops أو متخصص أمان التطبيقات من Security Champion ، لذا فهذه فرصة جيدة لتغيير التركيز لمهندس المنتج أو المطور. في حالتنا ، تمكنا من العثور على كل من المطورين والمطورين الذين حسنوا بشكل كبير فهمهم لمشاكل الأمان داخل الفرق.

كيف نضع مهام أمن المعلومات لفرق المنتج

لتنظيم العمل ، نستخدم منهجية OWASP ASVS بالاشتراك مع مخاطر الأعمال الموصوفة. لكل فريق ، نقدم قائمة من الضوابط - متطلبات سلامة المنتج. يبدو وكأنه مجموعة من التوصيات التي يتوافق فيها كل تدبير للحماية مع المخاطر الخاصة به. يوضح المستند بوضوح ما تم إنجازه بالفعل ، وما هو مخطط له ، وما هي المخاطر التي تقبلها الشركة في هذه المرحلة من دورة حياة المنتج.

وبالتالي ، ترى الفرق الفنية ما يجب القيام به ، وتظهر المخاطر ذات الصلة الأعمال لماذا يجب القيام به ، وما هي العواقب المحتملة التي قد تحدث إذا لم يتم الوفاء بها.

إذا لم يتم القيام بشيء ما ، فإننا نعتقد أن المخاطر المقابلة مقبولة ، ولكل منتج نضع دين ضمان فني.

مثال على الضوابط والمخاطر ذات الصلة:

ما هي النتيجة؟

لقياس تأثير جميع الأنشطة ، نستخدم مؤشرات تعكس في رأينا ديناميكيات اختراق ثقافة السلامة في جميع مراحل حياة المنتج.

في الاتجاه الفني لجهودنا ، نستخدم مؤشرين رئيسيين.

1. مؤشر سلامة المنتج

هذا مؤشر متكامل من جزئين. الجزء الأول هو مقياس متخلف ، يتحدث عن المستوى الحالي لضعف المنتج. والثاني تنبئي ، ويتحدث عن نقاط الضعف المحتملة في المستقبل. من خلال إجراء قياسات منتظمة ، يمكننا لفت انتباه الفرق في الوقت المناسب إلى مشاكل منتج معين والمساعدة في حلها.

OWASP WRT — . , .
-, .
OWASP ASVS 3.0. , .
- , . , , .

2. نتيجة pentest منتظمة تقوم بها شركات خارجية مؤهلة

بناءً على نتائج اختبارات الاختراق الخارجية ، نقوم بتصحيح الثغرات الموجودة واستخلاص النتائج لتجنب تكرار حالات مماثلة.
حتى النتائج الجيدة لا تسمح لنا بالاسترخاء ، تظهر التهديدات الجديدة وناقلات الهجوم كل يوم ، ويصبح المهاجمون أكثر إبداعًا.

في الاتجاه التنظيمي ، تكون النتائج أكثر ذاتية:

نتلقى المزيد من الرسائل من الموظفين حول نقاط الضعف والحوادث المحتملة أكثر من ذي قبل. يفهم الموظفون أهمية التواصل في الوقت المناسب.
تأتي فرق المنتج في المراحل الأولى من المشروع ، وهناك فهم بأن منع المشكلة أسهل بكثير من حلها.
, . , API, , .
GDPR — , , , .

?

( , , , );
;
KPI ;
, ;
استخدم مستوى عالٍ ومثبتًا من سلامة المنتج للحصول على ميزة تنافسية.

لقد حرصنا على تحقيق مستوى جيد من الأمن ليس فقط من خلال معاقبة الفريق وإجباره وترهيبه من خلال السياسيين واتحاد الديمقراطيين الوطنيين ، ولكن أيضًا باستخدام نهج مختلف - شرح المخاطر ، وإشراك الأشخاص في عملية إنشاء القواعد واتباعها ، ودراسة الأخطاء السابقة ومراعاتها.

تعزيز ثقافة أمن المعلومات في شركات التكنولوجيا المالية