🚴🏾 🚾 🏇 Renforcer la culture de la sécurité de l'information dans les sociétés fintech 🚻 👩🏼‍🎤 🧔

Les entreprises modernes exigent une approche spéciale de la sécurité de l'information. Le département de la sécurité de l'information cesse d'être uniquement un superviseur et un contrôleur, commence à parler activement avec les gens et devient un participant à part entière dans les processus métier.

La société fintech d'Exness compte plus de 70 000 clients actifs mensuels dans le monde, et toute l'entreprise est en ligne. Les données sont notre principal atout et moteur, la protection des informations est donc la priorité n ° 1.

Exness emploie plus de 500 personnes. Environ 150 sont employés dans la R&D et l'informatique, de nombreux membres du personnel de support technique, des directeurs des ventes, des services antifraude et de conformité. D'une manière ou d'une autre, ils travaillent avec des données sensibles ou ont accès à des fonctionnalités importantes, des informations internes, du code, des consoles d'administration. Une erreur involontaire ou une méconnaissance du personnel peut coûter des millions à l'entreprise. Vous n'avez pas besoin d'aller loin pour obtenir des exemples: les actualités regorgent de messages sur les fuites d'un serveur de stockage Elastic, MongoDB ou S3 non sécurisé, souvent causées par un facteur humain.

L'homme est le maillon le plus faible de la sécurité de l'information, nous nous sommes donc donné pour mission d'améliorer la culture de la sécurité de l'information chez les employés. Nous partageons notre expérience de ce que nous avons fait pour cela et comment nous avons évalué les résultats.

Nous avons divisé la tâche en deux directions:

Améliorer la compréhension des problèmes de sécurité parmi les équipes techniques.
Améliorez la compréhension des problèmes de sécurité parmi tous les employés, y compris les professionnels non informatiques.

Nous appellerons sous condition ces domaines «organisationnels» et «techniques». Le travail dans la première direction consiste à transmettre les problèmes communs d'hygiène numérique, les menaces modernes, les contre-mesures et les conséquences possibles pour les entreprises.

La deuxième direction est plus spécialisée dans la nature. Les spécialistes techniques doivent se conformer aux règles de sécurité de l'information au cours de leur travail, tout en sachant non seulement pourquoi cela doit être fait, mais quoi exactement et comment.

Objectif - Sensibilisation à la sécurité

La sensibilisation à la sécurité est un concept clé de la sécurité de l'information dans une entreprise. Les employés se conforment aux règles de sécurité de l'information s'ils les connaissent, les comprennent et les partagent.

Transmettre les règles aux employés est une tâche claire. Motiver à suivre les règles est déjà plus difficile. Nous savons que l'utilisation des ceintures de sécurité dans une voiture ou le lavage des mains avec du savon et de l'eau réduisent considérablement la probabilité de mauvaises conséquences et le font automatiquement, sans souffrance morale. Comment prendre l'habitude de «se laver les mains» avant de travailler avec des données?

La sensibilisation à la sécurité commence par la prise de conscience que les risques peuvent être réalisés. Vous, votre système peut vraiment être la cible d'une attaque. Grâce à la compréhension des habitudes, l'hygiène numérique fait partie de l'environnement de travail et de la culture interne. En d'autres termes, les employés suivent les règles de sécurité de l'information s'ils comprennent pourquoi cela est nécessaire et à quel point les risques sont élevés. Il n'y a pas de résistance interne dans ce cas.

Shérif ou prédicateur?

Les entreprises modernes accordent une grande attention au confort des employés et à leur état psychologique. Cela signifie qu'il est assez difficile d'appliquer des mesures répressives même dans le domaine de la sécurité de l'information: un équilibre doit être maintenu entre la liberté d'action et les règles. Nous croyons que la compréhension des menaces et le sens des responsabilités pour une entreprise fonctionnent mieux que la peur de la punition. Et la clé d'une mise en œuvre efficace de la sécurité de l'information est la communication avec les employés et la compréhension des problèmes de chaque produit et de chaque équipe.

De la théorie à l'action!

Alors, comment notre équipe introduit-elle une culture de la sécurité de l'information aux niveaux organisationnel et technique?

Formation et implication des employés

Pour les nouveaux employés, nous ferons une présentation sur la façon dont les processus de sécurité dans notre entreprise sont organisés, comment nous protéger contre les risques domestiques les plus simples, tels que le phishing, la fuite de mot de passe et les infections de logiciels malveillants.

Pour tous les employés, nous organisons des ateliers (OSINT, protection de la marque, injections SQL aveugles, machines de laboratoire pentest, techniques de piratage spécifiques au cloud) et faisons des présentations lors d'événements internes. Une formation interne régulière et des démonstrations en direct sont très importantes. Des exemples d'exploitation de vulnérabilités typiques fonctionnent mieux que de longues conférences. Une explication sur les doigts de ce qu'est la cryptographie asymétrique, pourquoi un jeton est nécessaire et la façon la plus simple d'utiliser Vault est de gagner beaucoup de temps pour les équipes techniques.

Mini blog sur la sécurité des réseaux sociaux d'entreprise

Nous essayons de maintenir un flux constant de messages de l'équipe de l'IB. Nos collègues doivent voir que nous nous tenons constamment informés, donnons des conseils, annonçons des innovations, essayons d'intéresser et d'attirer chaque employé.

Mitaps réguliers, échange d'expérience

Sur le toit de notre bureau à Limassol, en plus de belles vues, il y a toutes les possibilités de réunions pour plus de 100 personnes, que nous utilisons régulièrement. Deux ou trois fois par an, nous réunissons des spécialistes et discutons de la sécurité des applications, de la gestion des risques, des pratiques de devsecops et d'autres problèmes. Les événements sont suivis par des employés de l'entreprise et des représentants de la communauté informatique locale, et ici notre tâche principale en termes de formation d'une culture interne est de montrer que les questions de sécurité de l'information sont intéressantes et importantes.

Phishing interne

De nombreux employés ne pensent pas que l'ouverture d'un lien ou d'un document peut être nuisible ou pas suffisamment vigilante. En réalisant des campagnes de phishing internes, nous obtenons des statistiques sur l'organisation, les personnes qui font le plus souvent des erreurs, et améliorons constamment le programme de formation interne en termes de protection contre l'ingénierie sociale et le phishing. Nous obtenons également la confirmation que le phishing fonctionne.

La sécurité alimentaire

Pour promouvoir une culture de développement sûr et une meilleure compréhension des problèmes de sécurité par les développeurs, nous avons mis en place les pratiques suivantes.

Nous communiquons constamment avec les équipes produits

Nous allons aux revues de sprint, aux comités d'architecture, discutons périodiquement des problèmes actuels et des problèmes avec les équipes techniques. Nous nous impliquons donc dans chaque projet, nous comprenons mieux l'atmosphère et les relations au sein des équipes. Nous pouvons faire des recommandations à la volée (quoi, pourquoi et comment protéger) et corriger les tâches dans le backlog.

Nous développons un programme de bug bug externe sur la plateforme HackerOne

Depuis plus de trois ans, nous avons engagé une expertise externe pour rechercher des vulnérabilités dans notre infrastructure à l'aide de la plateforme HackerOne. En un an, nous dépensons plus de 50 000 $ en paiements de rémunération, ce qui est un peu par rapport aux pertes possibles. Si vous n'avez pas de programme de bug bounty, nous vous recommandons de le démarrer. Pour relativement peu d'argent, vous obtenez un pentest pratiquement infini.

Nous utilisons également des rapports sur les vulnérabilités et les conséquences potentielles que «quelqu'un d'Internet» a trouvées. Ces informations aident l'entreprise à décider d'augmenter la priorité et de renforcer les exigences de sécurité de l'information dans les nouveaux produits, en introduisant des contrôles supplémentaires au niveau de l'assurance qualité et des contrôles automatisés.

Nous recherchons (et trouvons!) Des campagnes de sécurité dans les commandes pour le contrôle local de la sécurité des produits

Dans les réalités modernes, lorsque vous utilisez des modèles Scrum / Agile, il est important dans chaque équipe d'avoir au moins une personne qui peut servir de guide pour vos recommandations et «encourager» la sécurité des produits. Idéalement, vous avez besoin d'une expertise de sécurité à part entière dans chaque équipe, mais il n'y a toujours pas suffisamment de ressources. Après un certain temps, Devsecops ou spécialiste de la sécurité des applications peut évoluer à partir de Security Champion, c'est donc une bonne occasion de changer d'orientation pour un ingénieur de produit ou un développeur. Dans notre cas, nous avons réussi à trouver des développeurs et des développeurs qui ont considérablement amélioré leur compréhension des problèmes de sécurité au sein des équipes.

Comment nous définissons les tâches de sécurité des informations pour les équipes produit

Pour organiser le travail, nous utilisons la méthodologie OWASP ASVS en combinaison avec les risques métier décrits. Pour chaque équipe, nous introduisons une liste de contrôles - exigences de sécurité des produits. Il ressemble à un ensemble de recommandations, dans lesquelles chaque mesure de protection correspond à son propre risque. Le document montre clairement ce qui a déjà été réalisé, ce qui est prévu et quels risques à ce stade du cycle de vie du produit sont acceptés par l'entreprise.

Ainsi, les équipes techniques voient ce qui doit être fait, et les risques pertinents montrent à l'entreprise pourquoi cela doit être fait, quelles conséquences potentielles peuvent se produire s'il n'est pas réalisé.

Si quelque chose n'a pas été fait, nous pensons que les risques correspondants sont acceptés et pour chaque produit nous établissons une dette de sécurité technique.

Un exemple de contrôles et de risques pertinents:

Quel est le résultat?

Pour mesurer l'effet de toutes les activités, nous utilisons des indicateurs qui, à notre avis, reflètent la dynamique de pénétration d'une culture de sécurité à toutes les étapes de la vie du produit.

Dans le sens technique de nos efforts, nous utilisons deux indicateurs principaux.

1. Indice de sécurité des produits

Il s'agit d'un indicateur intégré en deux parties. La première partie est une métrique en retard, elle parle du niveau actuel de vulnérabilité du produit. La seconde est prédictive, elle parle des vulnérabilités potentielles à l'avenir. En effectuant des mesures régulières, nous pouvons rapidement attirer l'attention des équipes sur les problèmes d'un produit spécifique et aider à les résoudre.

OWASP WRT — . , .
-, .
OWASP ASVS 3.0. , .
- , . , , .

2. Le résultat d'un pentest régulier effectué par des sociétés externes qualifiées

Sur la base des résultats des tests de pénétration externe, nous corrigeons les vulnérabilités trouvées et tirons des conclusions afin d'éviter la répétition de situations similaires.
Même de bons résultats ne nous permettent pas de nous détendre, de nouvelles menaces et vecteurs d'attaque apparaissent chaque jour, les attaquants deviennent plus inventifs.

Dans le sens organisationnel, les résultats sont plus subjectifs:

Nous recevons plus de messages des employés sur les vulnérabilités et incidents potentiels qu'auparavant. Les employés comprennent l'importance d'une communication opportune.
Les équipes de produits interviennent au tout début du projet, et il est entendu qu'il est beaucoup plus facile de prévenir un problème que de le résoudre.
, . , API, , .
GDPR — , , , .

?

( , , , );
;
KPI ;
, ;
Utilisez un niveau élevé et éprouvé de sécurité des produits pour obtenir un avantage concurrentiel.

Nous étions convaincus qu'un bon niveau de sécurité peut être atteint non seulement en punissant, en forçant et en intimidant l'équipe par le biais des politiciens et de la NDA, mais également en utilisant une approche différente - expliquer les risques, impliquer les gens dans le processus de création et de suivi des règles, étudier et prendre en compte les erreurs passées.

Renforcer la culture de la sécurité de l'information dans les sociétés fintech