Get best of the week

Meningkatkan budaya keamanan informasi di perusahaan fintech

gambar

Perusahaan modern memerlukan pendekatan khusus untuk keamanan informasi. Departemen keamanan informasi tidak lagi menjadi pengawas dan pengendali, mulai aktif berbicara dengan orang-orang, dan menjadi peserta penuh dalam proses bisnis.

Perusahaan Exness fintech memiliki lebih dari 70.000 pelanggan aktif bulanan di seluruh dunia, dan seluruh bisnis online. Data adalah aset dan pendorong utama kami, oleh karena itu perlindungan informasi adalah prioritas No. 1.

Exness mempekerjakan lebih dari 500 orang. Sekitar 150 dipekerjakan di R&D dan IT, banyak staf dukungan teknis, manajer penjualan, layanan anti penipuan dan kepatuhan. Dengan satu atau lain cara, mereka bekerja dengan data sensitif atau memiliki akses ke fungsionalitas penting, informasi internal, kode, admin admin. Kesalahan yang tidak disengaja atau kurangnya kesadaran staf dapat menghabiskan biaya jutaan bisnis. Anda tidak perlu pergi jauh untuk contoh: berita penuh dengan pesan tentang kebocoran dari server penyimpanan Elastis, MongoDB atau S3 yang tidak aman, sering disebabkan oleh faktor manusia.

Manusia adalah mata rantai terlemah dalam keamanan informasi, jadi kami menetapkan tugas untuk meningkatkan budaya keamanan informasi di antara karyawan. Kami membagikan pengalaman kami tentang apa yang telah kami lakukan untuk ini dan bagaimana kami mengevaluasi hasilnya.

Kami membagi tugas menjadi dua arah:

  1. Meningkatkan pemahaman tentang masalah keselamatan di antara tim teknis.
  2. Meningkatkan pemahaman tentang masalah keamanan di antara semua karyawan, termasuk profesional non-TI.

Kami secara kondisional akan menyebut area ini "organisasi" dan "teknis". Bekerja dalam arah pertama adalah untuk menyampaikan masalah umum tentang kebersihan digital, ancaman modern, penanggulangan, dan kemungkinan konsekuensi untuk bisnis. 

Arah kedua lebih khusus di alam. Spesialis teknis harus mematuhi aturan keamanan informasi dalam pekerjaan mereka, sementara mereka harus tahu tidak hanya mengapa ini harus dilakukan, tetapi apa tepatnya dan bagaimana.

Tujuan - Kesadaran Keamanan


Kesadaran Keamanan adalah konsep kunci keamanan informasi dalam suatu perusahaan. Karyawan mematuhi aturan keamanan informasi jika mereka tahu, memahami, dan membagikannya. 

Untuk menyampaikan aturan kepada karyawan adalah tugas yang jelas. Memotivasi untuk mengikuti aturan sudah lebih sulit. Kita tahu bahwa menggunakan sabuk pengaman di mobil atau mencuci tangan dengan sabun dan air secara signifikan mengurangi kemungkinan konsekuensi buruk dan melakukannya secara otomatis, tanpa penderitaan moral. Bagaimana kebiasaan "mencuci tangan" sebelum bekerja dengan data?



Kesadaran Keamanan dimulai dengan kesadaran bahwa risiko dapat direalisasikan. Anda, sistem Anda benar-benar bisa menjadi target serangan. Melalui pemahaman kebiasaan, kebersihan digital menjadi bagian dari lingkungan kerja dan budaya internal. Dengan kata lain, karyawan mengikuti aturan keamanan informasi jika mereka memahami mengapa ini perlu dan seberapa tinggi risikonya. Tidak ada hambatan internal dalam kasus ini.

Sheriff atau pendeta?


Perusahaan modern sangat memperhatikan kenyamanan karyawan dan kondisi psikologis mereka. Ini berarti bahwa agak sulit untuk menerapkan langkah-langkah represif bahkan di bidang keamanan informasi: keseimbangan harus dijaga antara kebebasan bertindak dan aturan. Kami percaya bahwa memahami ancaman dan rasa tanggung jawab untuk bisnis bekerja lebih baik daripada takut akan hukuman. Dan kunci penerapan keamanan informasi yang efektif adalah komunikasi dengan karyawan dan pemahaman tentang masalah masing-masing produk dan masing-masing tim.

Dari teori ke aksi! 


Jadi, bagaimana tim kami memperkenalkan budaya keamanan informasi di tingkat organisasi dan teknis?

Pelatihan dan keterlibatan karyawan


Untuk karyawan baru, kami akan membuat presentasi tentang bagaimana proses keamanan di perusahaan kami diatur, bagaimana melindungi diri dari risiko rumah tangga yang paling sederhana, seperti phishing, kebocoran kata sandi, dan infeksi malware.

Untuk semua karyawan, kami melakukan lokakarya (OSINT, perlindungan merek, injeksi sql blind, mesin lab terbaik, teknik peretasan khusus cloud) dan membuat presentasi di acara internal. Pelatihan internal reguler dan demonstrasi langsung sangat penting. Contoh-contoh eksploitasi kerentanan tipikal bekerja lebih baik daripada kuliah panjang. Penjelasan mengenai apa itu kriptografi asimetris, mengapa token diperlukan dan cara termudah untuk menggunakan Vault adalah menghemat banyak waktu untuk tim teknis.

Mini Blog Keamanan Jaringan Sosial Perusahaan


Kami mencoba mempertahankan aliran posting yang konstan dari tim IB. Rekan-rekan kita harus melihat bahwa kita terus mengikuti, memberikan saran, mengumumkan inovasi, mencoba menarik dan menarik setiap karyawan.



Mitaps rutin, pertukaran pengalaman


Di atap kantor kami di Limassol, selain pemandangan yang indah, ada semua kemungkinan pertemuan untuk 100+ orang, yang kami gunakan secara rutin. Dua atau tiga kali setahun, kami mengumpulkan spesialis dan membahas keamanan aplikasi, manajemen risiko, praktik devsecops, dan masalah lainnya. Acara tersebut dihadiri oleh karyawan perusahaan dan perwakilan dari komunitas TI lokal, dan di sini tugas utama kami dalam hal pembentukan budaya internal adalah untuk menunjukkan bahwa masalah keamanan informasi menarik dan penting.



Phishing internal


Banyak karyawan tidak percaya bahwa membuka tautan atau dokumen dapat berbahaya atau tidak cukup waspada. Melakukan kampanye phishing internal, kami mendapatkan statistik tentang organisasi, yang paling sering membuat kesalahan orang, dan terus-menerus meningkatkan program pelatihan internal dalam hal perlindungan terhadap rekayasa sosial dan phishing. Kami juga mendapatkan konfirmasi bahwa phishing berfungsi.

Keamanan makanan


Untuk mempromosikan budaya pengembangan yang aman dan pemahaman yang lebih baik tentang masalah keamanan oleh pengembang, kami telah menerapkan praktik berikut.

Kami terus berkomunikasi dengan tim produk


Kami pergi ke ulasan sprint, komite arsitektur, secara berkala mendiskusikan masalah saat ini dan masalah dengan tim teknis. Jadi kami menjadi terlibat dalam setiap proyek, kami lebih memahami atmosfer dan hubungan dalam tim. Kami dapat membuat rekomendasi dengan cepat (apa, mengapa dan bagaimana melindungi) dan memperbaiki tugas di backlog. 

Kami mengembangkan program karunia bug eksternal pada platform HackerOne


Selama lebih dari tiga tahun, kami telah menggunakan keahlian eksternal untuk mencari kerentanan dalam infrastruktur kami menggunakan platform HackerOne. Dalam setahun kami menghabiskan lebih dari $ 50rb untuk pembayaran remunerasi, yang sedikit dibandingkan dengan kemungkinan kerugian. Jika Anda tidak memiliki program karunia bug, kami sarankan Anda memulainya. Untuk uang yang relatif sedikit, Anda mendapatkan pentest yang hampir tak terbatas.

Kami juga menggunakan laporan tentang kerentanan dan konsekuensi potensial yang ditemukan oleh "seseorang dari Internet". Informasi ini membantu bisnis untuk memutuskan untuk meningkatkan prioritas dan memperkuat persyaratan untuk keamanan informasi dalam produk baru, memperkenalkan pemeriksaan tambahan di tingkat QA dan kontrol otomatis.

Kami mencari (dan menemukan!) Kampanye Keamanan dalam perintah untuk kontrol keamanan produk lokal


Dalam kenyataan modern, ketika menggunakan model Scrum / Agile, penting dalam setiap tim untuk memiliki setidaknya satu orang yang dapat bertindak sebagai panduan untuk rekomendasi Anda dan "bersorak" pada keamanan produk. Idealnya, Anda membutuhkan keahlian keamanan penuh di setiap tim, tetapi selalu tidak ada sumber daya yang cukup. Setelah beberapa waktu, Devsecops atau spesialis Keamanan Aplikasi dapat tumbuh dari Security Champion, jadi ini adalah kesempatan yang baik untuk mengubah fokus untuk insinyur produk atau pengembang. Dalam kasus kami, kami berhasil menemukan pengembang dan pengembang yang secara signifikan meningkatkan pemahaman mereka tentang masalah keamanan dalam tim.

Bagaimana kami mengatur tugas keamanan informasi untuk tim produk


Untuk mengatur pekerjaan, kami menggunakan metodologi OWASP ASVS dalam kombinasi dengan risiko bisnis yang dijelaskan. Untuk setiap tim, kami memperkenalkan daftar kontrol - persyaratan keamanan produk. Itu tampak seperti serangkaian rekomendasi, di mana setiap ukuran perlindungan sesuai dengan risikonya sendiri. Dokumen tersebut dengan jelas menunjukkan apa yang telah selesai, apa yang direncanakan, dan risiko apa pada tahap siklus hidup produk yang diterima oleh bisnis.

Dengan demikian, tim teknis melihat apa yang perlu dilakukan, dan risiko yang relevan menunjukkan pada bisnis mengapa harus dilakukan, konsekuensi potensial apa yang mungkin terjadi jika tidak dipenuhi.  

Jika sesuatu belum dilakukan, kami percaya bahwa risiko yang sesuai diterima, dan untuk setiap produk kami membuat utang keamanan teknis.

Contoh kontrol dan risiko yang relevan:



Apa hasilnya? 


Untuk mengukur efek dari semua kegiatan, kami menggunakan indikator yang, menurut pendapat kami, mencerminkan dinamika penetrasi budaya keselamatan di semua tahap kehidupan produk. 

Dalam arahan teknis upaya kami, kami menggunakan dua indikator utama.

1. Indeks Keamanan Produk

Ini adalah indikator integral dua bagian. Bagian pertama adalah metrik lagging, ia berbicara tentang tingkat kerentanan produk saat ini. Yang kedua adalah prediktif, berbicara tentang potensi kerentanan di masa depan. Dengan melakukan pengukuran reguler, kami dapat menarik perhatian tim pada masalah dengan produk tertentu dan membantu memecahkannya.

  • OWASP WRT — . , .
    -, . 
  • OWASP ASVS 3.0. , .
    - , . , , .

2. Hasil pentest reguler yang dilakukan oleh perusahaan eksternal yang berkualifikasi

Berdasarkan hasil uji penetrasi eksternal, kami memperbaiki kerentanan yang ditemukan dan menarik kesimpulan untuk menghindari pengulangan situasi yang sama. 
Bahkan hasil yang baik tidak memungkinkan kita untuk bersantai, ancaman baru dan vektor serangan muncul setiap hari, penyerang menjadi lebih inventif.

Dalam arah organisasi, hasilnya lebih subjektif:

  • Kami menerima lebih banyak pesan dari karyawan tentang potensi kerentanan dan insiden daripada sebelumnya. Karyawan memahami pentingnya komunikasi tepat waktu.
  • Tim produk datang pada tahap awal proyek, dan ada pemahaman bahwa mencegah masalah jauh lebih mudah daripada memperbaikinya.
  • , . , API, , .
  • GDPR — , , , .

?


  • ( , , , );
  • ;
  • KPI ;
  • , ;
  • Gunakan tingkat keamanan produk yang tinggi dan terbukti untuk mendapatkan keunggulan kompetitif.

Kami memastikan bahwa tingkat keamanan yang baik dapat dicapai tidak hanya dengan menghukum, memaksa dan mengintimidasi tim melalui politisi dan NDA, tetapi juga dengan menggunakan pendekatan yang berbeda - menjelaskan risiko, melibatkan orang-orang dalam proses membuat dan mengamati aturan, mempelajari dan memperhitungkan kesalahan masa lalu.

More articles:


All Articles