Creazione di una cultura della sicurezza ricettiva e adattiva - Guida sulla risposta agli incidenti di sicurezza di AWS

Creazione di una cultura della sicurezza ricettiva e adattiva

In AWS, abbiamo imparato che i nostri clienti e i nostri team interni hanno più successo quando i team di sicurezza sono fattori abilitanti di cooperazione per la loro attività e i suoi sviluppatori, che promuovono una cultura che assicura che tutte le parti interessate cooperino e crescano per mantenere una posizione di sicurezza agile e altamente reattiva. Sebbene il miglioramento della cultura della sicurezza della tua organizzazione non sia l'argomento di questo documento, puoi ottenere informazioni pertinenti dal personale non addetto alla sicurezza se ritiene che il team addetto alla sicurezza è ricettivo. Quando il team di sicurezza è aperto e accessibile, con il supporto della leadership, è più probabile che riceva notifiche aggiuntive e tempestive, cooperazione e risposte agli eventi di sicurezza.

In alcune organizzazioni, il personale potrebbe temere problemi se segnala un problema di sicurezza. A volte semplicemente non sanno come segnalare un problema. In altri casi, potrebbero non voler perdere tempo o potrebbero essere imbarazzati nel segnalare qualcosa come un incidente di sicurezza che in seguito viene ritenuto non essere un problema. Dal team manageriale in giù, è importante promuovere una cultura dell'accettazione e invitare tutti a far parte della sicurezza dell'organizzazione. Fornire a chiunque un canale chiaro per aprire un ticket di gravità elevata, ogni volta che ritiene che possa esserci un potenziale rischio o minaccia. Accogli queste notifiche con una mente aperta e entusiasta, ma soprattutto, chiarisci al personale non addetto alla sicurezza che tali notifiche sono accettate di buon grado. Sottolinea che preferiresti essere informato in modo eccessivo di potenziali problemi, piuttosto che non ricevere alcuna notifica. È molto meglio per uno sviluppatore comunicare il proprio errore, piuttosto che un ricercatore segnali il problema in un articolo pubblico.

Queste notifiche offrono preziose opportunità per svolgere indagini reattive in condizioni di stress. Possono fungere da importante circuito di feedback mentre sviluppi le procedure di risposta.