Как построить культуру кибербезопасности среди сотрудников?
Изображение: recraft
Обеспечение информационной безопасности уже давно стало не второстепенной темой в жизни бизнеса. Наша практика показывает, что не смотря на очевидность темы ИБ, у бизнеса остается еще много не закрытых тем в кибербезопасности. Самым слабым звеном, на данный момент, является человек.
Выстраивая ИБ, CISO старается минимизировать участие человека в отражении рисков ИБ. Ставит защиту почты, защиту конечных точек, пропуская файлы через песочницы, управляет правами доступа и т.д. Но, к сожалению, это не работает на 100%, человеческий фактор в 80% случаев ключевой в кибератаке. Какими методами необходимо закрыть уязвимость, которую представляет сотрудник? Определенно лучший подход — это сделать сотрудника элементом Средства защиты информации бизнеса. Начать стоит с принципов кибербезопасности внутри организации. На данный момент сформировались следующие подходы: ответственность, контроль, обучение, периодичность.
Ответственность, это то, с чего нужно начать работу. Только понимая её сотрудник будет вовлечен в процесс кибербезопасности. Как не странно, но принцип чем строже, тем лучше тут вполне работает. Начать надо с законодательной базы, т.к. это влечет «неотвратимость». Хороший пример 152ФЗ «о персональных данных», в законе есть даже уголовные статьи. Так же не лишним будет ввести режим коммерческой тайны по 98ФЗ. Далее уже внутренние регламенты. Все это стоит доводить под роспись и после строгого изучения. Нужно дать четкий сигнал, что неграмотные действия могут навредить бизнесу, и за это есть ответственность – будь внимателен!
Контроль. Строгость в данном вопросе иногда излишне. Закрыть все порты, открыть только «белый» список URL, поставить все модули контроля DLP, мечта любого ИБешника, но бизнес так не позволит. Необходимо проявить гибкость подхода, часто это сопровождается отсутствием нужных инструментов, невозможностью вводить какие-либо ограничения на рабочем месте. Контроль сотрудников техническими средствами должен осуществляться 24/7. Главная задача — это максимально автоматизировать весь процесс кибербезопасности, сделать так что бы это не отражалось на работе бизнеса, но сотрудники понимали, что их действия всегда на виду.
Обучение. Главный пункт культуры кибербезопасности. Уведомив об ответственности и поставив СЗИ, большая часть бизнеса надеется на средства технического. Но практика говорит об обратном, не встроив в процессы ИБ обучение и повышения киберграмотности бизнес подвергает себя большой угрозе. К сожалению обойти даже самую сложную защиту можно через банальный фишинг, или подобрать «слабый» пароль на учетную запись. Методов прохода через «человеческий фактор» много, технически все их не закрыть. На данный момент мы видим, что подход к обучению только формируется, вопросов много. Кто должен проводить обучение? Чья это функциональная обязанность? Какими методами это делать? Какие критерии обучения? Сколько часов нужно этому уделять? Как обучить «привилегированный» персонал? И т.д. Пока бизнес это определяет сам, но постепенно появляются упоминания в различных законах, но сейчас пока это ограничено «информированием». Мы рекомендуем выделить обучению такое же внимание, как и остальному ИБ. Т.к. решения по обучению кибербезопасности традиционно делают ИБ-вендора. Платформ для бучения достаточно много. Один из первых сервисов, которые мы запустили сами, как раз Security Awareness. На наш взгляд, не соединяя обучение с практикой теряется сам смысл обучения. Хорошо работает связка: Получил подозрительное письмо — открыл – получи предупреждение и назначение на обучающий курс. Небольшие управляемые диверсии очень наглядно помогают понять, как легко можно использовать «человеческий фактор». Важно показать, что неверная оценка рисков работы с почтой, к примеру, может привести к большим проблемам. На словах это не работает, только через практику. Постоянное информирование о новых угрозах так же очень продуктивно, т.к. злоумышленники постоянно меняют подход, подстраиваясь под текущие события в мире.
Периодичность. Еще один важный принцип кибербезопасности. Различные исследования показывают, что даже хорошо усвоенная информация без её регулярного повторения, теряется. Поэтому важно внедрить не обучение, а циклический процесс обучения. Что намного проще сделать с использованием автоматизированными Awareness платформами.
Как итог можно отметить, различные подходы к культуре кибербезопасности уже много лет работают и приносят результат. И хотя измерить этот результат довольно сложно, акцент на культуре кибербезопасности заметно повышает киберустойчивость бизнеса.
Автор: Илья Тихонов, Security presale manager, Крайон.
