Loader

Знания о кибербезопасности: шесть советов, которые помогут вашим сотрудникам стать «киберумными»

Настало время для нового подхода к повышению осведомленности о киберпространстве, который опирается на концепцию модели совместной ответственности, распространенной в облачных технологиях. Как этого достичь?

Сколько внимания средний сотрудник уделяет кибербезопасности в вашей организации? В большинстве компаний поведение сотрудников варьируется от “бдительного защитника”, который регулярно сообщает о подозрительной активности, до “злостного нарушителя безопасности”, который делает все возможное, чтобы обойти меры защиты в интересах «продуктивности».  

За 18 лет, прошедших с тех пор, как Агентство кибербезопасности и защиты инфраструктуры США (CISA) и Национальный альянс кибербезопасности (NCSA) впервые объявили о Месяце осведомленности о кибербезопасности, многое изменилось в нашем укладе жизни и работы. Еще до пандемии COVID-19 организации во всех отраслях переживали цифровую трансформацию и перенос инфраструктуры и услуг в облако. Повсеместный переход к удаленной работе в 2020 году только ускорил темпы изменений, которые уже шли полным ходом.

Тем не менее, новое глобальное исследование, проведенное компанией Forrester Consulting по заказу Tenable, показывает, что многие сотрудники продолжают рассматривать кибербезопасность как помеху, а не как преимущество. В исследовании Beyond Boundaries: «Будущее кибербезопасности в новых реалиях» было опрошено 479 штатных сотрудников с полной занятостью, работающих дома три или более дней в неделю. Хотя подавляющее большинство (81%) считают защиту данных клиентов в некоторой степени или очень важной, более половины признались, что используют личные устройства для доступа к ним. Исследование также показало, что:

    • Более четырех из десяти удаленных работников (44%) считают, что ограничения и политики кибербезопасности снижают их продуктивность;
    • Треть (36%) задерживают установку обновлений на свои устройства;
    • Более четверти (27%) признаются, что иногда игнорируют или обходят политики кибербезопасности.

Что эти результаты означают для руководителей служб безопасности? Можно с уверенностью предположить, что в любой конкретный день значительное число работников избегают основных методов кибергигиены, таких как использование только предоставленных компанией устройств для доступа к конфиденциальным данным, доступ к системам и данным компании только через виртуальную частную сеть (VPN) и отказ от подключения через общественный Wi-Fi.

Что же можно сделать в этой ситуации? Пришло время для нового подхода, который опирается на концепцию модели разделения ответственности, распространенной в облачных технологиях. В этой модели кибербезопасность будет рассматриваться как корпоративная стратегическая задача. В этой модели кибербезопасность будет рассматриваться как корпоративная стратегическая цель по вертикали. Каждый сотрудник, независимо от должности или ранга, должен иметь «оценочный лист безопасности», включенный в его ежегодные показатели оценки эффективности и имеющий такой же вес, как и другие показатели. В свою очередь, руководители служб безопасности обязуются максимально упростить для сотрудников процесс обеспечения кибербезопасности.

6 простых советов для ваших сотрудников, которые помогут повысить уровень кибербезопасности

Переход к такой модели разделения ответственности гораздо сложнее, чем кажется. Создание карты показателей безопасности для каждого сотрудника потребует надежного управления активами в бизнес-подразделениях, чтобы руководители служб безопасности могли видеть, кому принадлежит каждое устройство или приложение и кому они подчиняются, а также централизованной информационной панели, на которой можно постоянно отслеживать результаты. Это потребует пристального внимания к юридическим и нормативным требованиям, чтобы гарантировать, что любые принятые меры будут уважать частную жизнь сотрудников.  Кроме того, для управления этой системой потребуются значительные ресурсы.

Тем не менее, организации могут начать закладывать основы такой модели уже сегодня. Следующие шесть советов могут быть использованы руководителями служб кибербезопасности для обучения сотрудников:

      1. Начните с малого. Определите один отдел или команду в вашей организации и проведите с ними время. Узнайте, как они работают, и попросите их определить методы и политики безопасности, которые, по их мнению, работают хорошо, и дать честный отзыв о тех, которые, по их мнению, сдерживают их работу.  
      2. Упростите. Ищите процессы и решения, которые уменьшают сложности в рабочем процессе сотрудника. Помните, что создатели приложений и устройств ставят в приоритет вовлеченность и простоту использования; инструменты и процессы безопасности тоже должны быть удобными и простыми в использовании, иначе сотрудники будут избегать их.
      3. Обратитесь за помощью. Подумайте о сотрудничестве с отделом кадров, внутренних коммуникаций или маркетинга вашей организации, чтобы найти новые способы вовлечения сотрудников. Вы — эксперты по безопасности, они — эксперты по коммуникациям. Объединение усилий может привести к появлению свежих идей о том, как обучать сотрудников и внедрять культуру кибербезопасности.
      4. Объясните «для чего» такие меры. Не просто говорите сотрудникам, что они должны делать; помогите им понять, почему это важно для них. Покажите им, как они могут стать частью решения, а не частью проблемы.  
      5. Будьте доступны. Убедите своих руководителей выделять время для обсуждения вопросов кибербезопасности на каждом общекорпоративном собрании, чтобы вы могли постоянно подкреплять информацию и держать людей в курсе новых усилий. Планируйте регулярные встречи с сотрудниками по принципу «спроси меня о чем угодно», чтобы вы могли устранить любую дезинформацию и стимулировать непрерывное обучение.
      6. Заинтересуйте. Поймите, что мотивирует сотрудников, а затем стройте свою программу с учетом этого. Например, реагируют ли сотрудники вашей организации в первую очередь на финансовые стимулы? Или они предпочитают публичное признание своих усилий? Зависит ли мотивация от команды или отдела? Найдите время, чтобы узнать, что важно для каждого — спросите, что мотивирует самых рьяных стражей и почему нарушители безопасности избегают ваших политик.

Хотя руководители служб безопасности несут наибольшую ответственность за обеспечение безопасности организации, они не могут сделать это в вакууме. Для создания культуры кибербезопасности необходимо, чтобы каждый сотрудник организации, начиная с самого верха, понимал свои роли и обязанности. Поиск правильного сочетания технологий, людей и процессов поможет вам увеличить число “бдительных защитников” и уменьшить число “нарушителей безопасности” в вашей организации.

Oberig IT — официальный дистрибьютор решений Tenable.
По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Tenable и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Грузия, Армения — tenable_sales@oberig-it.com, +38 099 427 94 04.

Узбекистан, Кыргызстан, Таджикистан, Туркменистан — info.uz@oberig-it.com, +99897 746 83 40. 

Казахстан — info.kz@oberig-it.com, +7 775 395 0803. 

Беларусь, Молдова, Румыния — info.md@oberig-it.com, +373 686 76535. 

Азербайджан — info.az@oberig-it.com, +994 50 6826105. 

Источник: https://cutt.ly/CTyk8qX