Loader

Знання про кібербезпеку: шість порад, які допоможуть вашим співробітникам стати «кіберРоЗумними»

Настав час для нового підходу до підвищення обізнаності про кіберпростір, що спирається на концепцію моделі спільної відповідальності, поширеної у хмарних технологіях. Як цього досягти?

Скільки уваги середній співробітник приділяє кібербезпеці у вашій організації? У більшості компаній поведінка співробітників варіюється від “пильного захисника”, який регулярно повідомляє про підозрілі активності, до “злісного порушника безпеки”, який робить все можливе, щоб обійти заходи захисту на користь “продуктивності”.

За 18 років, що минули з того часу, як Агентство кібербезпеки та захисту інфраструктури США (CISA) та Національний альянс кібербезпеки (NCSA) вперше оголосили про Місяць обізнаності про кібербезпеку, багато що змінилося у нашому способі життя та роботи. Ще до пандемії COVID-19 організації у всіх галузях переживали цифрову трансформацію та перенесення інфраструктури та послуг у хмару. Повсюдний перехід до віддаленої роботи у 2020 році лише прискорив темпи змін, які вже йшли повним ходом.

Тим не менш, нове глобальне дослідження, проведене компанією Forrester Consulting на замовлення Tenable, показує, що багато співробітників продовжують розглядати кібербезпеку як перешкоду, а не як перевагу. У дослідженні Beyond Boundaries: “Майбутнє кібербезпеки в нових реаліях” було опитано 479 штатних співробітників з повною зайнятістю, які працюють вдома три або більше днів на тиждень. Хоча переважна більшість (81%) вважають захист даних клієнтів певною мірою або дуже важливим, більше половини зізналися, що використовують особисті пристрої для доступу до них. Дослідження також показало, що:

    • Більше чотирьох з десяти віддалених працівників (44%) вважають, що обмеження та політики кібербезпеки знижують їхню продуктивність;
    • Третина (36%) затримують встановлення оновлень на свої пристрої; і
    • Понад чверть (27%) зізнаються, що іноді ігнорують або оминають політики кібербезпеки.

Що це означає для керівників служб безпеки? Можна з упевненістю припустити, що у будь-який конкретний день значна кількість працівників уникають основних методів кібергігієни, таких як використання тільки наданих компанією пристроїв для доступу до конфіденційних даних, доступ до систем і даних компанії лише через віртуальну приватну мережу (VPN) та відмову від підключення через громадський Wi-Fi.

Що ж можна зробити у цій ситуації? Настав час для нового підходу, що спирається на концепцію моделі поділу відповідальності, поширеної у хмарних технологіях. У цій моделі кібербезпека розглядатиметься як корпоративне стратегічне завдання. У цій моделі кібербезпека розглядатиметься як корпоративна стратегічна мета по вертикалі. Кожен співробітник, незалежно від посади чи рангу, повинен мати “оціночний лист безпеки”, включений до ньогощорічні показники оцінки ефективності та має таку ж вагу, як і інші показники. У свою чергу керівники служб безпеки зобов’язуються максимально спростити для співробітників процес забезпечення кібербезпеки.

6 простих порад для ваших співробітників, які допоможуть підвищити рівень кібербезпеки

Перехід до такої моделі поділу відповідальності набагато складніший, ніж здається. Створення картки показників безпеки для кожного співробітника вимагатиме надійного управління активами у бізнес-підрозділах, щоб керівники служб безпеки могли бачити, кому належить кожен пристрій або додаток та кому вони підпорядковуються, а також централізованій інформаційній панелі, на якій можна постійно відстежувати результати. Це вимагатиме пильної уваги до юридичних та нормативних вимог, щоб гарантувати, що будь-які вжиті заходи поважатимуть приватне життя працівників. Крім того, для управління цією системою будуть потрібні значні ресурси.

Проте організації можуть почати закладати основи такої моделі вже сьогодні. Наступні шість порад можуть бути використані керівниками служб кібербезпеки для навчання працівників:

      1. Почніть з малого. Визначте один відділ або команду у вашій організації та проведіть з ними час. Дізнайтеся, як вони працюють, і попросіть їх визначити методи та політики безпеки, які, на їхню думку, працюють добре, і дати чесний відгук про тих, які, на їхню думку, стримують їхню роботу.
      2. Спростіть. Шукайте процеси та рішення, які зменшують складності у робочому процесі співробітника. Пам’ятайте, що творці додатків та пристроїв ставлять у пріоритет залучення та простоту використання; інструменти та процеси безпеки теж повинні бути зручними та простими у використанні, інакше співробітники уникатимуть їх.
      3. Зверніться по допомогу. Подумайте про співпрацю з відділом кадрів, внутрішніх комунікацій або маркетингу вашої організації, щоб знайти нові способи залучення співробітників. Ви – експерти з безпеки, вони – експерти з комунікацій. Об’єднання зусиль може призвести до появи свіжих ідей про те, як навчати співробітників та впроваджувати культуру кібербезпеки.
      4. Поясніть “навіщо” такі заходи. Не просто кажіть співробітникам, що вони мають робити; допоможіть їм зрозуміти, чому це важливо для них. Покажіть їм, як можуть стати частиною рішення, а чи не частиною проблеми.
      5. Будьте доступні. Переконайтеся, що ваші керівники будуть визначати час для обговорення питань кібербезпеки на кожних загальнокорпоративних зборах, щоб ви могли постійно підкріплювати інформацію та тримати людей в курсі нових зусиль. Плануйте регулярні зустрічі зі співробітниками за принципом “запитай мене про що завгодно”, щоб ви могли усунути будь-яку дезінформацію та стимулювати безперервне навчання.
      6. Зацікавте. Зрозумійте, що мотивує співробітників, а потім будуйте свою програму з огляду на це. Наприклад, чи реагують співробітники вашої організації насамперед на фінансові стимули? Чи воліють вони публічне визнання своїх зусиль? Чи залежить мотивація від команди чи відділу? Знайдіть час, щоб дізнатися, що важливо для кожного – запитайте, що мотивує найзавзятіших вартових і чому порушники безпеки уникають ваших політик.

Хоча керівники служб безпеки несуть найбільшу відповідальність за безпеку організації, вони не можуть зробити це у вакуумі. Для створення культури кібербезпеки необхідно, щоб кожен співробітник організації, починаючи з самого верху, розумів свої ролі та обов’язки. Пошук правильного поєднання технологій, людей та процесів допоможе вам збільшити кількість “пильних захисників” та зменшити кількість “порушників безпеки” у вашій організації.

 

Oberig IT– офіційний дистрибутор рішень Tenable.

З питань проведення індивідуальної демонстрації, пілотного тестування рішень Tenable і організації партнерських тренінгів звертайтеся, будь ласка:
 
tenable_sales@oberig-it.com,+38 099 427 94 04.

Джерело: https://cutt.ly/CTyk8qX