УправлениеБезопасность

Что такое People-Centric Security и как это работает

Андрей Прозоров | 29.12.2017

Что такое People-Centric Security и как это работает

Запрещать и останавливать бизнес-процессы безопасникам больше не разрешают. А риски остаются... Что же делать?

"Концепция People-Centric Security зародилась из-за того,

что бизнес запретил безопасности запрещать".

Антон Чувакин, компания Gartner

 

В последние время все больше специалистов по информационной безопасности стали разделять и применять в своей работе принципы концепции People-Centric Security (PCS), базовая идея которой предполагает смещение фокуса внимания с защиты информации (во всех ее видах) в сторону работы с людьми и созданию культуры информационной безопасности.

Почему «классические» подходы по защите информации уже не эффективны? Все просто: слишком быстро стала меняться среда бизнеса и, в частности, ландшафт ИТ. Безопасность опять начала опаздывать...

— У нас Agile! Побежали!

— Но постойте, у нас же есть требования к ИБ!

— Не мешайте нам делать бизнес!

— Но риски!

— Если мы не сделаем это прямо сейчас, то потеряем этот контракт/долю рынка/возможности. Вернемся к вашему вопросу [ИБ] позже...

Запрещать и останавливать бизнес-процессы безопасникам больше не разрешают. А риски остаются... Что же делать? Правильно. Обучать пользователей работать «безопасно». Причем не просто обучать, а создавать культуру ИБ, поощряющую правильную (безопасную) работу с информацией, ИС и сервисами. Именно на этом и строится концепция PCS. Давайте рассмотрим ее подробнее, для этого возьмем за основу следующую модель. См. рис 1.

img

Рисунок 1. Модель культуры ИБ

 Первое, что следует понять и принять, — то, что бизнес первичен, а ИБ должна ему помогать. Не запрещать, не навязывать свое мнение, а именно помогать и советовать. Поэтому сотрудников следует воспринимать именно в качестве ответственных людей, которые лучше безопасника знают, что нужно бизнесу, и имеют право делать свою работу именно так, как им кажется правильным, понимая и принимая возможные последствия для бизнеса.

Следующим важным элементом концепции PCS являются общие принципы, на которые имеет смысл ориентироваться:

1.   Поощрение позитивной культуры ИБ. Руководство организации поддерживает и своим примером показывает необходимость и ценность ИБ, культура ИБ поощряется и поддерживается всеми сотрудниками.

2.   Самостоятельное принятие решения. Сотрудники сами принимают решение о том, когда и как использовать информационные ресурсы организации, исходя из понимания принципов и рисков ИБ и задач бизнеса.

3.   Ответственное владение. У каждого информационного ресурса существует владелец, который и определяет правила работы с ним.

4.   Персональная ответственность. Сотрудники несут персональную ответственность за последствия своих действий.

5.   Мониторинг и обратная связь. Поведение сотрудников контролируется, все ошибки анализируются, и по ним дается обратная связь с целью их дальнейшего недопущения.

6.   Отсутствие злого умысла. Погрешности в работе персонала первоначально рассматриваются в качестве неумышленных ошибок, предполагающих объяснения и обучение. Но если потребуется наказание, то оно будет обоснованным и неминуемым.

7.   Адекватный контроль. Меры контроля выбираются с учетом возможных рисков и соизмеримы с ними.

Принятие этих принципов заложит прочную основу для изменения подходов к обеспечению информационной безопасности в организациях, выбравших для себя путь PCS.

Третье — необходимо обучать сотрудников и повышать их осведомленность в области информационной безопасности. Да, задача вполне стандартная для ИБ, но надо понимать, что в концепции PCS сотрудникам дается больше прав и свобод в отношении работы с информацией, ИС и сервисами, а значит, уровень «цифровой гигиены» в компании должен быть очень высоким. Сотрудники должны понимать, как безопасно работать с информацией, какие существуют угрозы и риски, куда обращаться в случае инцидентов ИБ и многое другое. По сути, сотрудники подразделения ИБ должны стать доверенными советниками бизнеса.

Для начала необходимо определить базовые рекомендации по ИБ и критерии «хорошего» и «плохого» поведения, обсудить их с ключевыми заинтересованными лицами —– владельцами информационных ресурсов, и при необходимости скорректировать правила. На основании этого в дальнейшем будут формироваться учебные материалы. Полезно помнить, что для эффективности последующего обучения предоставляемая информация должна отвечать следующим критериям: актуальность и польза; целесообразность, доступность и удобство восприятия; обоснованность, прозрачность и достаточность.

Наконец, требуется обеспечить мониторинг поведения пользователей. Для этого вполне подойдут стандартные средства, такие как DLP, SIEM, и другие продвинутые системы мониторинга. Хорошей практикой является настройка подобных систем на автоматическое оповещение самих пользователей в случае выявления небезопасного поведения. Например, можно настроить DLP-систему на временную блокировку передачи сообщений, содержащих конфиденциальную информацию, оповещение отправителя «а вы точно хотите переслать такую информацию» с возможностью подтвердить отправку.

Это, пожалуй, основные идеи концепции PCS. Подытожим их короткой таблицей-сравнением «классического» подхода к информационной безопасности (Data-Centric Security) и подхода People-Centric Security. Какого подхода придерживаться? Выбирать вам.

 

 

DCS

PCS

Фокус внимания

Информация

Люди

Главная идея ИБ

Защита информации

Создание позитивной культуры ИБ

Разрешенное поведение

Запрещено все, что не разрешено

Разрешено все, но правильно (безопасно), вот так

Кто прав?

ИБ лучше знает, как надо

Бизнес лучше знает, как надо

Принятие ответственности

Сотрудники должны...

Сотрудникам объясняют, но решение за ними

Документы

Требования и регламенты

Рекомендации, памятки, учебные материалы

Восприятие сотрудниками

ИБ — карающий контролер

ИБ — доверенный советник

Режимы СЗИ

DLP в режиме блокировки

DLP в режиме мониторинга/отправка по требованию

 

Solar Security Безопасность

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 12/2017], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
Почему бы при «смартовании» цели не подумать о некоторой геймификации?
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Онлайн-конференция «Открытые дни Directum»
ОНЛАЙН
Бесплатно
21.04.2021 — 22.04.2021
10:00–13:30
Blockchain Life 2021
Москва, Music Media Dome
2 390 руб
21.04.2021 — 22.04.2021
08:00–20:00
Hot Mobile&Backend: офлайн-митап в Санкт-Петербурге
Санкт-Петербург, ул. Казанская, 7 (пространство Freedom, залы «Библиотека» и Brandroom)
24.04.2021
11:00
Онлайн-конференция IT Entrance
ОНЛАЙН
Бесплатно
24.04.2021
10:00-15:00
Конференция Marketing Weekend 2.0
ОНЛАЙН
300 руб
24.04.2021 — 25.04.2021
11:00–17:00