УправлениеБезопасность

Предотвращаем эпидемию, минимизируем ущерб

Илья Борисов | 28.10.2018

Предотвращаем эпидемию, минимизируем ущерб

Информационная безопасность — это сложный баланс между ограничениями, возможностями и экономической эффективностью

Компании инвестируют миллионы долларов в межсетевые экраны, криптографию и средства контроля доступа – это всё пустая трата денег. Ни одна из этих мер не защищает самое слабое звено в цепи кибербезопасности.

Кевин Митник

При обсуждении вопросов информационной безопасности в подавляющем большинстве случаев речь идет об антивирусах, межсетевых экранах, системах обнаружения вторжений, аналитических продуктах, системах машинного обучения, сертификациях и прочих технических аспектах защиты. И удивительно редко звучит мысль о том, что каждый сотрудник организации тоже является важным компонентом защиты.

А ведь статистика говорит нам, что основным объектом атаки на организации и основным источником утечек является именно сотрудник. И многомиллионные инвестиции в программное обеспечение и оборудование не помогают организациям предотвращать утечки и потери данных.

Решение проблемы пришло из 80-х вместе с концепцией культуры производства. Ведь если сотрудники будут осознавать важность информационной безопасности, собственную роль в ее обеспечении, если требования из ограничений трансформируются в правильные паттерны поведения, то компании получат своего рода цифровой иммунитет от киберугроз. Да, как и любой другой иммунитет, он будет нуждаться в поддержке, а иногда понадобится и лечение, но совокупная выгода от синергии технических средств защиты и культуры кибербезопасности с лихвой перекроет вложенные усилия.

Культура ИБ строится на базовых элементах и принципах, которые приведены ниже.

Принцип общей ответственности

В большинстве организаций фокус ответственности за безопасность четко смещен в сторону отдела ИТ или, при его наличии, отдела ИБ. Для создания устойчивой культуры кибербезопасности необходимо, чтобы каждый сотрудник от генерального директора до уборщика служебных помещений осознавал свой вклад и ответственность за обеспечение защиты бизнес-процессов и активов компании.

Легкая доступность данных в Интернете отчасти порождает и небрежность по отношению к данным компании, и этот тренд должен быть изменен. Формально-декларативный подход тут неприменим, важны личный пример и работающие процессы. А значит, необходимо изменить восприятие информационной безопасности сотрудниками как неотъемлемого атрибута нормальной бизнес-деятельности наравне с пожарной, производственной и физической безопасностью.

Программа Security Awareness

Программа повышения осведомленности, с одной стороны, служит краеугольным камнем для внедрения культуры ИБ, а с другой – воспринимается многими компаниями как замена этой самой культуры.

Согласно исследованию Ponemon Institue, обучение сотрудников борьбе с фишинговыми сообщениями снижает процент открываемых писем на 22–99% (в среднем на 64%), что позволяет добиться чрезвычайно высокого коэффициента возврата инвестиций.

Крайне важно, чтобы программа повышения осведомленности не превратилась в формализм в виде инструктажа по вопросам ИБ с обязательной подписью в журнале. Творческий подход, юмор и элементы геймификации – вот ключевые факторы успеха Security Awareness. Хороший результат обучения дает на практике связь между корпоративной и личной безопасностью.

Люди хорошо запоминают истории и эмоции. На внутреннем тренинге по противодействию фишингу я подробно разбираю признаки поддельных писем, а затем прошу аудиторию уже самостоятельно распознать сообщения от мошенников из нескольких предложенных. Все примеры взяты из реальной жизни, но один из них неизменно вызывает отличную реакцию у сотрудников и стимулирует творческий подход. Это фишинговое письмо от имени одного из руководителей среднего звена, в котором присутствует несколько стандартных признаков мошеннического письма, но есть и один, который никто пока не распознал.

Письмо на английском. Но именно этот менеджер никогда не пишет письма на английском, о чем все в компании знают. И раскрытие столь очевидного признака неизменно вызывает улыбки слушателей и мою уверенность в том, что сотрудники не забудут обучение и, работая с электронной почтой, смогут распознавать даже небанальные попытки себя обмануть.

Плакаты, флайеры, рассылки сообщений по электронной почте, а также обучающие онлайн- и офлайн-курсы по-прежнему остаются обязательными атрибутами Security Awareness, но результат перечисленных мер во многом зависит от следующего компонента.

Мотивация сотрудников

Мотивация помогает закрепить правильные паттерны поведения и является ключевым элементом создания корпоративной культуры в области ИБ.

Материальная мотивация в виде премий, подарков, сувениров безусловно эффективна, особенно в краткосрочной перспективе, но не всегда приемлема для компании из-за потенциально высоких расходов на поддержание стимулов и низкой эффективности на длинной дистанции за счет так называемой гедонистической адаптации – психологического механизма привыкания к хорошему. Другими словами, через какое-то время люди перестают испытывать положительные эмоции от стимулирования.

Нематериальная мотивация сложнее в разработке и управлении, но позволяет достичь устойчивого долгосрочного эффекта. Возможности для обучения, самосовершенствования, сертификации, профессионального и даже карьерного роста – гораздо эффективнее для формирования культуры, нежели краткосрочные инвестиции в премии и подарки. Крупные технологические гиганты доказывают справедливость данного утверждения уже на протяжении десятилетий.

В частности, огромный пласт в работе подразделений ИТ и ИБ на предприятии занимают рутинные и откровенно скучные операции, что, разумеется, сказывается на мотивации персонала этих служб и может привести к увлечению новыми технологиями в ущерб качеству работы или повышению текучки квалифицированных кадров.

Задача менеджмента компании – создавать условия, при которых каждый сотрудник будет ощущать ценность выполняемой им работы и свой персональный вклад в безопасность и, как следствие, в успех компании, а также предоставлять реальные возможности для роста.

Реалистичные ожидания

Серебряной пули в области кибербезопасности не существует. Ни технические решения, ни культура ИБ не помогут свести количество инцидентов к нулю. Поэтому и руководство компании, и руководители служб ИТ/ИБ должны быть готовы к ошибкам персонала, успешным атакам и иметь четкий план реагирования на них.

Ни в коем случае не следует формировать систематический подход к наказаниям персонала за допущенные ошибки. Это приведет лишь к тому, что сотрудники будут скрывать инциденты и избегать ответственности, то есть формировать негативные паттерны поведения. Нужно воспринимать ошибки как возможности учиться, развивать системы защиты, вносить изменения в культуру и в конечном счете делать компанию лучше.

В общем, информационная безопасность — это сложный баланс между ограничениями, возможностями и экономической эффективностью.

Гибкость и готовность к изменениям

Постоянные изменения являются нормальным эволюционным процессом как для живых организмов, так и для компаний. Поэтому формируемая культура не должна быть догматичной и жесткой, она должна постоянно совершенствоваться, подстраиваясь под организационные и экосистемные преобразования.

Более того, любая система нуждается в потрясениях, конфликтах и инцидентах, чтобы становится сильнее. Известный американский математик и автор экономических бестселлеров Нассим Талеб назвал данную способность антихрупкостью. Она позволяет минимизировать потери от потенциально неизвестных угроз и, это ведь именно то, что бизнес ожидает от информационной безопасности, – устойчивость к неизвестному.

Сейчас мы наблюдаем, что методология гибкой разработки Agile перерождается в культуру корпоративного управления, причем не только для небольших компаний, но и для гигантских мультинациональных корпораций.

Основные принципы Agile – вовлеченность сотрудников и создание эффективных команд – отлично подходят для формирования культуры кибербезопасности. Основное достоинство Agile – гибкость адаптации под конкретный проект или компанию – позволяет на одних и тех же принципах строить как процесс разработки программного обеспечения, так и программу формирования культуры ИБ.

В частности, внедрение в командах разработки SDL (жизненного цикла безопасной разработки) впоследствии может быть экстраполировано и на остальные подразделениям компании, а сами члены таких команд могут выступить в роли проводников культуры безопасности.  

Соответствие бизнес-стратегии

Будущее информационной безопасности – в тесной интеграции во все критические бизнес-процессы организации и в предоставлении дополнительных конкурентных преимуществ на рынке. Поэтому организационная структура компании должна быть адаптирована под будущую эволюцию кибербезопасности.

В первую очередь такая адаптация требует более глубокой вовлеченности высшего менеджмента в вопросы управления информационной безопасностью как на стратегическом, так и на операционном уровне:

  • Продвижение менеджера/директора по ИБ в совет директоров или другой высший исполнительный орган компании.

  • Изменение подчиненности и контроля для служб ИТ и ИБ. Например, служба ИТ может уйти под контроль директора по ИБ или может произойти переход служб собственной, экономической и информационной безопасности под управление одного выделенного менеджера.

  • Формирование специального управляющего комитета или комиссии, в задачи которой входит анализ и управление интегрированными бизнес-рисками, включающими и риски кибербезопасности.

  • Внедрение мониторинга базовых показателей бизнес-процессов и контроль отклонений.

  • Регулярный пересмотр и синхронизация стратегических инициатив ИТ- и ИБ-служб с бизнес-целями.

  • Проведение внешний и внутренних аудитов.

Выводы

Создание и поддержание корпоративной культуры в области информационной безопасности не выглядит невероятно сложным проектом с точки зрения управления, не требует огромных финансовых инвестиций и гарантирует вполне предсказуемый результат. Почему же по всему миру компании до сих пор предпочитают инвестировать в технические средства защиты и почему человеческий фактор до сих пор остается основным источником киберинцидентов?

Причина кроется в первую очередь в недостатке лидерства у менеджмента разных уровней, что приводит к формализации целей и процессов внутри компаний, а также к уклонению от ответственности.

Инвестирование в технические средства защиты позволяет получить осязаемый материальный результат, который можно не только продемонстрировать, но и с его помощью получить огромное количество, как правило, малопонятных бизнесу отчетов. Такие инвестиции явно или неявно распределяют ответственность между вендором, интегратором, заказчиком и аутсорсером, а иногда и регулятором.

Развитие культуры требует больших усилий от руководителей, но позволяет им расти, учиться принимать и управлять ответственностью, что в конечном счете окупает вложения.

Глобально угрозы кибербезопасности можно воспринимать как инфекционные заболевания, которые человечество не может полностью победить, но способно предотвращать эпидемии и минимизировать ущерб.

Компаниям жизненно необходимо в ближайшее время начать работу по выработке цифрового иммунитета к угрозам из киберпространства, а также сформировать «аптечку» первой помощи с необходимым арсеналом «лекарств» и четким планом действий в случае инцидента.

Построение культуры ИБ играет ключевую роль в формировании устойчивости бизнеса и, как следствие, его антихрупкости и, что наиболее ценно, делает общую цифровую среду безопаснее для всех участников.

 

Киберугрозы Безопасность

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 10/2018], Подписка на журналы

Об авторах

Илья Борисов

Илья Борисов

Директор по ИБ «Thyssenkrupp Industrial Solutions»


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Десять лет назад мы говорили о будущем цифры и управления с Пеккой Вильякайненом - технологическим предпринимателем и опытным инноватором. То будущее, о котором мы говорили тогда, наступило. День за днем, со скоростью времени.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

ТехноКлуб «Дефицит чипов: как выжить в новой реальности?»
Зеленоград, конгресс-центр ОЭЗ «Технополис Москва»
Бесплатно
04.08.2021
10:30
У лояльных хмурый день светлей.
ОНЛАЙН
09.08.2021 — 10.08.2021
19:00
Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00