Предотвращаем эпидемию, минимизируем ущерб
Компании инвестируют миллионы долларов в межсетевые экраны, криптографию и средства контроля доступа – это всё пустая трата денег. Ни одна из этих мер не защищает самое слабое звено в цепи кибербезопасности.
Кевин Митник
При обсуждении вопросов информационной безопасности в подавляющем большинстве случаев речь идет об антивирусах, межсетевых экранах, системах обнаружения вторжений, аналитических продуктах, системах машинного обучения, сертификациях и прочих технических аспектах защиты. И удивительно редко звучит мысль о том, что каждый сотрудник организации тоже является важным компонентом защиты.
А ведь статистика говорит нам, что основным объектом атаки на организации и основным источником утечек является именно сотрудник. И многомиллионные инвестиции в программное обеспечение и оборудование не помогают организациям предотвращать утечки и потери данных.
Решение проблемы пришло из 80-х вместе с концепцией культуры производства. Ведь если сотрудники будут осознавать важность информационной безопасности, собственную роль в ее обеспечении, если требования из ограничений трансформируются в правильные паттерны поведения, то компании получат своего рода цифровой иммунитет от киберугроз. Да, как и любой другой иммунитет, он будет нуждаться в поддержке, а иногда понадобится и лечение, но совокупная выгода от синергии технических средств защиты и культуры кибербезопасности с лихвой перекроет вложенные усилия.
Культура ИБ строится на базовых элементах и принципах, которые приведены ниже.
Принцип общей ответственности
В большинстве организаций фокус ответственности за безопасность четко смещен в сторону отдела ИТ или, при его наличии, отдела ИБ. Для создания устойчивой культуры кибербезопасности необходимо, чтобы каждый сотрудник от генерального директора до уборщика служебных помещений осознавал свой вклад и ответственность за обеспечение защиты бизнес-процессов и активов компании.
Легкая доступность данных в Интернете отчасти порождает и небрежность по отношению к данным компании, и этот тренд должен быть изменен. Формально-декларативный подход тут неприменим, важны личный пример и работающие процессы. А значит, необходимо изменить восприятие информационной безопасности сотрудниками как неотъемлемого атрибута нормальной бизнес-деятельности наравне с пожарной, производственной и физической безопасностью.
Программа Security Awareness
Программа повышения осведомленности, с одной стороны, служит краеугольным камнем для внедрения культуры ИБ, а с другой – воспринимается многими компаниями как замена этой самой культуры.
Согласно исследованию Ponemon Institue, обучение сотрудников борьбе с фишинговыми сообщениями снижает процент открываемых писем на 22–99% (в среднем на 64%), что позволяет добиться чрезвычайно высокого коэффициента возврата инвестиций.
Крайне важно, чтобы программа повышения осведомленности не превратилась в формализм в виде инструктажа по вопросам ИБ с обязательной подписью в журнале. Творческий подход, юмор и элементы геймификации – вот ключевые факторы успеха Security Awareness. Хороший результат обучения дает на практике связь между корпоративной и личной безопасностью.
Люди хорошо запоминают истории и эмоции. На внутреннем тренинге по противодействию фишингу я подробно разбираю признаки поддельных писем, а затем прошу аудиторию уже самостоятельно распознать сообщения от мошенников из нескольких предложенных. Все примеры взяты из реальной жизни, но один из них неизменно вызывает отличную реакцию у сотрудников и стимулирует творческий подход. Это фишинговое письмо от имени одного из руководителей среднего звена, в котором присутствует несколько стандартных признаков мошеннического письма, но есть и один, который никто пока не распознал.
Письмо на английском. Но именно этот менеджер никогда не пишет письма на английском, о чем все в компании знают. И раскрытие столь очевидного признака неизменно вызывает улыбки слушателей и мою уверенность в том, что сотрудники не забудут обучение и, работая с электронной почтой, смогут распознавать даже небанальные попытки себя обмануть.
Плакаты, флайеры, рассылки сообщений по электронной почте, а также обучающие онлайн- и офлайн-курсы по-прежнему остаются обязательными атрибутами Security Awareness, но результат перечисленных мер во многом зависит от следующего компонента.
Мотивация сотрудников
Мотивация помогает закрепить правильные паттерны поведения и является ключевым элементом создания корпоративной культуры в области ИБ.
Материальная мотивация в виде премий, подарков, сувениров безусловно эффективна, особенно в краткосрочной перспективе, но не всегда приемлема для компании из-за потенциально высоких расходов на поддержание стимулов и низкой эффективности на длинной дистанции за счет так называемой гедонистической адаптации – психологического механизма привыкания к хорошему. Другими словами, через какое-то время люди перестают испытывать положительные эмоции от стимулирования.
Нематериальная мотивация сложнее в разработке и управлении, но позволяет достичь устойчивого долгосрочного эффекта. Возможности для обучения, самосовершенствования, сертификации, профессионального и даже карьерного роста – гораздо эффективнее для формирования культуры, нежели краткосрочные инвестиции в премии и подарки. Крупные технологические гиганты доказывают справедливость данного утверждения уже на протяжении десятилетий.
В частности, огромный пласт в работе подразделений ИТ и ИБ на предприятии занимают рутинные и откровенно скучные операции, что, разумеется, сказывается на мотивации персонала этих служб и может привести к увлечению новыми технологиями в ущерб качеству работы или повышению текучки квалифицированных кадров.
Задача менеджмента компании – создавать условия, при которых каждый сотрудник будет ощущать ценность выполняемой им работы и свой персональный вклад в безопасность и, как следствие, в успех компании, а также предоставлять реальные возможности для роста.
Реалистичные ожидания
Серебряной пули в области кибербезопасности не существует. Ни технические решения, ни культура ИБ не помогут свести количество инцидентов к нулю. Поэтому и руководство компании, и руководители служб ИТ/ИБ должны быть готовы к ошибкам персонала, успешным атакам и иметь четкий план реагирования на них.
Ни в коем случае не следует формировать систематический подход к наказаниям персонала за допущенные ошибки. Это приведет лишь к тому, что сотрудники будут скрывать инциденты и избегать ответственности, то есть формировать негативные паттерны поведения. Нужно воспринимать ошибки как возможности учиться, развивать системы защиты, вносить изменения в культуру и в конечном счете делать компанию лучше.
В общем, информационная безопасность — это сложный баланс между ограничениями, возможностями и экономической эффективностью.
Гибкость и готовность к изменениям
Постоянные изменения являются нормальным эволюционным процессом как для живых организмов, так и для компаний. Поэтому формируемая культура не должна быть догматичной и жесткой, она должна постоянно совершенствоваться, подстраиваясь под организационные и экосистемные преобразования.
Более того, любая система нуждается в потрясениях, конфликтах и инцидентах, чтобы становится сильнее. Известный американский математик и автор экономических бестселлеров Нассим Талеб назвал данную способность антихрупкостью. Она позволяет минимизировать потери от потенциально неизвестных угроз и, это ведь именно то, что бизнес ожидает от информационной безопасности, – устойчивость к неизвестному.
Сейчас мы наблюдаем, что методология гибкой разработки Agile перерождается в культуру корпоративного управления, причем не только для небольших компаний, но и для гигантских мультинациональных корпораций.
Основные принципы Agile – вовлеченность сотрудников и создание эффективных команд – отлично подходят для формирования культуры кибербезопасности. Основное достоинство Agile – гибкость адаптации под конкретный проект или компанию – позволяет на одних и тех же принципах строить как процесс разработки программного обеспечения, так и программу формирования культуры ИБ.
В частности, внедрение в командах разработки SDL (жизненного цикла безопасной разработки) впоследствии может быть экстраполировано и на остальные подразделениям компании, а сами члены таких команд могут выступить в роли проводников культуры безопасности.
Соответствие бизнес-стратегии
Будущее информационной безопасности – в тесной интеграции во все критические бизнес-процессы организации и в предоставлении дополнительных конкурентных преимуществ на рынке. Поэтому организационная структура компании должна быть адаптирована под будущую эволюцию кибербезопасности.
В первую очередь такая адаптация требует более глубокой вовлеченности высшего менеджмента в вопросы управления информационной безопасностью как на стратегическом, так и на операционном уровне:
-
Продвижение менеджера/директора по ИБ в совет директоров или другой высший исполнительный орган компании.
-
Изменение подчиненности и контроля для служб ИТ и ИБ. Например, служба ИТ может уйти под контроль директора по ИБ или может произойти переход служб собственной, экономической и информационной безопасности под управление одного выделенного менеджера.
-
Формирование специального управляющего комитета или комиссии, в задачи которой входит анализ и управление интегрированными бизнес-рисками, включающими и риски кибербезопасности.
-
Внедрение мониторинга базовых показателей бизнес-процессов и контроль отклонений.
-
Регулярный пересмотр и синхронизация стратегических инициатив ИТ- и ИБ-служб с бизнес-целями.
-
Проведение внешний и внутренних аудитов.
Выводы
Создание и поддержание корпоративной культуры в области информационной безопасности не выглядит невероятно сложным проектом с точки зрения управления, не требует огромных финансовых инвестиций и гарантирует вполне предсказуемый результат. Почему же по всему миру компании до сих пор предпочитают инвестировать в технические средства защиты и почему человеческий фактор до сих пор остается основным источником киберинцидентов?
Причина кроется в первую очередь в недостатке лидерства у менеджмента разных уровней, что приводит к формализации целей и процессов внутри компаний, а также к уклонению от ответственности.
Инвестирование в технические средства защиты позволяет получить осязаемый материальный результат, который можно не только продемонстрировать, но и с его помощью получить огромное количество, как правило, малопонятных бизнесу отчетов. Такие инвестиции явно или неявно распределяют ответственность между вендором, интегратором, заказчиком и аутсорсером, а иногда и регулятором.
Развитие культуры требует больших усилий от руководителей, но позволяет им расти, учиться принимать и управлять ответственностью, что в конечном счете окупает вложения.
Глобально угрозы кибербезопасности можно воспринимать как инфекционные заболевания, которые человечество не может полностью победить, но способно предотвращать эпидемии и минимизировать ущерб.
Компаниям жизненно необходимо в ближайшее время начать работу по выработке цифрового иммунитета к угрозам из киберпространства, а также сформировать «аптечку» первой помощи с необходимым арсеналом «лекарств» и четким планом действий в случае инцидента.
Построение культуры ИБ играет ключевую роль в формировании устойчивости бизнеса и, как следствие, его антихрупкости и, что наиболее ценно, делает общую цифровую среду безопаснее для всех участников.
Опубликовано 28.10.2018