Что такое People-Centric Security и как это работает

Логотип компании
Что такое People-Centric Security и как это работает
Запрещать и останавливать бизнес-процессы безопасникам больше не разрешают. А риски остаются... Что же делать?

"Концепция People-Centric Security зародилась из-за того,

что бизнес запретил безопасности запрещать".

Антон Чувакин, компания Gartner

 

В последние время все больше специалистов по информационной безопасности стали разделять и применять в своей работе принципы концепции People-Centric Security (PCS), базовая идея которой предполагает смещение фокуса внимания с защиты информации (во всех ее видах) в сторону работы с людьми и созданию культуры информационной безопасности.

Почему «классические» подходы по защите информации уже не эффективны? Все просто: слишком быстро стала меняться среда бизнеса и, в частности, ландшафт ИТ. Безопасность опять начала опаздывать...

— У нас Agile! Побежали!

— Но постойте, у нас же есть требования к ИБ!

— Не мешайте нам делать бизнес!

— Но риски!

— Если мы не сделаем это прямо сейчас, то потеряем этот контракт/долю рынка/возможности. Вернемся к вашему вопросу [ИБ] позже...

Запрещать и останавливать бизнес-процессы безопасникам больше не разрешают. А риски остаются... Что же делать? Правильно. Обучать пользователей работать «безопасно». Причем не просто обучать, а создавать культуру ИБ, поощряющую правильную (безопасную) работу с информацией, ИС и сервисами. Именно на этом и строится концепция PCS. Давайте рассмотрим ее подробнее, для этого возьмем за основу следующую модель. См. рис 1.


Что такое People-Centric Security и как это работает. Рис. 1

Рисунок 1. Модель культуры ИБ

 Первое, что следует понять и принять, — то, что бизнес первичен, а ИБ должна ему помогать. Не запрещать, не навязывать свое мнение, а именно помогать и советовать. Поэтому сотрудников следует воспринимать именно в качестве ответственных людей, которые лучше безопасника знают, что нужно бизнесу, и имеют право делать свою работу именно так, как им кажется правильным, понимая и принимая возможные последствия для бизнеса.

Следующим важным элементом концепции PCS являются общие принципы, на которые имеет смысл ориентироваться:

1.   Поощрение позитивной культуры ИБ. Руководство организации поддерживает и своим примером показывает необходимость и ценность ИБ, культура ИБ поощряется и поддерживается всеми сотрудниками.

2.   Самостоятельное принятие решения. Сотрудники сами принимают решение о том, когда и как использовать информационные ресурсы организации, исходя из понимания принципов и рисков ИБ и задач бизнеса.

3.   Ответственное владение. У каждого информационного ресурса существует владелец, который и определяет правила работы с ним.

4.   Персональная ответственность. Сотрудники несут персональную ответственность за последствия своих действий.

5.   Мониторинг и обратная связь. Поведение сотрудников контролируется, все ошибки анализируются, и по ним дается обратная связь с целью их дальнейшего недопущения.

6.   Отсутствие злого умысла. Погрешности в работе персонала первоначально рассматриваются в качестве неумышленных ошибок, предполагающих объяснения и обучение. Но если потребуется наказание, то оно будет обоснованным и неминуемым.

7.   Адекватный контроль. Меры контроля выбираются с учетом возможных рисков и соизмеримы с ними.

Принятие этих принципов заложит прочную основу для изменения подходов к обеспечению информационной безопасности в организациях, выбравших для себя путь PCS.

Третье — необходимо обучать сотрудников и повышать их осведомленность в области информационной безопасности. Да, задача вполне стандартная для ИБ, но надо понимать, что в концепции PCS сотрудникам дается больше прав и свобод в отношении работы с информацией, ИС и сервисами, а значит, уровень «цифровой гигиены» в компании должен быть очень высоким. Сотрудники должны понимать, как безопасно работать с информацией, какие существуют угрозы и риски, куда обращаться в случае инцидентов ИБ и многое другое. По сути, сотрудники подразделения ИБ должны стать доверенными советниками бизнеса.

Читайте также
Круглый стол «Цифровая деградация», организованный в рамках форума «ИТ Диалог 2024» стал местом честного разговора о том, как выживать в мире, где взломы — это вопрос времени. Участники обсуждали, что важнее: безопасность или удобство, когда стоит заменять иностранные решения на российские, а когда лучше подождать, и кто в итоге отвечает, если что-то пошло не так. Были примеры из реальной жизни, споры о том, кто должен делить ответственность, и даже немного философии. Вопросов оказалось больше, чем ответов, но одно ясно точно: безопасникам приходится лавировать между сложными решениями и высокой ответственностью каждый день.

Для начала необходимо определить базовые рекомендации по ИБ и критерии «хорошего» и «плохого» поведения, обсудить их с ключевыми заинтересованными лицами —– владельцами информационных ресурсов, и при необходимости скорректировать правила. На основании этого в дальнейшем будут формироваться учебные материалы. Полезно помнить, что для эффективности последующего обучения предоставляемая информация должна отвечать следующим критериям: актуальность и польза; целесообразность, доступность и удобство восприятия; обоснованность, прозрачность и достаточность.

Наконец, требуется обеспечить мониторинг поведения пользователей. Для этого вполне подойдут стандартные средства, такие как DLP, SIEM, и другие продвинутые системы мониторинга. Хорошей практикой является настройка подобных систем на автоматическое оповещение самих пользователей в случае выявления небезопасного поведения. Например, можно настроить DLP-систему на временную блокировку передачи сообщений, содержащих конфиденциальную информацию, оповещение отправителя «а вы точно хотите переслать такую информацию» с возможностью подтвердить отправку.

Это, пожалуй, основные идеи концепции PCS. Подытожим их короткой таблицей-сравнением «классического» подхода к информационной безопасности (Data-Centric Security) и подхода People-Centric Security. Какого подхода придерживаться? Выбирать вам.

 

 

DCS

PCS

Фокус внимания

Информация

Люди

Главная идея ИБ

Защита информации

Создание позитивной культуры ИБ

Разрешенное поведение

Запрещено все, что не разрешено

Разрешено все, но правильно (безопасно), вот так

Кто прав?

ИБ лучше знает, как надо

Бизнес лучше знает, как надо

Принятие ответственности

Сотрудники должны...

Сотрудникам объясняют, но решение за ними

Документы

Требования и регламенты

Рекомендации, памятки, учебные материалы

Восприятие сотрудниками

ИБ — карающий контролер

ИБ — доверенный советник

Режимы СЗИ

DLP в режиме блокировки

DLP в режиме мониторинга/отправка по требованию

 

Опубликовано 29.12.2017

Похожие статьи