Текущая пандемия Covid-19 продолжает влиять на многие компании не только с экономической точки зрения, но и с точки зрения управления рисками. По мере увеличения числа сотрудников, работающих удаленно, методы обеспечения безопасности тоже развиваются, чтобы устранить попытки злоумышленников манипулировать «новой средой». Внутренняя угроза сохраняется как в офисе, так и в удаленной рабочей среде, и руководство должно иметь возможность обеспечить более эффективные меры безопасности для снижения потенциальных угроз. Улучшение знаний и понимания сотрудников должно заключаться, прежде всего, в реализации эффективной стратегии снижения рисков.
Внимание к инсайдерским угрозам
Сегодня основное внимание кибербезопасности остается на внутренних угрозах, что справедливо в большинстве случаев. Однако важно понимать, что внутренняя угроза также состоит из фактических элементов, таких как насилие на рабочем месте, домогательства и кража материальных продуктов или конфиденциальной информации – и все это происходит за пределами киберсреды.
Компании и частные лица в 2021 году будут связаны с помощью множества технологических устройств и платформ, которые призваны повысить эффективность и положительно повлиять на чистую прибыль. Последствия утечки данных хорошо известны, поскольку каждая компания подвержена как преднамеренным, так и непреднамеренным угрозам. Таким образом, методы обучения и повышения осведомленности сосредоточены преимущественно на обеспечении того, чтобы: сотрудники открывали электронные письма только из надежных источников, воздерживались от загрузки неавторизованных приложений и следовали установленным протоколам безопасности. Однако обычные методы обучения не позволяют эффектвно устранять потенциальную внутреннюю угрозу в организации, особенно при удаленной работе. Таким образом, остается проблема: как вовлечь сотрудников?
Препятствия
Прежде чем определять способы повышения компетенции сотрудников в сфере кибербезопасности, важно сначала определить некоторые препятствия на пути. Конечно, очевидной проблемой, начиная с 2020 года и по сегодня, является увеличение числа сотрудников, работающих на дому. Возможность «распознать» ненадлежащее поведение или проступки сотрудников резко изменилась в физической среде. Таким образом, киберсреда стала основным полем битвы против цифровых краж. Однако даже физическая среда изменилась из-за меньших возможностей для сотрудников, работников службы безопасности, руководства распознать угрозы. По сути, социальное дистанцирование могло помочь доверенному персоналу в их преступной деятельности из-за того, что уменьшилась вероятность наблюдения за ними.
В частности, человеческое поведение — самое сложное препятствие, которое нужно преодолеть, в надежде увеличить участие персонала в обеспечении безопасности. На самом деле большинство людей не хотят с этим иметь дело. Помните, что «стукачей» никто не любит, и это сдерживает от докладов руководству. В небольших компаниях и сплоченных организациях страх подставить коллегу — сильное чувство, которое трудно преодолеть. Таким образом, человеческое поведение, находящееся на другом конце спектра апатии только усугубляет препятствие. К тому же, в каждой компании найдутся те, кто считает, что это не их работа и, соответственно, не их забота, либо они просто не верят, что такое может когда-либо случиться с ними и в этой компании. Ложное чувство безопасности представляет собой серьезный риск, и руководство может стать жертвой этого убеждения.
Методы воздействия
Повышение осведомленности о безопасности и вовлеченности сотрудников в надежде выявить инсайдерские угрозы и отреагировать на них требует гораздо большего, чем пустые слова и угрозы. Внутреннюю угрозу действительно сложно обнаружить, особенно в зависимости от типа деятельности или поведения. Независимо от того, влияет ли инсайдерская угроза на материальные вещи, клиентов и прибыль или угрожает конфиденциальной информации или даже физическому благополучию человека, ключевым моментом является выявление соответствующего поведения. Однако такое поведение не ограничивается только инсайдером, оно также связано с поведением руководства, направленным на повышение осведомленности и вовлеченности.
Во-первых, необходимо проинформировать сотрудников и других акционеров, если это необходимо, о том, что является подозрительным поведением. Должны ли сотрудники сообщать, когда обнаруживается, что другой сотрудник просматривает файлы за пределами своего отдела? Разрешена ли загрузка конфиденциальных документов на промежуточные устройства? Разрешено ли сотрудникам забрать утилизированный продукт или материалы домой для личного пользования? Являются ли какие-либо из этих, или подобных действий подозрительным поведением? Руководству следует регулярно проводить такие обсуждения, а не просто повторять одно и то же сообщение каждый год во время обучения.
Во-вторых, чтобы помочь преодолеть врожденную апатию, руководство должно определить, как неправомерное поведение, и особенно инсайдерская угроза, влияет не только на компанию, но и на сотрудников. Если большинство сотрудников считают, что они пришли за зарплатой, покажите сотруднику, как воровство влияет на их заработную плату и льготы. Убедитесь, что объяснение последствий включает заявление о том, что ущерб репутации компании часто является более серьезным, чем фактическая потеря долларов.
Когда сотрудники чувствуют, что они здесь только ради зарплаты, перед менеджментом возникает серьезная проблема. Руководство должно задавать тон уровню терпимости в компании, устанавливая, что разрешено, а что нет. Ведь самый эффективный подход — это предотвратить любые кражи, угрозы или неправомерные действия. Отдел кадров и юридический отдел крайне важны для обеспечения соблюдения прав сотрудников и должны участвовать в разработке стандартов компании. Чтобы побудить сотрудников сообщать о внутренних угрозах или ненадлежащем поведении, руководство должно создать механизм для сообщения о нарушениях, который служит для защиты сотрудника. Использование третьей стороны для обработки жалоб по вопросам этики может помочь снять обеспокоенность сотрудников в отношении потенциального раскрытия информации и личных данных.
Для сотрудников важнее всего то, что руководство должно формировать культуру и подавать пример. Каждый новый сотрудник, проработавший 20 лет, хочет, чтобы его ценили, а это способствует чувству значимости у сотрудников. Руководство должно продемонстрировать искреннюю признательность работникам на всех уровнях. Апатия сотрудников растет, когда их просят что-то сделать, в то время как руководство поступает иначе. Если руководство хочет, чтобы сотрудники были должным образом привлечены к отслеживанию инсайдерских угрозы, установите соответствующую культуру сверху донизу.
Заключение
Угроза со стороны инсайдеров реальна, и руководитель службы безопасности и каждая компания должны серьезно отнестись к ней. Угрозы могут проявляться по-разному: от недовольного сотрудника, крадущего товар, до чрезмерно агрессивного товарища или человека, работающего на иностранное правительство. Наибольшие ресурсы руководства для выявления поведения, указывающего на угрозу, — это другие сотрудники. Однако, для того, чтобы сотрудники относились серьезно к обучению правилам безопасности, руководство должно обеспечить рабочую среду, способствующую этому.
Сотрудники слишком часто не обращают внимания на тренинги по вопросам безопасности, потому что руководство не смогло добиться их вовлеченности. Таким образом, приняв соответствующие меры для обеспечения безопасности, руководители смогут сделать своих сотрудников конечным множителем силы для предотвращения инсайдерских угрозы.
Перевод статьи Improving insider threat awareness