Безопасность — это больше, чем техническая проблема. Это также проблема, которая включает в себя наличие правильных людей для реализации и соблюдения правильных процессов.
Технологии безопасности компании должны облегчать жизнь людей — от топ-менеджеров до рядовых сотрудников — потому что все несут общую ответственность за безопасность. Многим ИТ-командам сложные и трудоемкие инструменты безопасности могут показаться непосильными, лишая их возможности использовать все функции, которые позволили бы им более эффективно управлять безопасностью.
Целенаправленное сотрудничество имеет основополагающее значение для обеспечения правильной безопасности. Чтобы создать это чувство общности, командам безопасности необходимо регулярно привлекать сотрудников, информировать руководство и демонстрировать организационную ценность.
Знай окружающую среду — цифровая и нормативная
Изменения в моделях рабочей силы и ожиданиях клиентов делают службы безопасности и все более важными для всех организаций.
Пользователи ожидают цифрового взаимодействия, но они также хотят, чтобы организации ограничивали сбор данных. Сегодня пользователи предъявляют более высокие требования к безопасности и конфиденциальности. Кроме того, когда компании не оправдывают этих ожиданий, клиенты готовы обратиться к конкурентам.
Во-вторых, все больше правительств принимают законы о конфиденциальности, непосредственно связанные с требованиями клиентов, а с момента вступления в силу Общего регламента по защите данных (GDPR) в 2018 году все больше законодательных органов приняли законы о конфиденциальности. Только в США в 2022 году как минимум еще четыре штата — Вирджиния, Колорадо, Юта и Коннектикут — примут новые законы о конфиденциальности.
Наконец, успешные киберпреступления легче совершить, чем ограбление банка, и они более прибыльны в финансовом отношении. Киберпреступники понимают это и используют бизнес-модель «программы-вымогатели как услуга» (RaaS). Это позволяет им зарабатывать больше денег, воруя и продавая данные или удерживая их с целью получения выкупа.
Понимание контекста
Сотрудничество начинается с обучения, которое выходит за рамки ежегодного обучения по вопросам безопасности. Точно так же, как люди знают, что они должны знать свое физическое окружение, они должны знать свое цифровое окружение. Лидеры службы безопасности должны мыслить нестандартно и работать над созданием более устойчивого подхода к безопасности и ситуационной осведомленности.
В кибербезопасности ситуационная осведомленность заключается в понимании обычных задач и повседневных рабочих процессов. Затем люди могут распознавать события, выходящие за рамки этой нормы. Работая на компьютере, читая электронную почту, разговаривая по телефону или общаясь лицом к лицу, люди должны быть осведомлены о своем цифровом окружении, чтобы распознавать подозрительные запросы и взаимодействия.
Как создать эффективную совместную программу кибербезопасности
Большинство действий в области кибербезопасности подпадают под категорию «легче сказать, чем сделать», но использование лучших методов построения команды упрощает эту задачу.
1. Понимать разные точки зрения
Первый шаг — задать эти два простых вопроса всем в организации:
Видите ли вы какие-либо риски, на которые компания не обращает внимания?
Как вы думаете, мы должны решить эти проблемы?
Первый вопрос дает представление о новых рисках, поскольку люди в разных ролях видят риск по-разному. Второй вопрос снижает риск, заставляя людей чувствовать себя ответственными за создание и соблюдение процессов.
2. Назначьте четкие обязанности
Людям необходимо знать, как организация определяет свою ответственность со следующих точек зрения:
Оперативность
Собственность (власть)
Соответствие
Безопасность
В зрелых компаниях эти роли и обязанности чаще всего четко определены. Организации должны создать такое распределение как можно скорее, потому что ожидание, пока компания «не станет достаточно большой, чтобы в этом нуждаться», приводит к технической ответственности.
3. Начните с важных команд
Организациям не нужно преобразовывать все сразу, потому что это может быть непосильной задачей. Легче начать с одной критической команды, чтобы:
Разработать четко определенные роли
Внедрить разделение обязанностей
Определить операционные и комплаенс-обязанности
4. Самооценка людей, процессов и средств контроля
Проводите регулярные самооценки, чтобы убедиться, что люди следуют процессам, и документально оформляйте соответствие требованиям внутреннего контроля.
Мониторинг доступа пользователей может выявить пробелы в процессах и потенциальные точки улучшения. Документация, например ведение журналов, доказывает, что средства контроля работают эффективно для группы соответствия.
5. Назначьте послов безопасности
Послы безопасности не должны быть техническими специалистами. Эти люди заботятся о безопасности и чувствуют ответственность за нее в своих командах, помогая выявлять риски и внедрять средства контроля. Затем ИТ-специалисты или специалисты по безопасности могут использовать технологии для документального подтверждения того, работают ли элементы управления.
Управление доступом является прекрасным примером этого. Руководители лучше всего понимают, какой доступ нужен их сотрудникам. Определения и решения не являются техническими.
Помните о человеческом элементе
Безопасность начинается с людей, и технологии должны эффективно их поддерживать. Начав с людей, специалисты по безопасности и ИТ-отделы обнаружат, что многие из развернутых в настоящее время инструментов дают им то, что нужно для создания совместной программы кибербезопасности.
Эта статья первоначально была опубликована в Today’s Cybersecurity Leader, ежемесячном информационном бюллетене по кибербезопасности для конечных пользователей, выпускаемом журналом Security.
Перевод статьи «The importance of the human element of security»