Очень важно, чтобы ваши сотрудники осознавали проблемы информационной безопасности. В связи с этим возрастает роль инструментов обеспечения безопасности, которые предоставляются самим сотрудникам. Сегодня многие исследователи указывают на то, что самая большая причина нарушений и инцидентов безопасности. Последние данные Международной ассоциации специалистов по конфиденциальности (International Association of Privacy Professionals — IAPP) показывают, что наиболее распространенными причинами несанкционированного доступа к конфиденциальным данным являются непреднамеренные ошибки.
Программы Security Awareness могут минимизировать риск ошибок пользователя. По данным Института InfoSec , 50 процентов интернет-пользователей получают как минимум одно фишинговое письмо в день. В одном исследовании, процитированном Институтом InfoSec, около 26-45% сотрудников были подвержены фишингу. Благодаря внедрению программы обеспечения безопасности этот процент снизился на 75 процентов.
Отчет, недавно выпущенный Sans показывает, что в то время, как в целом это поле еще достаточно незрелое, несколько положительных успехов были достигнуты в последние годы. Из ответов 1718 специалистов по вопросам безопасности во всем мире 67 процентов имеют поддержку руководства, которая им необходима для запуска и поддержки своих программ. И 85 процентов сообщают, что их работа оказывает положительное влияние на безопасность их организации.
Тем не менее, в докладе также указывается, что существует несколько факторов, препятствующих зрелости программы повышения осведомленности. Эти так называемые «блокировщики» — то, что удерживает компании от надежной программы, чтобы держать пользователей в курсе текущих и возникающих угроз.
Что встает на пути осознания?
Согласно SANS, это некоторые из факторов, сдерживающих осведомленность.
Стоимость
Конечно, недостаток финансирования является проблемой не только для осведомленности о безопасности, но и для программ безопасности в целом. Чтобы обосновать необходимость инвестиций в программу повышения осведомленности о безопасности, менеджеры по безопасности должны тщательно продумать, что важно для рентабельности инвестиций для их конкретной организации, и найти способ обосновать это.
«Специалистам, занимающимся вопросами безопасности, необходимо лучше справляться с этими расходами, демонстрируя не только их воздействие, но и ценность этого воздействия для всей организации и ее миссии», — отмечается в докладе. «Это может включать анализ затрат в связи с прошлыми нарушениями, издержками несоблюдения нормативных требований и требованиями к затратам из-за требований безопасности любого партнера или клиента».
Операции
Поскольку они могут влиять на операции, информационные программы должны быть упрощенными, чтобы минимизировать сбои. Они могут включать затраты на потерянное время, политику обязательных программ обучения и сложность, связанную с работой самих программ, согласно SANS.
«Чтобы решить типичные проблемы, связанные с эксплуатационными расходами и сбоями, необходимо рассмотреть два действия», — отмечается в отчете. «Во-первых, упростите программы информирования, где это возможно, чтобы минимизировать операционное воздействие на организацию. Это включает в себя минимизацию тем, на которых вы сосредоточены, которые оказывают наибольшее влияние. Во-вторых, привлеките оперативную группу с самого начала процесса планирования и рассмотрите возможность добавления их в свой консультативный совет».
Время
В докладе указывается, что нехватка персонала является проблемой № 1, с которой сталкиваются организации, осуществляющие программы повышения осведомленности. Более 80 процентов респондентов сообщили, что тратят менее половины своего времени на программы повышения осведомленности, и большинство организаций относят осведомленность о безопасности к работе неполный рабочий день. В отчете говорится, что осведомленность явно не имеет приоритета по сравнению с другими традиционными ролями безопасности, такими как реагирование на инциденты, операционные центры безопасности и безопасность конечных точек.
«Учитывая общее увеличение числа инцидентов безопасности, связанных с человеческими ошибками, тенденция к недоукомплектованным программам повышения осведомленности о безопасности особенно актуальна», — отмечают авторы доклада.
Недопонимание
Если компании достаточно повезло, что она не столкнулась с нарушением или инцидентом (пока), может возникнуть явное отсутствие понимания необходимости просвещения для повышения осведомленности. В отчете предлагается использовать внутренние инциденты и известные события, близкие к промахам, с человеческим компонентом, чтобы донести до людей идею о необходимости обучения осведомленности.
«Вы можете использовать их в качестве обучающего момента, чтобы показать, как базовые учебные программы по повышению осведомленности о кибербезопасности могут помочь смягчить проблемы и необходимы для устранения пробелов, которые не могут обеспечить технологии безопасности», — отмечают авторы доклада.
Отсутствие убедительных метрик
Даже при наличии инвестиций в программу, если группа по информированию не сможет предложить примеры того, как помогает обучение, программа остановится. В докладе предлагается, чтобы менеджеры по повышению осведомленности ежемесячно выделяли определенное количество времени для сбора и общения с руководством о влиянии / значении программы по повышению осведомленности.
«Хорошая отправная точка — 4 часа в месяц. Это не значит, что вы проводите 4 часа каждый месяц, разговаривая с руководством. Это означает, что вы тратите 4 часа в месяц на сбор данных и историй успеха, демонстрирующих влияние вашей программы, на составление исполнительного отчета или презентации, которые в деловом плане отражают ваши лидеры и то, что делает ваша программа».
Недостаток лидерства
Без поддержки со стороны ключевого руководства программа информирования находится в опасности. Как отмечается в отчете, распределение ресурсов, обеспечение выполнения программ, определение ключевых программных целей и общих программ повышения осведомленности — все это зависит от поддержки со стороны высшего руководства. Данные показывают четкую корреляцию между поддержкой руководства и зрелостью программы.
При работе с руководителем, который является «блокировщиком», в отчете рекомендуется включить в должность руководителя, который является чемпионом программы, и посмотреть, есть ли у них какие-либо предложения о том, как донести ценность осведомленности о безопасности до других руководителей.
«В конечном итоге, чем больше поддержки, оказываемой программой информирования сверху вниз, тем выше вероятность того, что она сможет предложить последовательные изменения культуры», — отмечается в докладе.