Поиск по сайту:

Почему ваши сотрудники являются слабым звеном вашей кибербезопасности

Весь ваш персонал находится на передовой, когда речь идет о кибербезопасности. Именно они охраняют валы, поэтому очень важно, чтобы они были способны и хотели. Им нужны знания, вам нужна их поддержка.

Самое слабое звено?

Ваша рабочая сила, конечно, не одинока. Вы определите и инвестируете в соответствующие технологии, как аппаратные, так и программные, в соответствии с оценкой угроз вашей организации и ее склонностью к риску. Вы внедрите соответствующие политики и процедуры для обеспечения управления, контроля и руководства.

Конечно, внедрение и поддержание этих мер зависит от ваших сотрудников, а ваши сотрудники также являются повседневными пользователями ваших ИТ-систем. Так что независимо от того, разрабатываются ли эти системы, устанавливаются, обслуживаются или используются, все зависит от людей. Нельзя убрать человеческий фактор.

Вот почему важно, чтобы каждый пользователь компьютера в вашей организации поддерживал то, чего вы пытаетесь достичь, понимал, почему вы это делаете и как это влияет на них. Это означает, что они должны понимать, что они должны и не должны делать, и, что более важно, понимать, почему.

Ваша защита так же сильна, как и ваш самый слабый сотрудник. Самый слабый может означать, что они не понимают, и поэтому совершают ошибку. Это может означать, что они не подписываются на всю сделку по кибербезопасности и рассматривают ее как еще одно бремя, возложенное на них — еще больше бюрократии и ответственности. Так что они либо игнорируют это, либо срезают углы и сознательно нарушают правила.

Во всех цепях есть самое слабое звено. Но самое слабое звено в цепочке премиум-класса, скорее всего, окажется сильнее всех звеньев в цепочке низкого качества. Почему ваши сотрудники являются самым слабым звеном в вашей кибербезопасности?

Потому что вы не превратили их в свой главный актив безопасности.

Святой Грааль вовлечения персонала

Святой Грааль — это сотрудники, ориентированные на безопасность, которые следуют лучшим практикам, руководствуются осознанным здравым смыслом и прилежны, но не параноики. Приблизиться к этому может показаться само определение тяжелой борьбы.

Люди не любят перемен. Будет отпор. Что ты можешь сделать? Повторяющееся нытье в конечном итоге становится фоновым шумом. Принятие карательного подхода или связывание незначительных проступков с дисциплинарной процедурой в лучшем случае оттолкнет людей, а в худшем может заставить их отказаться от инструментов.

Но это неизбежно. Если ваша организация собирается быть защищенной от киберпреступности, вам нужно, чтобы все действовали в одном направлении и делали это добровольно.

Эти восемь пунктов помогут вам наметить путь к вовлечению персонала.

Один: поделиться информацией

Никто не пытается сказать, что кибербезопасность — это просто. Напротив, он может быть сложным. Но не держите своих сотрудников в неведении. Вам не нужно подробно рассказывать им о технических причинах, по которым вы выбрали тот или иной подход. Но скажите им, в чем заключаются угрозы. Внушите им, что эти угрозы реальны и потенциально катастрофичны. Объясните, что организация сделала для противодействия угрозам, и подробно опишите, что от них ожидается.

Понимают ли ваши сотрудники, что они играют жизненно важную роль в обеспечении безопасности и несут ответственность при использовании ИТ-услуг организации? Это точно так же, как если бы они пользовались служебным автомобилем. Они должны использовать его правильно — в соответствии с правилами дорожного движения — и относиться к нему с уважением. Они несут ответственность за это, пока они его используют. То же самое касается вашей сети и ваших данных. И если ваша организация поражена программой-вымогателем и не может торговать, страдают все.

Если вас не устраивает предмет, подумайте о том, чтобы передать его на аутсорсинг специализированной фирме. Привлечение внешнего опыта демонстрирует вашу приверженность кибербезопасности и серьезность, с которой вы относитесь к правильным действиям. Это также дает вам возможность извлечь выгоду из независимой точки зрения.

Второе: бизнес-данные включают персональные данные

Когда люди заняты, они сосредоточены на том, что им нужно сделать, чтобы закончить задачу, над которой они работают. Трудно беспокоиться о более широкой картине, когда вы находитесь на марше смерти к крайнему сроку. Но если что-то касается их лично, они будут помнить об этом.

Ваша организация хранит личные данные о каждом сотруднике, поэтому на карту поставлены не только данные компании. Киберпреступники интересуются персональными данными сотрудников не меньше, чем информацией о компании.

Личные данные сотрудника защищены мерами, принятыми организацией, и готовностью их коллег следовать процедурам. Каждый из них должен прикрывать друг друга.

Третье: показать, что исключений не бывает

Все нуждаются в обучении осведомленности о кибербезопасности, и все должны придерживаться политик и процедур. У вас не может быть наземной смены или изменения культуры, если это относится только к определенным отделам или командам, или если некоторые старшие уровни считают, что они освобождены.

Точно так же все в организации должны пройти одни и те же процессы внедрения политики и развертывания процедур. Знание того, что на верхних уровнях осуществляется одинаковое управление ИТ и безопасностью, уравняет правила игры в глазах сотрудников. И высшее руководство должно знать, из чего состоит обучение персонала. Они должны знать, что это эффективно, хорошо поставлено, уместно и касается всех, включая их самих.

Подумайте о том, чтобы провести короткий тест в конце занятий, перед окончательными вопросами и ответами. Это не только привлечет внимание аудитории, но и предоставит некоторые показатели для оценок. Если конкретный раздел, как правило, имеет низкую оценку, эта часть сеанса может потребовать некоторой доработки, чтобы донести сообщение.

Четвертое: создание доступных политик и процедур

Вы не можете ожидать, что люди будут вести себя правильно, если вы не даете им понять, что приемлемо в первую очередь. Таким образом, программные документы должны быть написаны так, чтобы четко сообщать, что требуется от всего персонала. Четкие, прямые и ясно сформулированные документы являются лучшими. Не пытайтесь сделать их впечатляющими, стремитесь сделать их доступными и однозначными.

Как правило, вам потребуются документы, которые взаимодействуют друг с другом для обеспечения всеобъемлющей структуры управления ИТ, включая политику безопасности, процедуру ИТ-инцидентов, процедуру утечки данных, политику допустимого использования, политику паролей и, возможно, процедуры и документы, соответствующие местному законодательству. например, Общие положения о защите данных (GDPR) или Калифорнийский закон о конфиденциальности потребителей (CCPA). Ваши документы могут иметь разные названия, но они должны касаться этих тем.

Будет гораздо больше оперативных процедур, которые контролируют действия, такие как развертывание исправлений безопасности; графики резервного копирования, включая тестирование; и новые стартовые, смены ролей и процедуры ухода. Они зависят от команды и отдела. Если вы не в ИТ, вы не будете готовить учетные записи для новых пользователей, но каждый новый пользователь или изменение роли должны создаваться в соответствии с процедурой.

Пятое: все начинается в первый день

Новые стартеры пройдут процесс индукции. В рамках этого вводного курса необходимо решить вопросы защиты данных и кибербезопасности. Это ваш шанс убедить новых и полных энтузиазма сотрудников, что именно так вы здесь и делаете. Не давайте им времени на приобретение вредных привычек и воспользуйтесь возможностью, чтобы избавиться от любых вредных привычек, которые они приносят с собой.

Не разрывайте его как можно быстрее. Это не упражнение для галочки. Срезание углов здесь заставит вашего новичка думать, что это не важно; это просто бумажная работа. Но если все сделано правильно, это приведет к тому, что ваш новый стартер попадет в лоно с правильным отношением.

Возможно, вы сможете открыть его для более широкой аудитории и использовать для повышения осведомленности о кибербезопасности для тех, кто в последнее время не совершал пополнения счета. Наличие большего количества людей в комнате, чем только новички, подтверждает, что кибербезопасность — это не то, что упоминается в первую неделю работы, а затем игнорируется.

Попросите их подписать, что они понимают, что от них требуется, и что они будут соблюдать ваши правила.

Шесть: сделайте это регулярным

Ведите учет обучения персонала по вопросам кибербезопасности и следите за тем, чтобы все проходили его. Затем повторяйте это, как минимум, ежегодно.

Сделайте защиту данных и кибербезопасность постоянным пунктом повестки дня на собраниях руководства и совета директоров. Это не дополнение к ИТ, это отдельный набор мер по снижению рисков. Точно так же, как у вас есть спринклеры, противопожарные учения и страховка от пожара для снижения рисков возгорания, вам нужны меры по борьбе с киберугрозами. Проверьте, адекватны ли и эффективны ли ваши средства защиты, а также просмотрите и проанализируйте любые инциденты, связанные с безопасностью или защитой данных.

Планируйте и вводите в действие пробные прогоны ваших процедур обработки нарушений и инцидентов безопасности. Вы не ждете, пока на корабле появится дыра, чтобы отрепетировать свой план спасательной шлюпки. Создайте вымышленный инцидент, и пусть ваши команды рассматривают его так, как если бы он был реальным. Затем закройте все недостатки, обнаруженные пробным прогоном.

Семь: сорви плод, который висит низко

Сделайте первые шаги простыми. Они по-прежнему будут иметь большое влияние на повышение вашей планки кибербезопасности и приучат сотрудников включать действия, ориентированные на безопасность, в свою рутину.

  • Не позволяйте никому делиться паролями.
  • Не позволяйте третьим лицам получать доступ к вашей корпоративной сети Wi-Fi. Иметь гостевую сеть Wi-Fi, которая выходит прямо в Интернет. Им не обязательно быть в вашей сети; им просто нужно получить свою электронную почту. Возможно, вам даже не придется покупать оборудование для этого, ваше текущее оборудование может уже поддерживать это.
  • Все пароли должны быть уникальными и не должны быть паролями, которые уже использовались где-либо еще.
  • Установите правила сложности пароля и применяйте их.
  • Если у людей слишком много паролей, которые нужно запомнить, выберите и продвигайте утвержденный компанией менеджер паролей.
  • По возможности используйте двухфакторную аутентификацию.
  • Проведите обучение по выявлению фишинга, целевого фишинга и других угроз, связанных с электронной почтой.
  • Проведите обучение, чтобы помочь сотрудникам обнаруживать и избегать социальной инженерии.
  • Убедитесь, что все операционные системы и приложения находятся в рамках жизненного цикла поддержки производителя.
  • Примените все исправления безопасности к серверам и компьютерам, а также к сетевым устройствам, таким как маршрутизаторы, коммутаторы и брандмауэры.
  • Реализовать безопасную утилизацию устаревшего ИТ-оборудования и получить сертификаты очистки данных.

Как только базовая структура будет создана, у более сложных слоев будет основа, на которой они будут сидеть.

Восемь: Измерьте и сообщите

Включите передовые методы кибербезопасности в свои программы аттестации персонала или оценки эффективности.

Соберите и представьте статистику на панели инструментов, обращенной к рабочей силе.

Обеспечьте простой способ сообщать о проблемах и поощряйте сотрудников выявлять предполагаемые уязвимости в вашей системе. Небольшой ежемесячный приз тому, кто обнаружит потенциальную угрозу безопасности или предложит улучшение, — хороший способ привлечь людей.

Периодически проводить тестирование персонала на восприимчивость. Доброкачественные фишинговые атаки и сбросы USB-накопителей — хороший способ определить сотрудников, которым необходимо пройти дополнительную подготовку, или процедуры, которые необходимо обновить, уточнить или усилить.

Не забудьте сообщить о наиболее улучшенном отделе, чтобы, когда хвостовики продвигались вверх по рейтингу, они получали признание. Если вы не хотите ранжировать отделы в рейтинговой таблице, используйте их баллы, чтобы переместить их в регионы в системе светофора. Каждый должен стремиться быть в зеленой зоне.

Также сообщите о действиях, предпринятых организацией, таких как количество дней с момента последнего теста на проникновение, количество выявленных проблем и количество решенных проблем. Таким образом, вы представляете моментальный снимок совместных усилий организации и ваших сотрудников.