ИБ для людей: как это работает и как ее построить

ИБ для людей: как это работает и как ее построить
image

По последним данным более 75% всех успешных кибератак связаны с человеческим фактором. Это один из показателей того, что культура кибергигиены во многих компаниях находится на низком уровне.

Команда Контур.Эгиды рассказывает, как можно исправить ситуацию, почему информационная безопасность должна строиться вокруг людей и как это реализовать.

Зачем ИБ нужно строить вокруг людей

Большое количество успешных атак, происходящее из-за действий сотрудников, показывает, что пользователи не понимают, зачем защищать данные и как это делать. Они не знают, почему нельзя использовать один пароль для всех сервисов и аккаунтов, и зачем создавать сложные пароли. Ведь комбинацию «12345» легко запомнить и набрать на клавиатуре. Не все понимают ценность даже своих личных данных на своём смартфоне.

Безопасность должна начинаться с человека, потому что человек — самое слабое звено в информационной безопасности на сегодняшний момент. Машины и программы практически не дают сбоев, потому что работают по четким алгоритмам. Человек из-за эмоций, невнимательности и особенностей в мотивации склонен к ошибкам.

И это не зависит от должности: под влияние хакеров попадают топ-менеджеры и даже офицеры информационной безопасности.

Поэтому все меры киберзащиты должны учитывать поведение людей.

Как строить ИБ вокруг людей

Помогать технически

Технические решения и сервисы помогают закрыть уязвимости, возникающие из-за человеческого фактора.

Именно так работает двухфакторная аутентификация: даже если злоумышленники украдут пару «логин-пароль», они не получает пуш-уведомление и не смогут войти в систему. Похитить такую связку в сотни раз сложнее, чем украсть логин и пароль.

Контролировать действия пользователей

Еще один инструмент, который помогает людям — это PAM-системы. Они помогают выделить пользователей с привилегированным доступом к информации и контролировать их действия. Например, увидеть, что главный бухгалтер не просто работает с финансовыми отчетами, а копирует их на флешку. Или зафиксировать, что рядовой сотрудник пытается получить доступ к серверу, который не полагается ему по должности.

Системы мониторинга действий сотрудников и расследования работают похожим образом. Они логируют действия пользователей и показывают ИБ-службам, кто в компании может быть уязвим, с кем могут быть связаны риски. Например, подсказывает, что лояльный и опытный коллега стал вести себя непривычно — возможно, что злоумышленники с помощью социальной инженерии заставляют его копировать данные, представляющие собой коммерческую тайну.

Обучать сотрудников

С помощью сервисов мониторинга можно увидеть, что сотрудник не выполняет правила кибербезопасности и назначить ему обучение. Но недостаточно просто показать человеку серию видео о работе с паролями. Гораздо важнее показать ему, где он ошибается на его же примере — это чувствительнее и лучше запоминается, чем абстрактные примеры. Важно проводить обучение регулярно и так же регулярно оценивать уровень осведомленности сотрудника.

Учитывать особенности сотрудников

У каждого сотрудника — свой уровень осведомленности в сфере ИБ. Один не закрывает ноутбук, когда отходит от рабочего места, а другой знает и соблюдает все правила, но случайно по невнимательности прошел по фишинговой ссылке. Такому сотруднику не нужно проходить обучение с нуля — ему важно услышать адекватную обратную связь, увидеть свои ошибки и научиться пользоваться сервисом, который ему поможет.

Мотивировать

Самое простое — это показать личные последствия для каждого сотрудника. Сейчас очень много примеров того, что происходит с людьми, когда их личные данные попадают в сеть. Важно приводить актуальные примеры: например, понять, какие данные сотрудник не хотел бы потерять, показать последствия и объяснить, как эти данные защищать. Как только сотрудник научится защищать свои данные, он будет делать то же самое с данными компании.

Уважать сотрудников

Самое главное — не относиться к сотруднику, который совершает ошибку, как к врагу. Он просто человек, и как и все, подвержен социальной инженерии и влиянию, бывает забывчив и тороплив. Если правильно мотивировать, обучать, учитывать особенности, то можно сделать его союзником. А если только наказывать за любой проступок — то можно превратить во врага, который может что-то сделать назло, например похитить данные компании.

Как выбрать решение для людей

Чтобы правильно выбрать ИБ-решение, которое будет строиться вокруг людей и для них, нужно определить уязвимые места, делать выбор осознанно, понять, что будет удобно и стараться договариваться с IT и HR.

Определить уязвимые места

Нет смысла сразу покупать всевозможные ИБ-решения — важно определить данные и процессы, критичные для деятельности компании, те, без которых бизнес невозможен и начать с них. Их и нужно защищать в первую очередь. После этого важно определить возможные сценарии атак и пути утечек, чтобы подобрать необходимые решения для защиты.

Зрелая компания понимает, что инцидент так или иначе может случиться и от него никто не застрахован. Но она понимает, как реагировать на этот инцидент для минимизации последствий. Есть инструкции, обученные специалисты и минимально необходимые инструменты.

Осознанно выбирать решения

Важно не доверять на сто процентов презентациям вендоров. Необходимо опираться на свой опыт, мнение коллег и конечно, тестировать. Причем тестировать в том числе и в боевых условиях, чтобы понять, как решение работает в связке с другим ПО, как оно «нагружает» инфраструктуру.

Учитывать мнение коллег

В первую очередь, необходимо наладить взаимодействие с IT-отделом и HR-специалистами.

IT-отдел предоставляет ресурсы для работы ИБ-решений, понимают архитектуру и загрузку сетей и серверов. И от этого зависит модель угроз. Кроме этого именно IT-отдел будет обслуживать работу решений, поэтому они должны быть в курсе.

HR-специалисты лучше других понимают боли сотрудников и могут объяснить, будет ли им удобно работать с тем или иным сервисом.

Когда компания строит информационную безопасность вокруг людей и для них, то получает меньше сопротивления от сотрудников — в итоге решения работают с большей эффективностью, а сотрудник становится добровольным и незаменимым помощником службе ИБ.

Контур.Эгида — это сервисы информационной безопасности для защиты бизнеса от внутренних угроз. Наши решения построены вокруг жизненного цикла сотрудника в компании и позволяют снижать уязвимости на любом этапе от трудоустройства до увольнения.

16+. Реклама. АО «ПФ «СКБ Контур». ОГРН 1026605606620. 620144, Екатеринбург, ул. Народной Воли, 19А.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден.

Выберите реальность — подпишитесь.