Сегодня, особенно после начала пандемии, в каждом нарушении безопасности, о котором мы читаем сегодня в последних отчетах о безопасности, таких как Verizon DBIR , ошибки персонала, риски связанные с персоналом постоянно занимают первое место в списке каждого. Под риском, вязанным с персоналом (человеческим риском), мы подразумеваем от людей, которые становятся жертвами кибератак, до простых человеческих ошибок или ошибок, таких как автозаполнение в электронной почте. Сегодня, когда человеческий фактор играет такую большую роль в рисках, можно подумать, что организации будут отводить особую роль в управлении рисками, связанными с персоналом. Однако это не так.
Большинство организаций по-прежнему придерживаются в первую очередь технических взглядов на киберриски и продолжают использовать в первую очередь технологии для решения проблемы. Хотя технические меры безопасности — это то, с чего должна начать каждая организация, по прошествии нескольких десятилетий мы достигаем точки уменьшения отдачи. Можно сказать, что мы настолько хорошо умеем использовать технологии для защиты технологий, что заставляем кибератаки нацеливаться на людей. Для решения этой проблемы многие организации назначат менеджера по безопасности, который будет заниматься человеческим фактором риска (Security Awareness Manager). Хотя это фантастическое место для старта, здесь есть несколько проблем.
- Слишком многие организации подходят к обеспечению безопасности как к работе неполный рабочий день, при этом подавляющее большинство людей, занимающих эту должность, тратят на нее 50% или меньше своего времени.
- Большинство сотрудников по повышению осведомленности имеют высокотехнологичное образование. Хотя такие люди разбираются в технологиях и проблемах, им часто не хватает навыков и подготовки для эффективного взаимодействия и передачи решения своим сотрудникам.
- Слишком многие организации рассматривают осведомленность о безопасности как исключительно стремление к соблюдению установленных требований.
- Слишком многие организации не передают программу повышения осведомленности о безопасности в ведение группы управления безопасностью или рисками, чтобы обеспечить поддержку и партнерские отношения, необходимые сотруднику по осведомленности о безопасности для достижения успеха. Распространенные ошибки включают в себя отнесение осведомленности к вопросам безопасности к юриспруденции, аудиту или соблюдению нормативных требований.
Хорошо финансируемые и снабженные надлежащими ресурсами программы повышения осведомленности о безопасности — отличное место для организаций, чтобы начать устранять человеческий риск. Однако, исходя из тенденций, которые мы наблюдали за последние годы, достаточно ли этого? Большинство специалистов по безопасности не имеют достаточно высокого уровня, чтобы оказывать стратегическое влияние, и многие руководители по информационной безопасности не рассматривают менеджера по безопасности в качестве стратегического партнера в соответствии с другими кибер-ролями, подчиняющимися им. Сколько руководителей по информационной безопасности вы знаете, кто начинал в области безопасности?
Возможно, пришло время применить стратегический подход к человеческому риску и создать сотрудника по человеческим рискам (Human Risk Officer — HRO). Основное преимущество повышения этой ответственности заключается в том, что ключевая фигура отвечает за видимость, сокращение и предотвращение инцидентов, создаваемых пользователями. Вместо того, чтобы просто реагировать на инциденты по мере их возникновения, эта роль будет стремиться понять первопричины и работать над внедрением технологий, политик, культуры и изменения поведения, чтобы предотвратить их повторение.
HRO будет работать в тесном сотрудничестве с технически сфокусированными областями безопасности, чтобы проводить высокоуровневые изменения, необходимые для поддержки управления человеческими рисками, от создания более прочной культуры безопасности до упрощения политик, укрепления партнерских отношений и улучшения коммуникации. Это особенно ценно, потому что давайте будем честными: найти высокотехнологичного специалиста по безопасности, который также имеет высокий IQ и умеет общаться и сотрудничать с другими, может быть сложнее, чем найти летающего единорога.
Проще говоря, HRO будет владеть комплексными усилиями по оказанию помощи нашим сотрудникам в ежедневном принятии более эффективных решений в области безопасности — от непосредственных сотрудников до руководителей, помогающих человеческому элементу наших организаций адаптироваться и реагировать на угрозы безопасности.
В конце концов, большинство организаций согласны с тем, что человек — это одна из самых больших угроз, от людей, которые активно преследуют цель, до простой человеческой ошибки. Однако простое добавление новых технологий для решения проблемы больше не является решением, мы должны действительно разработать наступательное и более стратегическое решение для борьбы с человеческим фактором, и это может потребоваться начать с сотрудника по рискам для человека.
Вместе с тем хотел бы добавить, что по состоянию на сегодняшний день я ни разу не встречал в наших компаниях HRO. А вы? Хотя не скрою, очень хотел бы работать на такой должности.
