Сегодняшние специалисты по безопасности являются экспертами в управлении человеческими рисками.
За последние 18 месяцев мы стали свидетелями всплеска интереса как к области осведомленности о безопасности, так и к роли сотрудника по осведомленности о безопасности.
К сожалению, подобные специалисты (вернее должности таких специалистов) пока еще экзотика, хотя это включает в себя экспоненциальный рост компаний, публикующих вакансии для сотрудников по повышению осведомленности, трехкратное увеличение числа участников Саммита по осведомленности о SANS в этом году (более 7000 участников) и почти 700 человек, получивших аттестат SANS Security Awareness Professional (SSAP). . Таким образом, сегодня мы собираемся помочь определить, что такое Security Awareness.
Во-первых, и эта роль, и сфера все еще очень незрелы. В отличие от других областей безопасности, таких как тестирование на проникновение или реагирование на инциденты, которые существуют уже несколько десятилетий, осведомленность — это сравнительно новая, незрелая и еще не полностью определенная область. Фактически, таксономия NIST NICE Cybersecurity Workforce еще не создала, не определила или роли для этого поля (но это скоро изменится).
Традиционно, когда люди обсуждают осведомленность о безопасности, они думают о соответствии, кто-то, ответственный за проведение компьютерного обучения один раз в год, а затем отслеживание того, какой процент сотрудников прошел обучение для целей аудита / соответствия. Это крайне устаревшее и уже не актуальное описание. Несмотря на то, что соблюдение требований по-прежнему важно, сегодня осведомленность о безопасности в конечном итоге связана с управлением человеческими рисками. Организации больше не могут использовать чисто технический подход к кибербезопасности, мы также должны учитывать человеческий фактор. Фактически, отчет VZ DBIR 2021 выявил, что люди были причастны к более чем 85% всех нарушений во всем мире . Вот почему организации создают зрелые программы по повышению осведомленности о безопасности, чтобы управлять своим человеческим риском путем изменения поведения организации. Фактически, большинство зрелых программ повышения осведомленности выходят за рамки простого изменения поведения и создают прочную культуру безопасности и имеют структуру показателей, демонстрирующую это изменение.
Сегодняшний специалист по безопасности выходит далеко за рамки простого ежегодного CBT, он во многих отношениях является экспертом в управлении человеческими рисками. Наборы навыков и обязанности включают:
- РИСК : Сотрудничество с вашей командой безопасности, чтобы лучше понять и расставить приоритеты для ваших основных человеческих рисков, а также основных моделей поведения, которые управляют этими рисками. Это часто связано с работой с группами реагирования на инциденты, службы безопасности или аналитики киберугроз. Ключ к управлению человеческим риском — это расставить приоритеты и сосредоточиться только на основных рисках, а не перегружать сотрудников огромным списком невыполнимых требований, задач, процессов и обязанностей. Лучшие и самые эффективные специалисты по информированию упрощают безопасность людей.
- ОБУЧЕНИЕ : установление контактов с вашими сотрудниками, общение и привлечение их к работе. После того, как вы определили ключевые модели поведения, которые управляют риском, вам необходимо обучить свой персонал изменению / проявлению этих ключевых моделей поведения. Это часто требует партнерства и работы с другими отделами, такими как маркетинг, коммуникации и человеческие ресурсы. Лучшие сотрудники по осведомленности обладают отличными навыками работы с людьми, получают удовольствие от работы и партнерства с другими и страстно желают помогать людям. Задача состоит в том, чтобы привлекать людей и общаться с ними на их языке. Один из самых эффективных способов вовлечения — начать с Золотого круга .
- ИЗМЕРЕНИЕ : Наконец, наиболее зрелые и эффективные сотрудники по информированию измеряют влияние своей программы и сообщают об этом влиянии своему руководству с точки зрения бизнеса. Существует множество различных типов метрик, включая поведенческие, культурные, знания и стратегические. В конечном итоге ваша цель — привести программу в соответствие со стратегическими приоритетами лидерства.
Это чрезвычайно захватывающая и быстрорастущая область, поскольку организациям сложно лучше понять свой человеческий риск и управлять им.
По материалам www.sans.org
