Начальник отдела
повышения осведомленности Блока информационной безопасности ПАО «Ростелеком»
Какая трансформация ждет рынок Security Awareness в ближайшие годы и насколько эффективно будут справляться существующие SACBT-решения с задачей повышения осведомленности, сформулированной в контексте актуальных трендов кибербезопасности?
Не хочется начинать с банальных фраз, но, как ни крути – человек по-прежнему остается самым уязвимым звеном в системе защиты информационных ресурсов и активов любой компании. А если посмотреть на личную кибербезопасность, то и для своих собственных информационных и финансовых активов мы не всегда являемся надежным оплотом.
Мне всегда нравилось проводить параллель между уровнями защиты информации и фильмом «Пятый элемент» – уж очень похожа ситуация с человеческим фактором в вопросах кибербезопасности на тот самый финальный фрагмент. Как бы ни «активировали» четыре основных «элемента» кибербезопасности: законодательный, административный, процедурный, программно-технический, без пятого элемента – человека – система не «взлетит», не заработает.
Все уже давно поняли, что просвещать и обучать персонал вопросам кибербезопасности – нужно и важно, и даже не потому, что про это написано в федеральных законах, постановлениях, приказах и распоряжениях. Просто мир стал таким, что без базовых знаний о кибербезопасности выживать становится все сложнее, как минимум на уровне цифровой личности.
Давно было подмечено, что традиционные программы повышения осведомленности с основным упором на обучение, призванные предотвращать инциденты информационной безопасности (далее – ИБ), связанные с человеческим фактором, недостаточно эффективны. Они информируют, но не мотивируют сотрудников. К тому же, как показала практика, реализация таких проектов требует от функции ИБ:
В 2016 году на российских рынок начали выходить автоматизированные сервисы Security Awareness Computer-Based Training (SAСBT), призванные быстро и эффективно закрывать вопрос повышения осведомленности персонала. Ценность их была в том, что (как казалось) это будет наименее ресурсозатратным.
А как обстоят дела на самом деле? Функционирующие сегодня во многих организациях SACBT-решения обеспечивают лишь краткосрочную выгоду от соблюдения требований законодательства и внутренних политик ИБ. Рынок традиционных решений по повышению осведомленности превратился в рынок коммерциализированных услуг, предлагающих быстро устаревающий обучающий контент, имитацию фишинга и кнопку «Сообщить о фишинге» с незначительными «конкурентными преимуществами» от вендора к вендору.
Разработчики таких решений концентрируют свою экспертизу на том, как именно, с каких источников и какие небезопасные действия сотрудников будет собирать умная система + с какими базами данных и корпоративными системами будет возможна интеграция. Финал всегда один: в НАКАЗАНИЕ за допущенную ошибку сотруднику назначается курс, который он должен изучить и сдать по нему экзамен в виде теста. Допустил ошибку повторно – опять надо изучить курс и пройти тест. Допустил одну и ту же ошибку дважды – изучи курс/пройди тест. И так до бесконечности.
Важно выделить ряд важных факторов:
Стоит признать, что современный рынок SACBT-решений сосредоточен на базовом обучении, тестировании и предоставлении отчетов, в то время как, инвестируя в программы Security Awareness, бизнес ожидает существенного и устойчивого изменения поведения сотрудников. Формируется новая потребность в реализации принципиально нового подхода к обучению и развитию команд, в котором кибергигиена и киберграмотность – это обязательные профессиональные навыки, неотъемлемая часть корпоративной культуры, без которых невозможно успешно решать бизнес-задачи.
18-19 марта 2024 года в Сиднее на саммите Gartner Security & Risk Management были определены основные тенденции кибербезопасности на 2024 год. Одним из трендов направления «Кибербезопасность» был определен переход от Security Awareness Computer-Based Training в новую парадигму – Security Behavior and Culture Programs (SBCP).
Программы по обеспечению безопасного поведения и культуры (SBCP) направлены на снижение рисков за счет эффективного управления поведением сотрудников, интеграции принципов поведенческой науки, анализа данных и автоматизации.
5 элементов эффективных Программ по обеспечению безопасного поведения и культуры:
По прогнозам Gartner, к 2030 году 80% предприятий будут официально укомплектованы программами управления человеческими рисками. Общепринятые системы контроля кибербезопасности будут в большей степени ориентированы на поддающиеся измерению изменения в поведении, чем на обучение соблюдению требований законодательства в качестве ключевого показателя эффективности управления человеческими рисками.
Что уже сегодня можно сделать, чтобы сотрудники соблюдали правила информационной безопасности не потому, что боятся порицания, а потому что нельзя иначе?
Ничто не заменит человеческое общение: найдите возможность выделить специалиста, который сможет взаимодействовать с сотрудниками по любым вопросам, касающимся информационной безопасности, даже бытовой. Формируйте доверие к функции ИБ, меняйте имидж: «защищающий» лучше, чем «запрещающий»
Интегрируйте просветительские элементы о кибербезопасности в функцию внутренних коммуникаций, встраивайте вопросы ИБ в корпоративные мероприятия и активности, используйте максимальное количество каналов донесения информации.
Организуйте оперативное информирование топ-менеджмента об инцидентах ИБ, актуальных схемах кибермошенничества, новостях о кибербезопасности.
Мир стремительно меняется, и мы меняемся вместе с ним. Пересмотр подходов к привычным процессам, гибкость и адаптивность к современным реалиям – все это особенно ценно в отрасли кибербезопасности, где экспертам надо быть всегда на мгновение быстрее злоумышленников.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться