Нестача навчання питань безпеки в організації: поради про те, як це виправити

У ланцюзі безпеки підприємства найслабшою ланкою є люди. Незважаючи на це, проведене опитування показує, що більше половини співробітників і зовсім не отримують ніякої підготовки з питань безпеки. Доброю новиною є те, що є багато порад про те, як цю підготовку проводити і як це робити найкращим чином.

В даний час галузі інформаційної безпеки відомо, що саме людські слабкості, а не технологічні недоліки піддають підприємства найбільшому ризику загроз кібер-атак.

Але ця інформація, мабуть, недостатньо відома всім підприємцям. У нещодавній доповіді Enterprise Management Associates (EMA) було відзначено, що 56% працівників не отримують абсолютно ніякої підготовки з питань безпеки.

Доповідь під назвою "Навчання питань безпеки: не для галочки" заснована на опитуванні 600 осіб, що працюють в компаніях зі штатом від менш ніж 100 співробітників до більш ніж 10 000.

Будь-які сумніви щодо необхідності навчання питань безпеки повинні були бути розвіяні торішньою доповіддю Verizon Data Breach Investigations Report, яка показала, що чотири з п'яти порушень відбулися через крадіжку облікових даних - зазвичай в результаті соціотехніки або використання слабких паролів. І є безліч доказів того, що соціотехніки стали набагато більш витонченими, а отже і успішними.

Джеффрі Бернштейн, виконавчий віце-президент Critical Defence, фірми, що займається розслідуваннями порушень, сказав, що знає з власного досвіду, що "найчастіше, основною причиною більшості порушень, які ми досліджуємо, є людські помилки".

За його словами, в проведених його фірмою тестуваннях на проникнення, 75% часу "ми спонукали користувачів робити щось, що вони не повинні були робити, наприклад, натискати на шкідливі посилання, вводити ім'я користувача і пароль, відкривати шкідливий додаток і т. д."

Відсутність підготовки більшості працівників проявляється в їх ризикованій поведінці. Як наголошується в доповіді EMA, опублікованій на сайті SecurityWeek, близько третини (33%) опитаних використовують один і той же пароль для робочих і персональних пристроїв; трохи більше третини (35%) відзначили, що натискали на посилання електронної пошти від невідомого відправника; майже дві третини (59%) заявили, що вони зберігають робочу інформацію на хмарному сервісі; і майже стільки ж (58%) заявили, що вони зберігають конфіденційні відомості на своїх мобільних пристроях.

Девід Монахан, директор з досліджень, безпеки та управління ризиками в EMA, який визначив критерії дослідження, наголосив на очевидній проблемі, яку ілюструють результати опитування: "Багато компаній не виконують свій обов'язок і не навчають свій персонал того, як приймати безпечні рішення", - сказав він в заяві. "Це створює прогалину в першій лінії захисту - їх людях".

У чому ж причина такої нестачі навчання?

В інтерв'ю Монахан каже, що багато компаній не бачать його цінності, "але часто причина в тому, що у них з самого початку дуже погані програми. Вони не використовують передовий досвід і часто роблять це "для галочки". Навчання свідомим заходам безпеки в вигляді семінару, під негласною назвою "Смерть від монологу" або "Смерть від PowerPoint", не притягне уваги і розуміння, необхідного для здійснення позитивних змін".

Жан-Луї Хеймерл, старший стратег з питань безпеки компанії Solutionary, погоджується з цим, відзначаючи що навіть в компаніях, в яких є програми навчання свідомим заходам безпеки, існує менталітет "для галочки", який "посилає" працівникам повідомлення, що "організацію насправді це не хвилює, отже, співробітників це теж не буде хвилювати".

Хеймерл каже: проблема в тому, що занадто часто компанії не прагнуть зробити навчання актуальним. "Справжнє навчання питань безпеки не тільки полягає в запровадженні в деякі концепції безпеки", - вважає він. "Ви повинні прищепити співробітникам нові звички, заохочувати їх, підтримувати ці звички і зміцнювати їх".

"Підготовка в галузі безпеки повинна бути розроблена саме для цього працівника саме цієї організації. Те, що працює для Піта зі Світового банку, ймовірно не буде працювати для Марії, що працює в сфері охорони здоров'я".

Ще однією проблемою є фатальна думка, що навчання не варто часу і витрат, так як коштує всього лише одній людині натиснути на шкідливе посилання, і все підприємство опиниться під загрозою.

Монахан дивується, якщо ці люди дотримуються такої ж думки щодо перевірок Управління транспортної безпеки (TSA) в аеропортах. Тоді, слідуючи їхній логіці, "для того щоб підірвати літак, досить щоб зайшов всього один терорист".

З визнанням, що одна помилка може призвести до серйозної проблеми, "метою програми стає зниження атак і пов'язаних з цим ризиків", - говорить він.

Хеймерл визнає, що навчання "може мати обмежену користь, якщо воно не змінює звички. Але говорити, що "ми не будемо здійснювати підготовку з питань безпеки, тому що хтось не впорається,"- це поразкове відношення. Це все одно, якщо сказати, що ми перестаємо видавати водійські права, тому що хтось розбився".

Працівники, здається, розуміють важливість навчання, його актуальне значення.

Відповідаючи на питання EMA про те, що вони вважають найбільш важливими характеристиками процесу навчання питань безпеки, найбільшу кількість відповідей було: "легкість розуміння" - на рівні 66%, і "легкість застосування до реального життя" - на 61%.

Так, на думку експертів, вирішити проблему відсутності ефективного навчання просто, але і тут є підводні камені. "Більшість організацій недооцінює навчання, недооцінює кількість енергії, необхідну для того, щоб зробити відповідну підготовку, недооцінює кількість часу, який потрібен щоб навчити співробітників", - говорить Хеймерл.

Доброю новиною є те, що для тих підприємств, які дійсно зацікавлені, є багато рекомендацій. Форум інформаційної безпеки (Information Security Forum) пропонує 10 принципів досягнення необхідного для безпеки поведінки співробітників. Деякі з них перераховані далі. Отже, необхідно:

• Зробити системи і процеси простими і зручними настільки, наскільки це можливо.
• Допомогти співробітникам зрозуміти, чому їх звички важливі і стосуються безпеки організації.
• Мотивувати співробітників захищати свою компанію і дати їм можливість приймати необхідні для цього рішення.
• Не просто віддавати накази співробітникам - замінити їх на звички.
• Використовувати декілька відомств, такі як маркетинговий відділ і відділ кадрів для того, щоб допомогти впроваджувати принципи безпеки.
• Підвищувати відповідальність співробітників, винагороджуючи їх за хорошу поведінку і не заохочуючи погане.

Ще один короткий список від Ланса Спітцера, директора по програмі навчання в SANS, який сказав аудиторії на нещодавній конференції, що найголовніше що тренер з безпеки може зробити, це персоніфікувати її. "Не кажіть про те, як безпека впливає на корпорацію", сказав він. "Почніть з того, як співробітники можуть захистити своїх дітей в Інтернеті, або наприклад, їх власні мобільні пристрої. Нехай побачать, що це має значення конкретно для них".

Крім того, за його словами, ключові принципи - стислість і обмежена кількість тем. Їх слід зміцнити повторенням - але не надто частим.

У доповіді ЕМА стверджується, що "дослідження по ефективності навчання показують, що краще проводити навчання більш короткими сесіями з повторюваним вмістом, так студенти можуть практикувати в той час, як вони вчаться". "У доповіді міститься рекомендація, що навчання повинно проводитися принаймні щоквартально, так як "інформація в середньому повинна бути почута людиною принаймні три рази, щоб він був в змозі пригадати її в короткостроковій перспективі, і до 20 разів - щоб вона залишилася в його довготривалій пам'яті".

До цих рекомендацій Бернштейн додав, що дуже важливо щоб програми навчання "включали в себе зміст, характерний для політики і процедур компанії. Вони, як правило, повинні включати в себе правила використання мережі та соціальних медіа, зберігання даних і, якщо необхідно, правила користування особистими пристроями".

Хеймерл також радить: "Переконайтеся, що програма розрахована саме на ваших людей, на те як вони працюють, культуру вашої організації і саму організацію". Він каже: "Так, це складніше, так як ви не зможете просто скопіювати те, що використовує хтось інший".

Це, каже він, означає використання конкретних прикладів, які зроблять навчання "настільки нетеоретичним, наскільки це можливо. Використовуйте шахрайський лист, який хтось із вашої організації отримав. Використовуйте приклад соціальної інженерії, яку хтось у вашій організації випробував".

Нарешті він сказав, що є і творчі способи просування безпеки. В одній фірмі, за його словами, генеральний директор щоб поліпшити безпеку, хотів змусити людей носити бейджи. Він послав повідомлення про те, що очікує від співробітників що вони простежать, щоб кожен носив бейдж. Потім він обійшов навколо будинку без свого бейджа, і, коли один працівник підійшов до нього, він дав йому 100 доларів. Така ситуація повторилася, поки він прогулювався, ще два рази.

"До кінця дня, розповіді про 100 доларів поширилися по всій компанії, і протягом трьох годин в компанії було досягнуто 100-відсоткове дотримання правила", - говорить Хеймерл. "Це коштувало компанії близько 30 хвилин часу генерального директора і 300 доларів. Можливо, це були найбільш ефективно витрачені компанією 300 доларів".

Джерело www.csoonline.com. Переклад виконаний авторським колективом сайту. Ваші зауваження надсилайте адміністратору сайту. Олена Пономаренко