Нехватка обучения вопросам безопасности в организации: советы о том, как это исправить

В цепи безопасности предприятия самым слабым звеном являются люди. Несмотря на это, проведенный опрос показывает, что более половины сотрудников и вовсе не получают никакой подготовки по вопросам безопасности. Хорошей новостью является то, что есть много советов о том, как эту подготовку проводить и как это делать наилучшим образом.

В настоящее время отрасли информационной безопасности известно, что именно человеческие слабости, а не технологические недостатки подвергают предприятия наибольшему риску угроз кибер-атак.

Но, эта информация, видимо, недостаточно известна всем предпринимателям. В недавнем докладе Enterprise Management Associates (EMA) было отмечено, что 56% работников не получают совершенно никакой подготовки по вопросам безопасности.

Доклад под названием "Обучение вопросам безопасности: не для галочки" основан на опросе 600 человек, работающих в компаниях со штатом от менее чем 100 сотрудников до более чем 10 000.

Любые сомнения относительно необходимости обучения вопросам безопасности должны были быть развеяны прошлогодним докладом Verizon Data Breach Investigations Report, который показал, что четыре из пяти нарушений произошли из-за кражи учетных данных - обычно в результате социотехники или использования слабых паролей. И есть множество доказательств того, что социотехники стали гораздо более изощренными, и, следовательно, успешными.

Джеффри Бернштейн, исполнительный вице-президент Critical Defence, фирмы, занимающейся расследованиями нарушений, сказал, что знает по своему опыту, что "чаще всего, основной причиной большинства нарушений, которые мы исследуем, являются человеческие ошибки".

По его словам, в проведенных его фирмой тестированиях на проникновение, 75% времени "мы побуждали пользователей делать что-то, что они не должны были делать, например, нажимать на вредоносные ссылки, вводить имя пользователя и пароль, открывать вредоносное приложение и т.д."

Отсутствие подготовки большинства работников проявляется в их рискованном поведении. Как отмечается в докладе EMA, опубликованном на сайте SecurityWeek, около трети (33%) опрошенных используют один и тот же пароль для рабочих и персональных устройств; чуть более трети (35%) отметили, что нажимали на ссылку электронной почты от неизвестного отправителя; почти две трети (59%) заявили, что они хранят рабочую информацию на облачном сервисе; и почти столько же (58%) заявили, что они хранят конфиденциальные сведения на своих мобильных устройствах.

Дэвид Монахан, директор по исследованиям, безопасности и управления рисками в EMA, который определил критерии исследования, отметил очевидную проблему, которую иллюстрируют результаты опроса: "Многие компании не выполняют свою обязанность и не обучают свой персонал тому, как принимать безопасные решения", - сказал он в заявлении. "Это создает пробел в первой линии защиты - их людях".

В чем же причина такой нехватки обучения?

В интервью Монахан говорит, что многие компании не видят его ценности, "но часто, причина в том, что у них с самого начала очень плохие программы. Они не используют передовой опыт и часто делают это “для галочки”. Обучение сознательным мерам безопасности в виде семинара, под негласным названием “Смерть от монолога” или “Смерть от PowerPoint”, не привлечет внимания и понимания, необходимого для осуществления позитивных изменений".

Жан-Луи Хеймерл, старший стратег по вопросам безопасности компании Solutionary, соглашается с этим, отмечая, что даже в компаниях, в которых есть программы обучения сознательным мерам безопасности, существует менталитет “для галочки”, который “посылает” работникам сообщение, что, "организацию на самом деле это не волнует, следовательно, сотрудников это тоже не будет волновать".

Хеймерл говорит, что проблема в том, что, слишком часто компании не стремятся сделать обучение актуальным. "Настоящее обучение вопросам безопасности не только состоит в введении в некоторые концепции безопасности", - считает он. "Вы должны привить сотрудникам новые привычки, поощрять их, поддерживать эти привычки и укреплять их”.

"Подготовка в области безопасности должна быть разработана именно для этого работника именно этой организации. То, что работает для Пита из банка, вероятно, не будет работать для Марии, работающей в сфере здравоохранения".

Еще одной проблемой является фаталистическое мнение, что обучение не стоит времени и расходов, так как стоит всего лишь одному человеку нажать на вредоносную ссылку, и все предприятие окажется под угрозой.

Монахан удивляется, если эти люди придерживаются такого же мнения относительно проверок Управления транспортной безопасности (TSA) в аэропортах, тогда, следуя их логике, "для того, чтобы взорвать самолет, достаточно, чтобы зашел всего один террорист".

С признанием, что одна ошибка может привести к серьезной проблеме, "целью программы становится снижение атак и связанных с этим рисков", - говорит он.

Хеймерл признает, что обучение "может иметь ограниченную пользу, если оно не меняет привычки. Но говорить, что "мы не будем делать подготовку по вопросам безопасности, потому что кто-то не справится," - это пораженческое отношение. Это все равно, что сказать, что мы перестаем выдавать водительские права, потому что кто-то разбился".

Работники, кажется, понимают важность обучения, его актуальное значение.

Отвечая на вопрос EMA о том, что они считают наиболее важными характеристиками процесса обучения вопросам безопасности, наибольшее количество ответов было: "легкость понимания" - на уровне 66%, и "легкость применения к реальной жизни" - на 61%.

Так, по мнению экспертов, решить проблему отсутствия эффективного обучения просто, но и тут есть подводные камни. "Большинство организаций недооценивает обучение, недооценивает количество энергии, необходимое для того, чтобы произвести соответствующую подготовку, недооценивает количество времени, которое требуется, чтобы обучить сотрудников", - говорит Хеймерл.

Хорошей новостью является то, что для тех предприятий, которые действительно заинтересованы, доступно много рекомендаций. Форум информационной безопасности (Information Security Forum) предлагает 10 принципов достижения необходимого для безопасности поведения сотрудников. Некоторые из них перечислены далее. Итак, необходимо:

• Сделать системы и процессы простыми и удобными настолько, насколько это возможно.
• Помочь сотрудникам понять, почему важны их касающиеся безопасности организации привычки.
• Мотивировать сотрудников защищать свою компанию и дать им возможность принимать необходимые для этого решения.
• Не просто отдавать приказы сотрудников - заменить их на привычки.
• Использовать нескольких ведомств, таких как маркетинговый отдел и отдел кадров для того, чтобы помочь внедрять принципы безопасности.
• Повышать ответственность сотрудников, вознаграждая их за хорошее поведение и не поощряя плохое.

Еще один короткий список от Ланса Спитцера, директора по программе обучения в SANS, который сказал аудитории на недавно прошедшей конференции, что самое главное, что тренер по безопасности может сделать, это персонифицировать ее. "Не говорите о том, как безопасность влияет на корпорацию", сказал он. "Начните с того, как сотрудники могут защитить своих детей в Интернете, или, например, их собственные мобильные устройства. Пусть увидят, что это имеет значение конкретно для них".

Кроме того, по его словам, ключевые принципы - краткость и ограниченное количество тем. Их следует укрепить повторением - но не слишком частым.

В докладе ЕМА утверждается, что "исследования по эффективности обучения показывают, что лучше проводить обучение более короткими сессиями с повторяющимся содержанием, так студенты могут практиковать в то время, как они учатся”. "В докладе содержится рекомендация, что обучение должно проводиться по крайней мере ежеквартально, та как "информация, в среднем, должна быть услышана человеком по крайней мере три раза, чтобы он был в состоянии вспомнить его в краткосрочной перспективе, и до 20 раз - чтобы она осталась в его долговременной памяти".

К этим рекомендациям Бернштейн добавил, что очень важно, чтобы программы обучения "включали в себя содержание, характерное для политики и процедур компании. Они, как правило, должны включать в себя правила использования сети и социальных медиа, хранения данных и, если необходимо, правила пользования личными устройствами".

Хеймерл также советует: "Убедитесь, что программа рассчитана именно на ваших людей, на то, как они работают, культуру вашей организации и саму организацию". Он говорит: "Да, это сложнее, так как вы не сможете просто скопировать то, что использует кто-то другой".

Это, говорит он, означает использование конкретных примеров, которые сделают обучение "настолько нетеоретическим, насколько это возможно. Используйте мошенническое письмо, которое кто-то из вашей организации получил. Используйте пример социальной инженерии, которую кто-то в вашей организации испытал".

Наконец, он сказал, что есть и творческие способы продвижения безопасности. В одной фирме, по его словам, генеральный директор, чтобы улучшить безопасность, хотел заставить людей носить бейджи. Он послал сообщение о том, что ожидает от сотрудников, что они проследят, чтобы каждый носил бейдж. Затем он обошел вокруг здания без своего бейджа, и, когда один работник подошел к нему, он дал ему 100 долларов. Такая ситуация повторилась, пока он прогуливался, еще два раза.

"К концу дня рассказы о 100 долларах распространились по всей компании, и в течение трех часов в компании было достигнуто 100-процентное соблюдение правила", - говорит Хеймерл. "Это стоило компании около 30 минут времени генерального директора и 300 долларов. Возможно, это были наиболее эффективно потраченные компанией 300 долларов".

Источник www.csoonline.com. Перевод выполнен авторским коллективом сайта. Ваши замечания отправляйте администратору сайта. Елена Пономаренко