Секрет фирмы: как превратить персонал в главных защитников корпоративных данных

0
(0)

С ростом числа сливов данных и кибератак растет и количество программ для защиты бизнес-информации. У цифровых инструментов множество функций и преимуществ, однако на нелегальных форумах до сих пор можно купить номера паспортов и коды пластиковых карт клиентов разных компаний, в том числе и ведущих банков. Возможно, причина краж в том, что собственники бизнеса недооценивают другой инструмент — создание культуры кибербезопасности. Как работать с персоналом, чтобы сотрудники превратились из потенциальных шпионов в защитников?

Российские предприниматели часто недооценивают важность лояльности персонала в сфере информационной безопасности. Однако по данным ноябрьского отчета EY, 88% утечек данных пользователей в нашей стране происходит по вине сотрудников, тогда как в мире этот показатель равен 56%.

Сегодня все больше западных компаний практикуют комплексный подход к обеспечению защиты. Они не ограничиваются установкой специальных программ или запретом на использование внешних носителей — эти организации создают объемную культуру безопасности, включающую в себя целый ряд мер по охране данных. Эта политика органично встроена в корпоративную культуру и обязательно содержит эмоциональную составляющую, которая повышает интерес сотрудников к теме киберзащиты, а значит, их лояльность.

Еще в 2016 году 58% компаний по всему миру имели стратегию безопасности, 52% внедрили собственные стандарты для взаимодействия со сторонними организациями и 49% провели оценку угроз безопасности. При этом расходы бизнеса на создание заслона от кибератак стабильно растут: по прогнозу Juniper Research, они будут увеличиваться в среднем на 9% в год. Но киберпреступность растет быстрее: по данным глобального исследования Accenture, за последние пять лет количество нарушений увеличилось на 67%. Это означает, что защита данных еще долго будет перспективным направлением деятельности — как для существующих организаций, так и в контексте создания нового бизнеса.

Пока культуру безопасности активно внедряют в основном крупные производственные, транспортные, телекоммуникационные и финансовые компании, но статистика говорит, что небольшим организациям стоит как можно скорее последовать их примеру: 43% мировых кибератак нацелены на малый бизнес. 

Первый шаг к построению эффективной культуры безопасности — понимание основных причин причин утечек данных. Их всего три. Первая — ошибки в обращении с информацией: многие сотрудники просто не знают правил и обязанностей по сохранению коммерческой тайны. Вторая причина — желание заработать на продаже данных конкурентам (или заказчикам на теневых форумах). Третья — обида на работодателя из-за плохих условий труда, низкой зарплаты, отсутствия повышения и других факторов.

Все эти причины возникают из-за несовершенства корпоративной культуры компании и отсутствие в ней блока, посвященного кибербезопасности. Безусловно, формирование среды, благоприятной для сохранения данных, требует серьезных усилий и трат. Но эти действия окупятся, ведь ваши сотрудники из потенциальных шпионов превратятся в грамотных защитников.

Чтобы создать эффективную культуру кибербезопасности, компания должна пройти всего 5 шагов — а затем повторять этот путь снова и снова, чтобы система работала без перебоев.

Реальное участие руководства в обеспечении безопасности

Одного решения генерального директора мало, чтобы сделать среду безопасной: необходимо выделить бюджет, назначить ответственных, открыто сообщать о поддержке проекта и даже подавать личный пример. Сринивас Вемула, технический консультант SenecaGlobal, признался, что добился положительных результатов, только когда топ-менеджеры начали активно участвовать в процессе изучения угроз и снижения рисков. В качестве примера он привел упражнение, в котором руководители разделились на две команды: одна проводила DOS-атаку на сервер, а другая подробно описывала, как компания будет отражать ее. Такие необычные тренировки помогают не только включить топ-менеджеров в процесс создания культуры кибербезопасности, но и выявить «слепые зоны» организации.

Внедрение политики по безопасности данных

Правила использования и защиты конфиденциальной информации должны знать абсолютно все сотрудники компании — от генерального директора до курьера. Для начала нужно ввести режим коммерческой тайны в соответствие с Федеральным законом №98: создать перечень сведений, которые к ней относятся, разработать положение по работе с ними и пометить все носители (даже цифровые) соответствующим грифом. При этом очень важно изложить принципы понятным языком. После этого все сотрудники должны внимательно изучить положение и подписать документ о неразглашении данных, содержащий в том числе и суммы штрафов за нарушения.

При этом многие компании руководствуются принципом “доверяй, но проверяй”, используя технологии, которые позволяют  вычислить конкретного нарушителя. Например, в случае утечки конфиденциальных данных поймать ее виновника помогает ILD-система (Information Leak Detection — обнаружение утечки информации). При открытии или отправке документа с важной информацией на печать система автоматически подменяет оригинал его уникальной копией. Таким образом, у каждого сотрудника своя версия документа. Она ничем не отличается от оригинала, но если сотрудник по ошибке или умышленно сольет данные в сеть, система определит, для кого этот документ был сгенерирован. Для поимки виновника необходимо всего лишь загрузить в систему небольшой фрагмент изображения, слитого документа. Когда сотрудники осведомлены о причинах “слива” чувствительной информации и знают, что в случае утечки они будут определены, риск утечек значительно снижается.

Регулярное обучение персонала правилам кибербезопасности

Одного прочтения правил безопасности недостаточно: информирование должно быть постоянным. Многие западные компании создают обучающие курсы по защите данных: занятия проходят как в кабинетах, так и онлайн. Однако нужно соблюдать три ключевых правила. Во-первых, тренинги должны быть адаптированы к разным должностям (например, сотрудникам, не имеющим доступ к клиентской базе, незачем знать правила работы с ней). Во-вторых, методические указания должны обновляться как минимум раз в год, ведь угрозы постоянно совершенствуются. И в-третьих, посещение тренингов должно быть обязательным условием работы в компании.

Но чтобы обучение было действительно эффективным, оно должны быть интересным. Вместо привычных презентаций в PowerPoint и тестовых заданий можно использовать видеотренинги и ролевые игры, в ходе которых сотрудники решают определенные проблемы, руководствуясь положениями документов о защите данных. Например, Саманта Дэвисон, менеджер по безопасности Uber, рассказала о том, что компания активно использует геймификацию — один из тренингов провели по мотивам «Игры престолов».

При написании сценариев лучше сосредоточиться на двух-трех основных ИТ-рисках, с которыми сталкивается именно ваш бизнес. Можно даже использовать реальные случаи нарушений, рассказывая о наказаниях, которые понесли сотрудники (но не раскрывая имен). Также есть смысл время от времени проводить учебную тревогу: искусственно создавать фишинговые атаки, чтобы определять людей, не умеющих отличать вредоносные электронные письма, и обучать их правильной реакции.

Организация таких мероприятий может показаться слишком затратным и трудоемким делом, но это действительно важный шаг в направлении создания безопасной среды. Согласно отчету Netwrix по ИТ-рискам за 2017 год, 37% респондентов назвали недостаточную подготовку персонала одним из основных препятствий при реализации эффективной стратегии защиты данных.

Регулярная проверка знаний сотрудников

Обучение должно подкрепляться мониторингом знаний — обычно достаточно проводить короткие тестирования каждые 3–6 месяцев. По итогам этих экзаменов стоит поощрять «отличников». К примеру, компания Talking Rain вручает награды тем, кто дает 100% правильных ответов. Это позволяет повысить вовлеченность сотрудников в процесс развития культуры безопасности и сформировать команду людей, умеющих справляться с кибератаками и предотвращать утечки информации.

Внедрение кибербезопасности в повестку дня компании

Культура безопасности будет максимально эффективной только тогда, когда защита данных станет чем-то обыденным. Для этого нужно постоянно напоминать сотрудникам о правилах и мерах предотвращения угроз — и делать это в доступной форме. Можно использовать информационные бюллетени, плакаты, тематические заставки для рабочего стола и другие носители. К примеру, компания Talking Rain из Сиэтла даже размещает вкладыши с информацией о собственной программе безопасности в ящиках на дверях уборной.

Когда защита данных станет частью повестки дня, сотрудники сами начнут сообщать не только о серьезных инцидентах, но и о подозрительных вещах. Для этого нужно предоставить им возможность напрямую обращаться в ИТ-отдел, а также публично благодарить их за предотвращение угроз. Привлекая весь персонал к работе по обнаружению слабых мест, компания сможет быстрее и эффективнее снизить риски.

Важно помнить, что люди, а не программы, создают угрозы безопасности данных, а значит именно люди — первая и самая важная линия защиты корпоративной информации. Поэтому создание и развитие культуры безопасности должно идти рука об руку с внедрением программных способов защиты: такой комплексный подход будет способствовать динамичному росту и укреплению компании.

Насколько полезным был этот пост?

Нажмите на звезду, чтобы оценить его!

Средний рейтинг 0 / 5. Подсчет голосов: 0

Пока что нет голосов! Будьте первым, кто оценит этот пост.

Мы сожалеем, что это сообщение не было полезным для вас!

Давайте улучшим этот пост!

Расскажите нам, как мы можем улучшить этот пост?