Как решить проблему людей в кибербезопасности
Вы можете подумать, что в этой статье речь пойдет о том, что пользователи являются одной из самых больших проблем в области кибербезопасности. Ведь известно, что сотрудники переходят по непроверенным ссылкам, загружают вредоносные файлы и не меняют пароли. А есть и те, кто использует свои личные устройства в рабочих целях и подвергает сеть риску.
Да, все эти люди могут создавать проблемы для кибербезопасности. Но люди, на которых обычно возлагают вину за проблемы кибербезопасности, не имели бы такого влияния, если бы руководство организации, а не только CISO или ИТ-департамент, уделяло приоритетное внимание кибербезопасности.
Если вы являетесь руководителем компании, то эта статья для вас. Вы знаете, что кибербезопасность очень важна. Это знает каждый руководитель. Но ставите ли вы ее во главу угла при принятии любых решений? И постоянно ли вы доносите эту мысль до своих сотрудников? Даже самому осведомленному в вопросах кибербезопасности руководителю, скорее всего, есть куда стремиться. Есть разница между тем, чтобы говорить о важности кибербезопасности и подкреплять это мнение своими действиями и решениями.
Ваши сотрудники и другие руководители ценят ваше мнение и прислушиваются к нему. Если вы не уделяете приоритетного внимания безопасности своих данных, приложений и инфраструктуры, то и ваши сотрудники не будут этого делать. Даже ваши незначительные действия и решения влияют на риск атаки кибербезопасности для всей компании.
Это нелегко сделать, и трудно признать, что вы сами являетесь частью проблемы. Но вы не одиноки – практически каждый руководитель компании может в той или иной мере повысить уровень своей поддержки и приоритетности кибербезопасности.
Вот три ключевых момента для решения проблемы персонала в области кибербезопасности.
Понять ценность кибербезопасности для бизнеса
Реальные изменения в области кибербезопасности происходят только тогда, когда организация понимает, что успех ее бизнеса зависит от ее методов обеспечения кибербезопасности. Если у вас есть самый замечательный продукт, это еще не все, особенно если после кражи персональных данных клиенты уходят в другое место. Самые лучшие продавцы в мире не смогут преодолеть недоверие клиентов после широко разрекламированной утечки. А лояльность клиентов не так уж и велика, если ваш бизнес постоянно нарушается из-за кибератак.
В современных условиях взломы – это вопрос “когда, а не если”. В отчете IBM 2022 Cost of a Data Breach говорится, что 83% компаний имели более одной утечки данных, а средняя стоимость утечки составила 4,35 млн. долл. Кроме того, 60% организаций повысили цены для клиентов после утечки данных в связи с увеличением расходов. Исследование также показало, что стоимость нарушений была значительно выше средней и составляла 5,57 млн. долл. для организаций с высоким уровнем нарушений нормативных требований.
Когда в вашей организации происходит утечка информации, это не просто проблема ИТ, а серьезная проблема для всей компании. Первым шагом на пути к полной защите организации является осознание последствий нарушения или атаки на киберсистему для бизнеса, а также ценности проактивной инициативы в области кибербезопасности. Проактивный подход позволит вам принять решения, необходимые для полной защиты вашей организации.
Создание культуры кибербезопасности
Следующим шагом является привитие сотрудникам менталитета кибербезопасности. Руководители создают культуру организации. Проактивное формирование культуры кибербезопасности наряду с основной культурой компании позволяет значительно снизить риск кибербезопасности.
Вместо того чтобы рассматривать кибербезопасность как работу ИТ-отдела, каждый сотрудник и команда должны чувствовать личную ответственность за кибербезопасность. Сотрудники должны понимать, что их действия – даже такие простые, как отказ от обновления программных патчей на своих телефонах, – могут стать причиной крупной атаки на кибербезопасность, которая обойдется компании в миллионы долларов.
При разработке новых процессов, продуктов и услуг команды должны уделять кибербезопасности первостепенное внимание. Специалисты по кибербезопасности и ИТ-отдел могут предоставить свои знания и опыт, но именно сотрудники, работающие на передовой, способны изменить ситуацию к лучшему.
Создание и поддержание культуры кибербезопасности не означает, что о ней нужно говорить раз в год на обязательных тренингах по кибербезопасности. Да, сотрудники нуждаются в обучении, но оно должно быть более частым и проводиться в течение года. Постоянно рассказывая о кибербезопасности, например, напоминая о необходимости соблюдения правил кибербезопасности и информируя о текущих угрозах, руководители могут помочь сотрудникам не упускать вопросы безопасности из виду.
Выделять ресурсы
Менталитет и культура создают основу для успешной программы кибербезопасности. Без наличия и того, и другого вы не сможете принять бизнес-решения, необходимые для создания эффективной системы кибербезопасности. Однако организация может защитить свои приложения, данные и инфраструктуру только при наличии необходимых ресурсов – как человеческих, так и технологических. Руководители должны полностью осознать важность кибербезопасности; только в этом случае они будут принимать бизнес-решения, необходимые для защиты организации.
Наличие необходимых технологий существенно снижает последствия любого нарушения. При использовании подхода “нулевого доверия” организации снижают как риск нарушения, так и его последствия. Организации, внедрившие систему “нулевого доверия” на ранних этапах, по сравнению с теми, кто только начал ее внедрять, сэкономили в среднем 1,51 млн. долл. Кроме того, организации, использующие технологию расширенного обнаружения и реагирования (XDR), выявляли и локализовывали нарушения в среднем на 29 дней раньше, чем те, кто не применял эту технологию.
Когда речь идет о кибербезопасности, легко сосредоточиться на технологиях и стратегиях. Но на самом деле главная проблема кибербезопасности заключается в людях. И единственный способ изменить действия и отношение тех, кто находится на передовой, – это сделать так, чтобы руководители, подобные вам, каждый день уделяли кибербезопасности первостепенное внимание.
Будущее вашего бизнеса зависит от того, насколько вы, как руководитель компании, принимаете близко к сердцу идеи кибербезопасности. Ваш образ мышления и отношение к кибербезопасности находятся на сцене и видны всем сотрудникам вашей компании. Отдавая приоритет кибербезопасности, вы можете оказать положительное влияние на всю компанию.
Источник:
https://securityintelligence.com/articles/solve-the-people-problem-cybersecurity/
Автор:
Jennifer Gregory
Перевод и дополнения:
Лебедев А.В.