Сотрудники – слабое звено?

Сегодня обеспечение информационной безопасности является неотъемлемой частью любого бизнеса. Пренебрежительное отношение к вопросам защиты сети и сервисов, которые, казалось бы, живут своей виртуальной жизнью, влечет за собой убытки, но только уже вполне реальные. Примеров тому, к сожалению, сейчас великое множество. Это и Garmin, и Maersk, и иже с ними.

Ни для кого не секрет, что практически во всех компаниях есть целые подразделения (иногда состоящие из десятков, а то и сотен человек), задачей которых является выстраивание, обслуживание, эксплуатация и развитие системы защиты информации.

Компания выделяют огромные бюджеты на обеспечение своей безопасности (особенно охотно они это делают после инцидентов в собственной инфраструктуре). Специалисты подразделений безопасности проводят огромную работу по выстраиванию модели угроз и модели нарушителя, оценке рисков, обоснованию трат. Осуществляются колоссальные траты (а мы помним, что подразделение безопасности зарабатывает ровно ничего, оно только тратит) на покупку и инсталляцию средств защиты, на фонд оплаты труда для персонала, обеспечивающего их эксплуатацию.

Представим себе ситуацию (скорее всего утопическую), при которой CISO выделяются огромные бюджеты, у него есть все необходимые средства, огромный штат персонала, выстроена самая современная система защиты. Руководству компании рапортуется о наличие непробиваемой системы защиты. До поры до времени все идет отлично.

Но, в один прекрасный момент, сеть шифруется. Все в панике, CISO рвет на себе волосы. Идет тщательный разбор инцидента. В итоге выясняется, что рядовой сотрудник, получив письмо от контрагента, просто открыл вложение.

Из выше приведенного опуса следует один очень понятный вывод. Уровень информационной безопасности организации определяется способностью противостоять угрозам ее самого слабого элемента.

К сожалению, на данный момент самым слабым элементом защиты подавляющего числа организаций является человек. Свидетельством этого является статистика. Одним из основных путем проникновения злоумышленника в сеть является фишинг. Безусловно технические и организационные меры значительно снижают вероятность заражения, однако, эта вероятность все-таки имеет место.

Давайте разберемся, почему же человек выступает слабым звеном в системе обеспечения информационной безопасности? И как сделать так, чтобы всем известный мем не касался Ваших сотрудников?

Ответ лежит на поверхности – рядовой сотрудник в любой компании необходим для получения прибыли. В первую очередь он должен обладать теми знаниями и навыками, которые позволяют бизнесу зарабатывать. Информационная безопасность является узкой специализацией, при этом не профильной для основной сферы деятельности (поэтому и образуется отдельные подразделения безопасности). Поэтому у рядового сотрудника нет необходимых знаний, которые жизненно важны для обеспечения информационной безопасности.

Но такую ситуацию можно переломить и обратить рядовых сотрудников в стражей, стоящих на фронте информационной безопасности.

Для этого, во-первых, необходимо обеспечить информирование сотрудников об актуальных угрозах информационной безопасности и методах злоумышленников, направленных на рядовых сотрудников.

Во-вторых, обеспечить непрерывное обучение в интерактивном формате, который позволяет уйти от нудных инструкций и регламентов. А также такой формат позволяет включить элемент игры в обучение и дух состязательности.

В-третьих, ввести систему санкций (как положительных, так и отрицательных) за соблюдение норм информационной безопасности.

Ни в коем случае не стоит размахивать Дамокловым мечом при проверке знаний. Необходимо вести планомерную работу по повышению уровня знаний рядовых сотрудников, выявлять основные ошибки, корректировать формы подачи информации.

Такая планомерная работа является залогом информационной безопасности любого бизнеса.

Наша компания оказывает услуги по обучению персонала в рамках уникального пакета «Anti Ransomware». Наш опыт позволит сделать персонал надежным элементом системы защиты информации.