При решении задач информационной безопасности у многих ИБ-директоров возникает искушение подойти к ним как к чисто техническим. Однако стремление обойтись техническими мерами может дорого обойтись организации. Нельзя недооценивать значимость влияния человеческого фактора на информационную безопасность. Люди выполняют важные роли на всех этапах формирования ИТ-стратегии, так или иначе участвуя в разработке, внедрении и эксплуатации информационных систем. При этом сотрудники компании в силу разных причин не уделяют должного внимания вопросам безопасности.
Как часто компании сталкиваются с примерами нарушения требований безопасности? Практически ежедневно. Примеров можно привести множество:
- Разработчики и архитекторы приложений могут считать низкоприоритетными задачи избавления от источников критических уязвимостей на этапе проектирования корпоративного приложения.
- Системные администраторы могут не обратить внимания на появление аномалий в поведении приложений, если это не влияет напрямую на их работоспособность.
- Конечные пользователи уязвимы к различным техникам социальной инженерии, один из самых простых примеров — фишинг.
- Аналитики ИБ могут не справиться с валом новой информации о функционировании корпоративных приложений.
- Топ-менеджмент может недооценивать критичность рисков ИБ в общем операционном риске. И поэтому область информационной безопасности систематически оказывается в ситуации недофинансирования.
Ни одна мера по обеспечению информационной безопасности не будет полноценной, если не учитывать главный риск — человеческий фактор. Вместе с тем, работа с пользователями может значительно повысить уровень безопасности организации — даже без инвестиций в технические средства защиты, окупаемость которых остаётся под вопросом. В условиях нехватки ресурсов риски, вызванные человеческим фактором, только усиливаются. При этом изменение модели поведения сотрудников — настолько сложная задача, что её поначалу пытаются решить с помощью автоматизации различных процессов и внедрения новых систем. Однако в условиях недостатка ресурсов это возможно далеко не всегда.
Как минимизировать влияние человеческого фактора на информационную безопасность организации? У решения этой проблемы есть три аспекта:
1. Формирование и регулярное обновление перечня информации и полномочий, которые минимально необходимы пользователю для выполнения своих обязанностей.
Как правило, в процессе работы в организации пользователь начинает обладать большим объемом привилегий, чем это необходимо для выполнения его обязанностей. В результате компрометации учетной записи такого пользователя злоумышленник получает значительно больше возможностей для неправомерных действий, чем хотелось бы «безопасникам».
Рецепт: Набор прав и привилегий у каждой функциональной роли в организации должен находиться на уровне «Need-to-know» и не больше. Необходимо ежегодно проводить ревизию этого набора.
2. Обучение пользователей основам ИБ.
Это наиболее проблемный аспект, он завязан на корпоративную культуру организации, зрелость процессов ИБ, подбор соответствующих коммуникативных инструментов для каждой группы пользователей.
При этом мало донести до пользователей политику ИБ в понятном для них виде, необходимо их мотивировать на её выполнение. Здесь хочется упомянуть пример компании Salesforce и подход ее команды ИБ к изменению модели поведения пользователей за счет внедрения соревновательных элементов (так называемой геймификации). Данная программа охватила 14 тыс. сотрудников организации. По её итогам был проведён опрос, и больше половины участников рассказали, что с меньшей вероятностью кликнут на подозрительную ссылку, а более 80% — с большей вероятностью сообщат о подозрительной активности в службу ИБ.
Рецепт: Внедрение комплексной программы обучения персонала, которая включает в себя:
- Фокус на распространенных атаках, которые легче всего остановить на уровне пользователя.
- Подачу материала с помощью коротких и удобных для пользователей онлайн-курсов, с актуализацией информации об атаках.
- Обязательное выполнение требований программы всеми сотрудниками организации, включая топ-менеджмент.
- Контроль прохождения обучения.
- Поддержку обучения топ-менеджментом.
3. Минимизация «зоопарка» в системах ИБ, избавление от разрозненных унаследованных решений и ориентация на консолидированные системы ИБ с централизованным управлением.
Эксплуатация множества отдельных продуктов, отвечающих за выполнение разнообразных задач ИБ, повышает вероятность конфликта различных средств, непреднамеренных ошибок в конфигурации продуктов, а также значительно удлиняет период их исправления.
Рецепт: Максимально возможная консолидация продуктов одного производителя, имеющих централизованную систему управления и мониторинга. Например, за все функции безопасности конечных точек должен отвечать один продукт, и управление им должно быть максимально упрощено.
Компания «Код безопасности» предлагает продукты, которые успешно решают задачу снижения влияния человеческого фактора на эксплуатацию ИБ-системы предприятия. Новые решения в этой области были анонсированы в конце 2015 года.
Secret Net Studio — комплексное решение для обеспечения безопасности рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Система централизованного управления Secret Net Studio обеспечивает простоту настройки и поддержки всех защитных подсистем и существенно сокращает расходы на эксплуатацию СЗИ.
СОВ «Континент» 4.0 — система обнаружения и предотвращения сетевых вторжений. Преимуществом продукта является иерархическая система управления, которая позволяет не просто создать централизованную систему управления, а делегировать управление различными сегментами системы нижним уровням иерархии в рамках своих систем, сохраняя при этом целостную политику ИБ и контролируя действия нижестоящих администраторов.
При разработке продуктов «Код безопасности» уделяет большое внимание требованиям эргономичности и надёжности, что также позволяет снизить вероятность влияния человеческого фактора на обеспечение информационной безопасности.
Обеспечение информационной безопасности организации — сложная задача, которая требует использования как технических, так и организационных мер. Их грамотная комбинация создаёт синергетический эффект, что позволяет значительно снизить риски и повысить отдачу от инвестиций в ИБ.
Узнать подробнее о продуктах Secret Net Studio и СОВ «Континент» 4.0 можно в компании «Код безопасности» по телефону
НА ПРАВАХ РЕКЛАМЫ