Аналитический центр по безопасности: В 2023 году нам нужен новый способ культивирования лучших привычек

Регулярные небольшие корректировки поведения - лучший способ держать сотрудников в курсе событий и развивать корпоративную культуру киберсознания, пишет Мэнди Андресс из Elastic. Как вам удается выполнять эти новогодние решения? Сейчас, когда 2023 год идет полным ходом, многие из ваших лучших намерений на этот год, возможно, уже были скорректированы, отложены или полностью отменены. В конце концов, ты всего лишь человек.

Часто то же самое происходит и с обучением сотрудников кибербезопасности. Во многих организациях сотрудники обязаны проходить учебный курс один или два раза в год. Контент, как правило, очень корпоративный, а повествование относительно общее. Эти сессии, как правило, охватывают широкий круг вопросов за короткий период, разъясняя общие риски кибербезопасности, представляя корпоративную политику и выделяя лучшие практики по обеспечению безопасности данных и систем.

Если сессия хорошо спланирована, если она проводится увлекательно, и если сотрудники уделяют ей все свое внимание - а это уже много "если", — то участники могут уйти с наилучшими намерениями применить свои новообретенные знания на практике. Но вскоре давление трудовой жизни или добрая старомодная забывчивость дают о себе знать, подрывая их решимость. Они быстро скатываются к тем же старым вредным привычкам, уделяя меньше внимания быстрой работе, пытаясь делать три вещи одновременно, следовательно, становясь более восприимчивыми к попыткам социальной инженерии.

Вот почему я думаю, что в 2023 году нам нужно пойти гораздо дальше, чем просто периодические онлайн-тренинги по кибербезопасности, если мы хотим помочь нашим сотрудникам выйти победителями перед плохими парнями. Нам нужен новый, лучший подход.

Атомарные привычки

Имея это в виду, я недавно перечитал книгу Джеймса Клира "Атомные привычки", бестселлер номер один New York Times, разошедшийся тиражом в 10 миллионов экземпляров по всему миру. В своей книге автор утверждает, что настоящая трансформация происходит в результате комплексного эффекта регулярных небольших изменений в поведении. Он называет это ‘атомарными привычками’.

Как CISO, я вижу, как этот подход мог бы хорошо работать с корпоративной кибербезопасностью. Конечно, периодические тренинги все еще могут иметь место, но культура кибернетической осведомленности может процветать только тогда, когда сотрудников поощряют идти в ногу со временем и придерживаться лучших практик посредством регулярных, своевременных подталкиваний в правильном направлении.

Так на что же это может быть похоже? Для меня речь идет о внедрении напоминаний о безопасности, оповещений и обучения в повседневную рабочую деятельность. В конце концов, когда вы используете Google Docs или Microsoft Word, вы получаете предложения по содержанию, а также подсказки по правописанию и грамматике. Когда вы пользуетесь электронной почтой, вы получаете уведомления о сообщениях, которые могут быть спамом или содержать подозрительные ссылки.

Этот подход мог бы пойти гораздо дальше. Многие продукты SaaS уже имеют такие подсказки и средства защиты; пользователи могут получить всплывающее окно, объясняющее, почему им заблокировано выполнение определенного запроса, или им будет предложено подтвердить свою личность с помощью дополнительного метода проверки для выполнения конкретной задачи.

Как CISOS, мы должны привлекать наших ключевых поставщиков программного обеспечения к ответственности за внедрение этой возможности в их продукты. В то же время мы должны обеспечить, чтобы встроенные приложения и сервисы предлагали аналогичные уровни защиты и обучения сотрудников.

В то же время нам необходимо улучшить нашу игру, когда дело доходит до мониторинга инцидентов, чтобы события безопасности, какими бы незначительными они ни были, стали возможностью обучения для сотрудников. Например, мы должны быть в состоянии обнаруживать рискованное поведение, такое как загрузка конфиденциальных файлов на неавторизованные устройства, подключение к незащищенным сетям Wi-Fi или использование несанкционированных облачных приложений для хранения корпоративных документов. В каждой ситуации наш подход должен предупреждать сотрудника об их действиях и помогать ему понять риски своего поведения: "Вот почему то, что вы делаете, небезопасно, и вот как вы должны действовать вместо этого’.

А при надлежащем подходе к анализу и отчетности мы также можем использовать данные о неосторожном или случайном поведении для оценки эффективности наших средств контроля безопасности, определения областей для улучшения и внедрения новых возможностей обучения в оптимальные моменты любого рабочего процесса, чтобы держать сотрудников в курсе событий.

Изменение поведения

Элегантность этого подхода заключается в том, что он потенциально позволяет выявить нежелательные привычки и исправить их до того, как будет нанесен какой-либо реальный ущерб. Это сохраняет свежесть в сознании сотрудников необходимости повышения осведомленности о кибербезопасности в отличие от периодического обучения. И напоминания могли бы быть адресованы сотрудникам, которые в этом больше всего нуждаются, предоставляя корректировки и напоминания при обнаружении вредных привычек и продолжая делать это до тех пор, пока их поведение не изменится.

Это большой шаг вперед по сравнению с периодическим ознакомлением сотрудников с основами, многие из которых, возможно, уже в курсе предоставляемой информации. Другие сотрудники, возможно, смогут достичь базового уровня знаний с помощью этих занятий, но велика вероятность, что они не смогут поддерживать его.

Регулярные небольшие подталкивания в правильном направлении - лучший способ задать правильный тон, когда речь заходит о киберпространстве: рекомендации по обеспечению безопасности - это не бремя, призванное замедлить работу, а часть ответственности каждого сотрудника за сохранность организационных данных и систем в безопасности