Мер з безпеки все ще не вистачає

БРАЙАН МАК-КАРТІ: БЕЗПЕКА

безпеки

Протягом останніх чотирьох років за дорученням асоціації Computing Technology Industry Association (CompTIA) проводилося велике дослідження погроз інформаційної безпеки (ІБ) та методів протидії їм. Завершилося воно в поточному році і показало, що людські помилки є причиною майже 60% порушень ІХ, що мали місце в організаціях за останні 12 місяців. Цей показник значно вищий, ніж минулого року, коли з вини людини сталося 47% порушень. Але незважаючи на помітну роль, яку відіграє поведінка людини, лише 29% респондентів із 574 обстежених організацій повідомили, що в їхніх компаніях до обов'язків персоналу ІТ-підрозділів входить навчання співробітників дотримання правил безпеки, і лише у 36% організацій користувачів навчають необхідним навичкам.

Щоб технічні рішення в галузі безпеки були дійсно ефективними, вони повинні супроводжуватись навчанням персоналу та інформуванням усіх співробітників про проблеми ІХ. Такі заходи повинні проводитися постійно у всіх підрозділах - від серверної кімнати на першому поверсі (де важливе виправлення, випущене у п'ятницю, чомусь не було встановлено до наступного понеділка) та до зали засідань правління на верхньому поверсі (де генеральний директор проігнорував ухвалену політику , розпакував заархівований файл і цим викликав зараження мережі своєї компанії новим вірусом).

Цікаво, що відсутність розуміння стратегічного значення освіти та тренінгу з питань безпеки найчастіше зустрічається на найвищих рівнях корпоративної ієрархії. Нерідко саме керівники є найменш підготовленими людьми у питаннях ІБ та найгірше орієнтуються у відповідних проблемах, з якимистикаються їхні компанії. Внаслідок цього вони часто недооцінюють наслідки порушень системи безпеки для діяльності компаній.

Адміністратори безпеки та ті з менеджерів рівня директорів, які краще знайомі із повсякденними ефектами таких проблем, часто не мають аналітичних інструментів, щоб оцінити наслідки порушень безпеки у грошовому еквіваленті.

Найпростіше підвищити рівень знань керівництва шляхом надання проблем ІБ кількісного вираження та створення бізнес-сценаріїв для їх вирішення. Один із підходів передбачає демонстрацію у реальному грошовому вираженні того факту, що фінансовий ефект від порушень безпеки може бути дуже великим.

Учасники дослідження CompTIA попросили висловити в грошах результат останнього порушення безпеки, а також наслідки порушень за попередній рік. Середні величини становили понад 11 тис. дол. для останнього порушення безпеки та трохи менше 35 тис. дол. для порушень протягом минулого року. Деякі з опитаних повідомили про втрату понад 50 тис. дол. Таким чином, якщо в середньому порушення безпеки може спричинити лише трохи більше, ніж просто занепокоєння, завжди існує ймовірність значних фінансових втрат.

Рішення в галузі безпеки повинні включати навчання та ознайомлення персоналу з відповідними проблемами.

Ознайомлення з проблемами безпеки слід відрізняти від спеціальної підготовки та сертифікації в галузі безпеки, які організовуються для співробітників ІТ-підрозділів та служб безпеки. Цілком очевидно, що це важливий компонент безпеки. Але у більшості організацій він відсутній. Лише 36% із 574 обстежених організацій вказали, що у них проводиться такого роду навчання. 29% повідомили,що у їхніх компаніях воно буде організовано у майбутньому, а 35% заявили, що не мають таких планів.

Тим часом 84% з тих фірм, де проводиться навчання в галузі безпеки, повідомили, що його впровадження призвело до зменшення серйозних порушень. Як правило, це відбувається в результаті кращого розуміння проблем, що дозволяє персоналу точніше виявляти ризики безпеки, сприяє загальному підвищенню якості заходів, що вживаються для забезпечення безпеки, і скорочення часу реакції співробітників на проблеми, що виникають.

Нестача часу та коштів на дотримання правил безпеки може змусити кінцевих користувачів припустити, що в їхніх організаціях цьому не надається належного значення. Для подолання такого становища необхідно досягти кращого розуміння на вищих рівнях корпоративної ієрархії реальних переваг, що дає навчання, та ризиків, що виникають за його відсутності.

Щоб дійсно ефективно запобігати та усувати загрози в галузі ІБ, організації повинні поширювати інформацію та знання не лише у вузькому колі співробітників ІТ-служби, а й серед інших працівників. Особи, які приймають рішення, повинні бути краще інформовані про реальні втрати, що спричиняються порушеннями системи безпеки, та про реальну віддачу коштів, що вкладаються в навчання персоналу та його сертифікацію в галузі безпеки. Навіть найкраща у світі технологія безпеки не працюватиме без кваліфікованої участі людей, за відсутності у них необхідних навичок та без розуміння менеджерами того, як ця технологія має розгортатися та застосовуватись.