Журнал "Директор по безопасности" Февраль 2020 | Page 18

ЕСТЬ РЕШЕНИЕ Хакеры учат информационной безопасности вы можете проверить готовность вашей компании к кибератакам [email protected] +7 495 108 46 98 Компании выстраивают систему инфор- мационной безопасности (ИБ), защища- ясь от технических киберугроз, удален- ных хакерских взломов. Однако, если спросить специалиста ИБ крупной ком- пании о проблеме, которая волнует его больше всего, то, скорее всего, речь пой- дет вовсе не о хакерах. Сегодня одна из самых сложных проблем, встающих перед службой ИБ – многогранная проблема че- ловеческого фактора. В сем, кто так или иначе связан с ИБ, прекрасно известна уяз- вимость самого слабого звена – человека. В прошедшем 2019 году социальная инженерия так или ина- че применялась в 97% целевых атак, зачастую этого было достаточно для кражи данных с минимальным при- менением технического мастерства взломщика. Общепризнано, что эф- фективно противостоять социальной инженерии можно лишь повышая осведомленность всех сотрудников компаний. Однако исчерпывающего ответа на вопрос, как мотивировать сотрудников, занятых повседнев- ными рабочими обязанностями, на изучение «ненужных» вопросов ин- формационной безопасности, у боль- шинства руководителей ИБ нет. Другой пример человеческого фактора, который проявляется во многих компаниях – это взаимодей- ствие служб ИБ и IT. Зачастую забо- ты IT-службы, от которой критически зависит бизнес компании, сосредо- точены на повседневных рутинных задачах, а проблемы безопасности представляются надуманными и не- своевременными. Это приводит к множеству не устраняемых вовремя уязвимостей и, как итог, к тяжелым инцидентам. Сертифицированный этичный ха- кер, технический директор Центра Компетенций Электронное облако Александр Дмитриев разберется в масштабах проблемы и поделится подходом к ее системному решению. Сотрудники и их осведомленность На рынке существует множество он- лайн-решений по повышению ос- ведомленности сотрудников. Не- которые компании создают свои собственные курсы по информацион- ной безопасности для пользователей. Те знания, которые несут эти плат- формы, обычно содержат достаточно ясный перечень правил, позволяю- щих обычному пользователю ком- пьютера распознать и правильно от- реагировать на фишинговое письмо (фишинг), на подброшенную флеш- ку (байтинг) или звонок из «службы техподдержки» с просьбой сообщить пароль. Проблема, однако, состоит в том, чтобы внедрить эти знания, про- контролировать их усвоение, подей- ствовать на тех сотрудников, которые игнорируют правила и регламенты, одним словом – добиться реально- го повышения осведомленности со- трудников и повышения безопасно- сти. Использование геймификации и прочих популярных приемов типа командных игр, дает некоторый эф- фект, но, как показывает практика, не решает проблемы. В большинстве компаний сотрудники ИБ жалуются на отсутствие полномочий, рычагов влияния или просто организацион- ных возможностей для превращения теории в практику ежедневного безо- пасного и ответственного поведения сотрудников. Ответом на такой запрос является набирающий популярность во всем мире сервис по управлению компе- тенциями в области ИБ. Он включа- ет в себя не только онлайн-курсы и тесты, но и систему сертификации, стресс-тестов, оффлайн-тренингов, отчетов и аналитики, обратной связи с руководством компании и, главное, методику выстраивания процесса об- учения и контроля за результатами в течении оговоренного срока. Сервис начинается с выстраивания четких правил взаимодействия с руковод- ством компании и уровня его вовле- ченности в проблему обучения ИБ и тестового замера исходного уров- ня осведомленности сотрудников и их готовности противостоять типич- ным угрозам социальной инженерии. Комплекс непрерывных мероприя- тий, от которых не удается увернутся ни одному самому отчаянному со- труднику бухгалтерии, рассчитанный на 6 месяцев, позволяет непрерывно следить за изменением зрелости от- ношения к угрозам ИБ и гарантирует уровень подготовки «на отлично» не менее 80% сотрудников. Внутренний аудит Как известно, важнейшей частью управления ИБ является непрерыв- ный процесс внутреннего аудита, позволяющий совершенствоваться и своевременно отвечать на актуаль- ные угрозы. Но это в теории. Прак- тика же бывает очень разной. Очень часто проблемы взаимоотношений между ИБ и IT приводят к тому, что дополнительная нагрузка в виде вну- треннего аудита и необходимость что-то менять (мы все знаем прин- цип «работает – не трогай») приво- дят к тому, что процедура внутрен- него аудита проводится формально. Нередко сотрудники ИБ сталкиваются и с недостатком компетенций, не- хваткой финансирования на органи- зацию обучения и, конечно же, с не- хваткой времени. Выходом из ситуации в нашей компании, который мы смело можем порекомендовать многим, явилось вовлечение сотрудников IT в пробле- матику ИБ через организацию обу- чения техникам инструментального контроля, выявления уязвимостей и организации внутреннего аудита пря- мо на территории компании без от- рыва от производства. Курс, основанный на сертифи- цированных международных мето- диках, дает очень четкие и практи- ческие знания, которые так ценят сотрудники IT, содержит множество практических занятий, на которых решаются конкретные задачи компа- нии. В то же время этот курс дает все необходимое для организации эф- фективного процесса внутреннего аудита ИБ, включая все необходимые шаблоны сопровождающих докумен- тов, соответствующих требованиям ГОСТов и ISO. В результате нами был запущен процесс внутреннего аудита при ак- тивнейшем участии самих сотрудни- ков IT, соответствующий лучшим прак- тикам. Вовлеченность сотрудников IT и общий рост компетенций в области ИБ, превращение разовых меропри- ятий в непрерывный системный под- ход, и главное, формирование коман- ды единомышленников, для которых безопасность компании – не пустой звук, стало важнейшим итогом такого совместного обучения. Вовлеченность руководства Каждый сотрудник ИБ знает, насколь- ко важна вовлеченность руководите- ля компании в проблемы ИБ. Однако часто донести свои тревоги и озабо- ченность до руководства компании совсем непросто. Без понимания руководителем иерархии угроз, ак- туальности тех или иных принципи- альных решений по обеспечению ИБ невозможно добиться результата. Тренинги для топ-менеджеров компаний по актуальным вопросам ИБ, которые остро волнуют большин- ство руководителей, такие как утеч- ки конфиденциальной информации, безопасность мессенджеров и кор- поративных коммуникаций, топ-10 хакерских атак и, конечно, проблема человеческого фактора, позволяют акцентировать внимание руковод- ства на понятных ему важных про- блемах и превратить тренинг в ин- струмент помощи принятия важных для компании решений. Наш опыт проведения таких тре- нингов, сопровождаемый демонстра- циями хакерских техник, перехвата сообщений в «защищенных» публич- ных мессенджерах, доказывает, что лучше один раз увидеть, чем сто раз услышать. Организовать подобные тренинги для своего руководства мы рекомендуем всем руководителям служб ИБ, как эффективное средство вовлечения в проблемы безопасно- сти и качественного роста зрелости компании.