Поскольку огромное количество сотрудников теперь работает в гибридных или полностью удаленных средах, что усугубляется ростом киберугроз и информационной усталостью персонала, как никогда ранее, необходимо эффективно создавать и поддерживать культуру безопасности. В седьмом ежегодном отчете SANS Security Awareness Report опрошено более 1 000 специалистов по безопасности о состоянии осведомленности в вопросах безопасности в их организациях. Отчет выявил слабые места в распространенных практиках повышения осведомленности. Сотрудники и их недостаточная подготовка в области безопасности остаются основными причинами утечки данных и сетевых атак. «Люди стали основным вектором атаки киберпреступников по всему миру», — отмечает Лэнс Спитцнер, директор по безопасности SANS. «Люди, а не технологии, представляют наибольший риск для организаций, и специалисты, контролирующие программы повышения осведомленности по вопросам безопасности, играют ключевую роль в эффективном управлении этим риском». Ключевые выводы отчета: -
Рабочие кадры: более 69% специалистов по безопасности тратят менее половины своего времени на общение по вопросам безопасности. Факты показывают, что обязанности по обеспечению безопасности слишком часто возлагаются на сотрудников с высокой технической подготовкой, которым может не хватать навыков, необходимых для эффективного вовлечения своих сотрудников в простые для понимания термины. -
Наиболее популярные проблемы. Три основные проблемы при создании зрелой программы повышения осведомленности были связаны с нехваткой времени: нехватка времени для управления проектами, ограничение времени на обучение сотрудников и нехватка кадров. -
Воздействие пандемии: Двумя наиболее значимыми последствиями стали проблемы, связанные с более отвлеченным и перегруженным персоналом, и рабочая среда, в которой кибератаки, основанные на человеческих факторах, стали более частыми и эффективными. -
Зрелость программ по регионам: Во всех регионах мира наиболее распространенными уровнями зрелости текущих программ являются ориентированность на соблюдение нормативных требований и информированность/изменение поведения. -
Показатели успешной программы: Сильная поддержка руководства, увеличение размера команды и более высокая частота тренингов возглавили список ключевых факторов, способствующих успеху программы. При определении факторов успеха программы в отчете были выявлены три момента, способствующие повышению осведомленности: -
Мероприятия по усилению поддержки со стороны руководства. Один из основных способов повысить заинтересованность руководства — говорить об управлении рисками, а не о соблюдении требований, и объяснять, ПОЧЕМУ вы что-то делаете, а не ЧТО вы делаете. Кроме того, необходимо создать ощущение срочности, используя данные, и донести ценность, продемонстрировав соответствие приоритетам руководства. -
Увеличение размера команды: Рекомендовано задокументировать и сопоставить, сколько людей в команде безопасности сосредоточено на технологиях, а сколько - на человеческих рисках; создать документ, полностью объясняющий потребности в персонале, и развивать партнерские отношения с ключевыми отделами, которые смогут помочь разработать способы донесения информации о ценности программы. -
Более частое обучение: организациям рекомендуется взаимодействовать или обучать своих сотрудников не реже одного раза в месяц. Обеспечение простоты и легкости проведения тренинга стало ключом к увеличению возможностей для вовлечения и обучения персонала.
|