Бесплатно Экспресс-аудит сайта:

06.07.2022

Человеческий фактор остается главной проблемой безопасности

Поскольку огромное количество сотрудников теперь работает в гибридных или полностью удаленных средах, что усугубляется ростом киберугроз и информационной усталостью персонала, как никогда ранее, необходимо эффективно создавать и поддерживать культуру безопасности.

В седьмом ежегодном отчете SANS Security Awareness Report опрошено более 1 000 специалистов по безопасности о состоянии осведомленности в вопросах безопасности в их организациях.

Отчет выявил слабые места в распространенных практиках повышения осведомленности. Сотрудники и их недостаточная подготовка в области безопасности остаются основными причинами утечки данных и сетевых атак.

«Люди стали основным вектором атаки киберпреступников по всему миру», — отмечает Лэнс Спитцнер, директор по безопасности SANS. «Люди, а не технологии, представляют наибольший риск для организаций, и специалисты, контролирующие программы повышения осведомленности по вопросам безопасности, играют ключевую роль в эффективном управлении этим риском».

Ключевые выводы отчета:

  • Рабочие кадры: более 69% специалистов по безопасности тратят менее половины своего времени на общение по вопросам безопасности. Факты показывают, что обязанности по обеспечению безопасности слишком часто возлагаются на сотрудников с высокой технической подготовкой, которым может не хватать навыков, необходимых для эффективного вовлечения своих сотрудников в простые для понимания термины.

  • Наиболее популярные проблемы. Три основные проблемы при создании зрелой программы повышения осведомленности были связаны с нехваткой времени: нехватка времени для управления проектами, ограничение времени на обучение сотрудников и нехватка кадров.

  • Воздействие пандемии: Двумя наиболее значимыми последствиями стали проблемы, связанные с более отвлеченным и перегруженным персоналом, и рабочая среда, в которой кибератаки, основанные на человеческих факторах, стали более частыми и эффективными.

  • Зрелость программ по регионам: Во всех регионах мира наиболее распространенными уровнями зрелости текущих программ являются ориентированность на соблюдение нормативных требований и информированность/изменение поведения.

  • Показатели успешной программы: Сильная поддержка руководства, увеличение размера команды и более высокая частота тренингов возглавили список ключевых факторов, способствующих успеху программы.

При определении факторов успеха программы в отчете были выявлены три момента, способствующие повышению осведомленности:

  • Мероприятия по усилению поддержки со стороны руководства. Один из основных способов повысить заинтересованность руководства — говорить об управлении рисками, а не о соблюдении требований, и объяснять, ПОЧЕМУ вы что-то делаете, а не ЧТО вы делаете. Кроме того, необходимо создать ощущение срочности, используя данные, и донести ценность, продемонстрировав соответствие приоритетам руководства.

  • Увеличение размера команды: Рекомендовано задокументировать и сопоставить, сколько людей в команде безопасности сосредоточено на технологиях, а сколько - на человеческих рисках; создать документ, полностью объясняющий потребности в персонале, и развивать партнерские отношения с ключевыми отделами, которые смогут помочь разработать способы донесения информации о ценности программы.

  • Более частое обучение: организациям рекомендуется взаимодействовать или обучать своих сотрудников не реже одного раза в месяц. Обеспечение простоты и легкости проведения тренинга стало ключом к увеличению возможностей для вовлечения и обучения персонала.