Усилия большинства организаций в области кибер-безопасности и защиты данных в основном фокусируются на установлении инновационных программ или успешной автоматизации процессов, в обход важности человеческого фактора. Оборудование, программное обеспечение, сети и протоколы системы, как правило, работают на оптимальном уровне для ключевых потребностей компании. Но для комплексной безопасности не хватает продуманного обучения, мониторинга действий менеджмента и сотрудников, поскольку практически все фишинговые и вредоносные нарушения относятся к человеческим взаимодействиям в интернет-пространстве.

Соответствие кибер-среде

Возможность дистанционной работы и частая смена деятельности сопряжены с передачей данных между вновь прибывшими и уволенными сотрудниками. Такая ситуация создает потенциальные проблемы для безопасности компании, к которым менеджеры должны заранее подготовиться. Статистика подтверждает, что процент заражения вирусами между сотрудниками в компаниях во время фишинговых операций резко снижается между первым и вторым этапами пополнения кадрового потенциала и его соответствующего обучения, вновь набирая обороты к третьей волне смены персонала. Результаты демонстрируют, что надлежащее обучение является ключом к устранению источников кибер-рисков.

1. Не играйте с огнем: инструкция выживания

Природа богата на явления, которых мы инстинктивно боимся с момента рождения. Дети знают, что нужно держаться подальше от огня, воды и молний. Данный инстинкт не относится к технологиям и искусственным творениям. Если что-то мигает, загорается или щелкает, дети без колебаний идут навстречу звукам.

Родители стараются научить своих детей сдержанности. Аналогично, менеджеры должны научить сотрудников безопасному поведению при обращении с онлайн-соединениями, имеющихся в их распоряжении на рабочем месте. Такое обучение требует наличия набора правил для управления поведением и разработанного комплекса тренингов.

Более того, менеджерам необходимо создать среду, которая настраивает сотрудников на успех с позиции применения «инструментов безопасности». Если мы защищаем свои дома с помощью систем безопасности и дымовой сигнализации, IT-среда на рабочем месте также должна располагать базовым набором необходимых инструментов кибер-защиты. Активный мониторинг данных, генерируемых установленными методами, имеет решающее значение для успешной программы комплаенса.

2.  Не вдавайтесь в крайности

Не стоит нажимать все клавиши клавиатуры или переходить по неизвестным ссылкам, даже с весьма притягательной рекламой. Руководителям компаний стоит задуматься о проведении планового обучения среди сотрудников с целью повышения уровня осведомленности о кибер-безопасности. Хотя такие вещи кажутся обыденными, общие корпоративные упражнения на самом деле дают положительный эффект. Вывод подтверждают результаты фишинговых кампаний, согласно которым показатель кликов сотрудников снижается с течением времени, иногда даже до 50% (Статья «3 Keys to a Successful Cyber Compliance Program and Eliminating a Major Source of Cyber Risk» для Corporate Compliance Insights, 2019).

Одним из наиболее важных элементов успешной программы комплаенса по кибер-угрозам выступает создание культуры продуманной кибер-гигиены. Речь идет о том, чтобы сотрудники в дружелюбной форме предупреждали друг друга в случае рискованного поведения. Например, «Друг, ты снова оставил свой экран включенным, когда пошел за кофе, вся фирма видит твою торговую стратегию!».

3. Отраслевые стандартные инструменты и фирменные протоколы

Список лучших кибер-устройств и связанных с ними глобальных параметров политики компании бывает впечатляющим. В данном контексте стоит отметить, что сотрудники от них не в восторге, так же как им не нравится пристегиваться ремнем безопасности или обыскивать дом в поисках дымовой сигнализации. Но они соглашаются с вынужденными мерами, поскольку хотят чувствовать себя в безопасности.

Такая позиция соответствует и кибер-политике. Конечно, загруженный делами менеджер по управлению портфелем инвестиций не захочет менять свой пароль ежемесячно на всех гаджетах. Но это небольшое неудобство связано с управлением рисками и должно восприниматься в качестве небольшого неудобства ради защиты гораздо более серьезной финансовой альтернативы. Некоторые ключевые политики необходимо периодически обновлять, включая управление доступом пользователей, политику допустимого использования и классификацию данных. Стоит уточнить, есть ли в вашей компании политика паролей, двухфакторная аутентификация, а также политика управления мобильными устройствами (MDM).

4.  Доверяйте и проверяйте

Люди часто шокированы, когда узнают о мошенническом счете или неоплаченном кредите в тот момент, когда им нужно подать заявление на получение ипотеки. Не удивляйтесь подобным проблемам, если Вы не контролируете свой кредитный рейтинг.

Та же логика применима к данным, сгенерированным устройствами кибер-безопасности. Представьте, если бы конфиденциальные данные компании были опубликованы в аккуратном и доступном для чтения формате, как наши кредитные рейтинги. Системы безопасности и устройства, используемые в большинстве современных фирм, слишком длинны для перечисления. В основном они используются в качестве реакции на входящую угрозу. При правильном настрое и в сочетании с хорошей подготовкой сотрудников, они отлично справляются с поставленными задачами.

За счет упреждающего использования информации, содержащейся в инструментах кибер-безопасности, можно извлечь огромную пользу, которую часто упускают из виду компании. Лучший способ воспользоваться ими – это назначить специалиста для скрупулезного мониторинга и интерпретации данных с указанных устройств. Процедура упрощается в случае найма стороннего поставщика IT-услуг, который предоставит простую и доступную отчетность по завершении процесса. Поставщик должен иметь возможность предоставить отчеты о доступе к файлам (для обеспечения доступа с наименьшими привилегиями), отчеты об инвентаризации программного обеспечения и устройств (чтобы Вы могли видеть, какие устройства имеют доступ к Вашей сети) и отчеты об управлении списками рассылки.

В заключение, менеджерам важно помнить, что имеющиеся в их распоряжении мощные инструменты кибер-защиты хороши только в том случае, если сотрудники компании знают, как защитить внутрикорпоративные данные, находясь в режиме онлайн.

 

Источник:

https://www.corporatecomplianceinsights.com/cyber-compliance-cyber-risk/

Читайте также: