Вам поступил звонок от службы безопасности вашего банка и сообщил о блокировке счетов? Вам прислали электронное сообщение на корпоративную почту о подозрительной активности вашей учетной записи и просьбе прохождения по ссылке? Любимый магазин объявил вас победителем конкурса и призывает забрать приз, нажав здесь?

Компании, тратящие сегодня огромные деньги на современные технологические решения в области кибербезопасности, продолжают становиться жертвами хакеров, использующих хитроумные фишинговые схемы. Хотя брандмауэры и другие технологии могут быть основой программы кибербезопасности организации, они не могут защитить все.

88%

Исследования показывают, что 88 процентов зарегистрированных нарушений включают в себя элемент человеческой ошибки. Занятых сотрудников, чьи почтовые ящики ежедневно переполнены сообщениями, легко обмануть вредоносным письмом - и хакеры знают об этом. Поэтому компаниям крайне важно разработать и поддерживать комплексную стратегию кибербезопасности, в которой четко учитывается человеческий фактор.

Многие организации обычно затрагивают вопросы кибербезопасности со своими сотрудниками только раз в год - часто на общекорпоративном мероприятии в октябре «Месяце осведомленности о кибербезопасности». Хотя такие мероприятия имеют большое значение, представленная информация о безопасности часто быстро пропадает и не вносит значимых - и необходимых - изменений в поведение сотрудников. Как и на глобальном уровне, так и на локальном, эксперты направления кибербезопасности и информационных рисков KPMG в Центральной Азии убедились в том, что для защиты организации программа кибербезопасности должна выходить за рамки ежегодных мероприятий «для галочки», поскольку между соответствием требованиям и безопасностью есть существенная разница. Необходим более комплексный, целостный подход, включающий меры кибербезопасности в рабочий день каждого сотрудника таким образом, чтобы проверенные передовые методы стали привычкой, а не выбором.

Идеальным результатом является культурный сдвиг, при котором сотрудники признают важность кибербезопасности, принимают менталитет кибербезопасности, видят себя как часть команды по кибербезопасности, и вдохновлены учиться и делать больше.

Роль руководства в представлении сотрудникам информации о кибербезопасности — это только начало процесса изменения поведения. Послание должно постоянно подкрепляться, чтобы предлагаемые изменения стало привычкой. Компания KPMG пришли к выводу, что модель управления изменениями ADKAR компании Prosci, созданная основателем Джеффри Хайаттом, является эффективным инструментом в этой работе. ADKAR означает:

awarenes

Осознание необходимости перемен

Для повышения осведомленности на экранах рабочего стола сотрудников может отображаться напоминающее сообщение, например: «Сообщите о фишинге».

desire

Желание участвовать в изменениях и поддерживать их

Для стимулирования желания можно использовать серию сценариев «Что если? » с описанием потенциальных последствий и угроз, если не практиковать безопасное поведение.

knowledge

Знание о том, как измениться

Для повышения уровня знаний, использовать периодически интерактивные симуляции фишинга, включая мгновенную образовательную информацию для тех, кто стал жертвой.

ability

Способность реализовать требуемые навыки и поведение

Для развития навыков можно установить кнопку на панели инструментов электронной почты, чтобы сообщать о подозрительных сообщениях. команде кибербезопасности.

reinforcement

Подкрепление для поддержания изменений

Чтобы закрепить такое поведение, сотрудники, сообщающие о подозрительных сообщениях в электронной почте, могут получить ответ с благодарностью за бдительность и принятие мер. Если в сообщении обнаружит вредоносную деятельность, сотрудник может получить дополнительное признание своей помощи.

Модель ADKAR позволяет создать программу, которая постоянно подчеркивает, почему кибербезопасность важна, почему сотрудники должны сохранять бдительность как на работе, так и дома, и что критически важную роль, которую они играют в последовательной поддержке команды кибербезопасности.

Каждая организация должна разработать детали своей программы в соответствии со своей уникальной культурой и бизнесом.

goal

Владельцы программы - те, кто инициирует проектирование, разработку и реализацию программы и в итоге отвечают за ее успех - должны начать с проведения анализа пробелов для оценки понимания сотрудниками понимания сотрудниками кибербезопасности и установления эталона для организации. Им необходимо будет взаимодействовать с руководством компании, чтобы помочь донести до них важность программы управления поведением, и им потребуется свобода, чтобы узнать о структуре компании, иерархии и культуре. Эти сведения помогут определить наиболее эффективные средства коммуникации, частоту сообщений, тон и подход.

develop

Создание и реализация комплексной программы требует сотрудничества. Для начала владельцы программы должны быть профессионалами в области маркетинга, продаж и коммуникациями. Они должны обладать превосходными навыками письма и способностью переводить техническую информацию в понятные для обывателя термины. Анализ пробелов, первоначальные исследования и сравнительный анализ должны быть использованы для того, чтобы сформулировать всеобъемлющий стратегический план, в котором отражены цели, задачи, тактика и сроки реализации программы. 

create

В дополнение к владельцам программы, группы с различными навыками, экспертизой и опытом необходимы для полной разработки и реализации программы.

Наличие систем защиты, налаженные процессы и прочие технические средства не могут защитить все без исключения. Многие исследования показывают, что значительный процент киберинцидентов включает человеческий фактор. Важно, чтобы каждый сотрудник был достаточно осведомлен, защищен и понимал роль кибербезопасности на работе и в повседневной жизни. Человек – является краеугольным камнем зрелого уровня информационной безопасности

Дамир Еркин
Менеджер технологического консультирования
KPMG в Центральной Азии