Будьте чесними: якби ви змагалися з важливим дедлайном, ви б свідомо обходили правила безпеки вашої компанії, щоб виконати роботу? Якщо ви відповіли «так», у вас багато компанії. Відповідно до Drivers of Secure Behavior Gartner огляд93% працівників, які поводяться невпевнено, роблять це свідомо.
Чому працівники так багато знають про наслідки обходу політики безпеки? Зазвичай це тому, що це шлях найменшого опору.
«У більшості компаній вам, мабуть, доводиться автентифікуватися не лише за допомогою пароля, а й за допомогою багатофакторна аутентифікація. Хоча це набагато безпечніше, ніж одні лише паролі, це ще одна річ, яку повинні робити співробітники», – пояснює Кріс Мікстер, віце-президент-аналітик Gartner. «Загалом кібербезпека забезпечує контроль, який вони можуть забезпечити в масштабі, але працівники відчувають багато труднощів у дотриманні вимог, тому вони знаходять способи обійти це».
Вплив конфліктів надає перевагу новому способу вирішення проблеми кібербезпеки: ставлячи людей прямо в центр суміші.
Багато шляхів до безпеки, орієнтованої на людину
Безпека, орієнтована на людину, враховує поведінку, потреби та обмеження людей на всіх етапах — не лише в плані реагування на інциденти, а й щодня, коли виникають проблеми. Це означає зрозумілу політику, яка зменшує тертя в якомога більшій кількості моментів, меншу складність процесів, пов’язаних із безпекою, позитивне підкріплення замість покарань і допомогу працівникам, коли вони цього потребують, без осуду.
За прогнозами Gartner, до 2027 року це буде половина CISO прийняти орієнтована на людину безпека для зменшення операційного тертя кібербезпеки. А до 2030 року, за прогнозами Gartner, 80% підприємств матимуть офіційно визначену й укомплектовану програму управління людськими ризиками, порівняно з 20% у 2022 році.
Центрування людей – це підхід, який Random Timer, компанія, яка створює однойменну програму продуктивності, використовує для своїх співробітників. Традиційно безпека в основному керувалася технологіями та політикою без належного врахування людського фактору. Засновник компанії Метью Андерсон пояснює, що через це кінцеві користувачі можуть відчувати себе обмежувальними та розчаровуючими.
«Тож ми намагаємося застосувати підхід, орієнтований на людину. Наприклад, коли ми впроваджували нову систему двофакторної автентифікації, ми витрачали багато часу на розмови зі співробітниками про те, що їм подобається, а що ні в нашій старій системі. Ми використали цей відгук, щоб вибрати рішення, яке б вирішило їхні найбільші проблеми, пов’язані зі зручністю та зручністю використання», — говорить він.
Безумовно, тертя є найбільшим ворогом безпечних працівників. І це нестримно: у звіті Gartner нещодавно було виявлено, що більше ніж кожен третій співробітник каже, що вважає засоби контролю та політику кібербезпеки складними для дотримання, нерозумними для їх ролі та суперечать їхнім робочим цілям.
Використання підходів, орієнтованих на технології, допомагає зменшити тертя, але це не може виконати всю роботу. Наприклад, впровадження безпеки браузера та без пароля доступ є хорошими кроками, тому що користувачеві навіть не потрібно думати про них. Але багато компаній досі не впроваджують ці технології, а навіть якщо і впроваджують, то не завжди добре працюють із технологіями десятиліттями, на які працівники все ще покладаються, щоб виконувати свою роботу.
Ці технології також по-своєму все ще викликають тертя. Наприклад, безпечний браузер може блокувати багато поганих речей, але команда безпеки має «дозволяти» все. Це означає, що якщо користувач хоче відвідати новий веб-сайт, він повинен звернутися до служби безпеки, щоб додати його до списку дозволених.
Однак існують технологічні варіанти, які можуть допомогти. Одним з них є спливаюче вікно, засноване на поведінкових ознаках.
«Якщо я надсилаю електронний лист комусь, з ким ніколи раніше не писав, систему можна налаштувати так, щоб я отримував сповіщення, схоже на сучасний контрольний індикатор, де він використовується як попередження про потенційну зміну поведінки, – каже Метью Міллер, керівник відділу послуг кібербезпеки в KPMG. «Це вбудовує технологію з поведінкової лінзи замість лінзи відповідності, і це не застерігає користувача».
Зрозумійте своїх користувачів
Також критично важливо розуміти своїх користувачів, додає Андерсон. Це означає спілкування безпосередньо з користувачами через інтерв’ю, спостереження та опитування. З цими відгуками ви можете створювати прототипи та випускати мінімально життєздатні продукти, щоб зібрати ще більше відгуків для покращення взаємодії з користувачем. Він навіть пропонує залучити експертів з юзабіліті, які б захищали інтереси працівників.
Розуміння поведінки та мотивації користувачів має вирішальне значення, погоджується Міллер. Він наводить приклад, коли він працював у банку — досить давно, коли хмара була ще новою концепцією — кілька тисяч стажерів регулярно працювали там щоліта. Багатьом із них було надано проекти з використанням даних, аналітики даних і хмари слів, тому компанія заблокувала багато сайтів, які дозволяли їм публічно завантажувати свої результати, щоб захистити дані компанії.
Його команда виявила, що один із стажерів завантажив файли в хмару. «Коли його запитали про те, чому і як він це зробив, і що у нього не було проблем, він сказав, що після того, як натрапляв на заблоковані сайти за блокованими, він нарешті знайшов один, який не був заблокований, тому він вирішив, що це, мабуть, затверджений сайт для завантаження даних», – пояснює Міллер.
Деякі компанії доводять розуміння досвіду користувача до крайності, але це дає результати. Наприклад, Santander, найбільший банк Іспанії, навчив свій персонал із кібербезпеки принципам взаємодії з користувачем, що зазвичай є сферою діяльності розробників і співробітників, які працюють із клієнтами. Тепер, коли працівник каже «Я не можу» або порушує політику, співробітники відділу кібербезпеки можуть ставити запитання щодо взаємодії з користувачем. Замість того, щоб запитувати, навіщо вони щось зробили, вони можуть запитати, як часто їм доводиться це робити, чи важко це робити та чи це завдання є важливим для їх робочого процесу. Маючи цю інформацію, команда з кібербезпеки може змінити процес або виключити його з робочого процесу, якщо це не є необхідним.
Звичайно, завжди є навчання компонент, але думати про навчання по-різному є ключовим для орієнтований на людину мислення. Це означає адаптацію навчання до окремих ролей.
«Різні типи співробітників по-різному взаємодіють із технологіями, клієнтами та даними, тому ви повинні бути дуже конкретними, допомагаючи людям розвивати необхідні їм навички та виробляти поведінку, яка потім керуватиме ризиком», — говорить Міллер.
Створіть культуру «так»
Якщо ви очікуєте, що співробітники діятимуть безпечніше, важливо ніколи не говорити «ні». Якщо ви це зробите, вони просто знайдуть спосіб обійти систему, каже Мікстер.
Johnson & Johnson, наприклад, змінила всі заборонені дії зі своєї негативної політики прийнятного використання на позитивну оцінку самообслуговування. На основі відповідей співробітника автоматизована система направить його на безпечний обхідний шлях. Якщо система визначає, що працівник робить щось нове, вона може надіслати у відповідь навчальне відео. Якщо відповіді виявляють, що працівник планує використовувати конфіденційні дані неправильно, це може надіслати йому синтетичні дані репозиторій, який базується на реальних наборах даних, але не включає фактичні власні дані.
Мікстер додає, що компанії, які насправді запитують відгуки, часто працюють краще. SRI, технічна компанія, що базується в Каліфорнії, розміщує поля для коментарів у своїй політиці. Це окупилося уявленням про те, що кіберполітика не настільки зрозуміла тим, хто не входить до кібердомену, що, за словами компанії, призвело до позитивних змін.
Зрештою, це зводиться до типового трикутника люди/процеси/технології, де люди в центрі.
«Технології створюють основу, але процес і філософія ведуть до успіху», — каже Андерсон. «По суті, це вимагає культури, яка охоплює дизайн, орієнтований на користувача, а не лише нові технологічні інструменти».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-operations/human-centric-security-model-meets-people-where-they-are
- : має
- :є
- : ні
- :де
- $UP
- 2022
- 2030
- 7
- a
- Здатний
- МЕНЮ
- прийнятний
- доступ
- За
- Діяти
- діяльності
- фактичний
- насправді
- адреса
- Додає
- дотримуватися
- Прийняття
- адвокат
- після
- проти
- назад
- Оповіщення
- ВСІ
- дозволяти
- дозволено
- тільки
- Також
- завжди
- an
- аналітик
- аналітика
- та
- андерсон
- Інший
- Відповіді
- додаток
- підхід
- підходи
- затверджений
- ЕСТЬ
- ПЛОЩА
- виникати
- навколо
- AS
- запитати
- запитувач
- оцінка
- At
- Атакуючий
- перевіряти справжність
- Authentication
- Автоматизований
- поганий
- Банк
- заснований
- BE
- оскільки
- було
- перед тим
- поведінка
- поведінки
- Краще
- найбільший
- Блокувати
- блокований
- коробки
- браузер
- але
- by
- Каліфорнія
- CAN
- Викликати
- Центр
- зміна
- Зміни
- Вибирати
- Кріс
- обійти
- в обхід
- хмара
- приходить
- коментар
- Компанії
- компанія
- складність
- дотримання
- компонент
- концепція
- конфлікт
- Наслідки
- розгляду
- вважає
- контакт
- контроль
- управління
- зручність
- може
- Курс
- критичний
- культура
- Клієнти
- кібер-
- Кібербезпека
- дані
- Analytics даних
- набори даних
- день
- крайній термін
- певний
- доставляти
- дизайн
- визначає
- розвивати
- розробників
- DID
- А не було
- різний
- інакше
- прямий
- безпосередньо
- do
- байдуже
- справи
- домен
- Дон
- зроблений
- вниз
- управляти
- драйвери
- елемент
- усунутий
- вбудовування
- обіймаючи
- Співробітник
- співробітників
- кінець
- досить
- підприємств
- істотний
- налагодження
- Навіть
- Кожен
- все
- приклад
- очікувати
- досвід
- experts
- Пояснює
- екстремальний
- далеко
- зворотний зв'язок
- почувати
- розібрався
- Файли
- в кінці кінців
- знайти
- для
- Формально
- знайдений
- фонд
- засновник
- тертя
- від
- розчарування
- принципово
- Gartner
- збирати
- Загальне
- отримати
- даний
- дає
- добре
- було
- Половина
- Жорсткий
- Мати
- має
- he
- допомога
- допомогу
- допомагає
- чесний
- Як
- HTTPS
- людина
- Людський елемент
- Людей
- i
- if
- Impact
- реалізації
- важливо
- in
- інцидент
- реагування на інциденти
- включати
- невірно
- індивідуальний
- інформація
- розуміння
- замість
- взаємодіяти
- інтерв'ю
- в
- питання
- IT
- ЙОГО
- робота
- Джобс
- Джонсон
- JPG
- просто
- ключ
- Дитина
- knowingly
- знання
- КПМГ
- найбільших
- найменш
- Led
- кредитування
- світло
- як
- недоліки
- Довго
- серія
- знизити
- зробити
- РОБОТИ
- управляти
- управління
- багато
- Матвій
- Може..
- засоби
- відповідає
- може бути
- Мельник
- Розум
- мінімальний
- змішувати
- модель
- сучасний
- більше
- найбільш
- мотиви
- багато
- повинен
- ім'я
- Необхідність
- потреби
- негативний
- ніколи
- Нові
- Нова техніка
- немає
- зараз
- цілей
- of
- від
- часто
- Старий
- on
- ONE
- тільки
- оперативний
- Опції
- or
- наші
- поза
- власний
- оплачувану
- Біль
- Пароль
- Паролі
- шлях
- стежки
- Люди
- Персонал
- філософія
- місце
- план
- планування
- plato
- Інформація про дані Платона
- PlatoData
- Plenty
- точок
- Політика
- політика
- спливаючий
- позитивний
- це можливо
- потенційно
- передвіщений
- президент
- Головний
- Принципи
- ймовірно
- Проблема
- процес
- процеси
- продуктивність
- Продукти
- програма
- проектів
- видатність
- власником
- захист
- прототип
- забезпечує
- громадськість
- публічно
- покарання
- Ставить
- Поклавши
- питань
- racing
- випадковий
- реальний
- нещодавно
- зменшити
- удосконалювати
- звільнити
- покладатися
- звітом
- Сховище
- Вимагається
- Опір
- відповідь
- Обмежувальний
- результати
- показувати
- Risk
- управління ризиками
- Роль
- ролі
- звичайно
- Правила
- біг
- s
- сейф
- Зазначений
- то ж
- Сантандер
- say
- говорить
- шкала
- Екран
- безпечний
- безпечно
- безпеку
- політики безпеки
- Самообслуговування
- послати
- відправка
- Послуги
- комплект
- набори
- кілька
- просто
- сайт
- сайти
- навички
- So
- рішення
- Хтось
- що в сім'ї щось
- Іспанія
- конкретний
- відпрацьований
- Персонал
- заходи
- Як і раніше
- успіх
- Запропонує
- літо
- система
- пошиття одягу
- Приймати
- говорити
- Завдання
- навчав
- команда
- технології
- Технічна компанія
- Технології
- Технологія
- ніж
- Що
- Команда
- їх
- Їх
- потім
- Там.
- Ці
- вони
- річ
- речі
- думати
- Мислення
- це
- ті
- хоча?
- тисяча
- три
- через
- час
- до
- інструменти
- традиційно
- Навчання
- біда
- намагатися
- Опинився
- Типи
- типовий
- типово
- розуміти
- розуміння
- завантажено
- юзабіліті
- використання
- використовуваний
- користувач
- User Experience
- користувачі
- використовує
- використання
- зазвичай
- Ve
- дуже
- viable
- віце
- Віцепрезидент
- Відео
- візит
- хоче
- попередження
- було
- wasn
- шлях..
- способи
- we
- веб-сайт
- ДОБРЕ
- були
- Що
- коли
- Чи
- який
- в той час як
- ВООЗ
- всі
- чому
- волі
- з
- без
- слово
- Work
- робочий
- робочий
- б
- так
- врожайність
- Ти
- вашу
- зефірнет