Людиноорієнтована модель безпеки зустрічає людей там, де вони є

Будьте чесними: якби ви змагалися з важливим дедлайном, ви б свідомо обходили правила безпеки вашої компанії, щоб виконати роботу? Якщо ви відповіли «так», у вас багато компанії. Відповідно до Drivers of Secure Behavior Gartner огляд93% працівників, які поводяться невпевнено, роблять це свідомо.

Чому працівники так багато знають про наслідки обходу політики безпеки? Зазвичай це тому, що це шлях найменшого опору.

«У більшості компаній вам, мабуть, доводиться автентифікуватися не лише за допомогою пароля, а й за допомогою багатофакторна аутентифікація. Хоча це набагато безпечніше, ніж одні лише паролі, це ще одна річ, яку повинні робити співробітники», – пояснює Кріс Мікстер, віце-президент-аналітик Gartner. «Загалом кібербезпека забезпечує контроль, який вони можуть забезпечити в масштабі, але працівники відчувають багато труднощів у дотриманні вимог, тому вони знаходять способи обійти це».

Вплив конфліктів надає перевагу новому способу вирішення проблеми кібербезпеки: ставлячи людей прямо в центр суміші.

Багато шляхів до безпеки, орієнтованої на людину

Безпека, орієнтована на людину, враховує поведінку, потреби та обмеження людей на всіх етапах — не лише в плані реагування на інциденти, а й щодня, коли виникають проблеми. Це означає зрозумілу політику, яка зменшує тертя в якомога більшій кількості моментів, меншу складність процесів, пов’язаних із безпекою, позитивне підкріплення замість покарань і допомогу працівникам, коли вони цього потребують, без осуду.

За прогнозами Gartner, до 2027 року це буде половина CISO прийняти орієнтована на людину безпека для зменшення операційного тертя кібербезпеки. А до 2030 року, за прогнозами Gartner, 80% підприємств матимуть офіційно визначену й укомплектовану програму управління людськими ризиками, порівняно з 20% у 2022 році.

Центрування людей – це підхід, який Random Timer, компанія, яка створює однойменну програму продуктивності, використовує для своїх співробітників. Традиційно безпека в основному керувалася технологіями та політикою без належного врахування людського фактору. Засновник компанії Метью Андерсон пояснює, що через це кінцеві користувачі можуть відчувати себе обмежувальними та розчаровуючими.

«Тож ми намагаємося застосувати підхід, орієнтований на людину. Наприклад, коли ми впроваджували нову систему двофакторної автентифікації, ми витрачали багато часу на розмови зі співробітниками про те, що їм подобається, а що ні в нашій старій системі. Ми використали цей відгук, щоб вибрати рішення, яке б вирішило їхні найбільші проблеми, пов’язані зі зручністю та зручністю використання», — говорить він.

Безумовно, тертя є найбільшим ворогом безпечних працівників. І це нестримно: у звіті Gartner нещодавно було виявлено, що більше ніж кожен третій співробітник каже, що вважає засоби контролю та політику кібербезпеки складними для дотримання, нерозумними для їх ролі та суперечать їхнім робочим цілям.

Використання підходів, орієнтованих на технології, допомагає зменшити тертя, але це не може виконати всю роботу. Наприклад, впровадження безпеки браузера та без пароля доступ є хорошими кроками, тому що користувачеві навіть не потрібно думати про них. Але багато компаній досі не впроваджують ці технології, а навіть якщо і впроваджують, то не завжди добре працюють із технологіями десятиліттями, на які працівники все ще покладаються, щоб виконувати свою роботу.

Ці технології також по-своєму все ще викликають тертя. Наприклад, безпечний браузер може блокувати багато поганих речей, але команда безпеки має «дозволяти» все. Це означає, що якщо користувач хоче відвідати новий веб-сайт, він повинен звернутися до служби безпеки, щоб додати його до списку дозволених.

Однак існують технологічні варіанти, які можуть допомогти. Одним з них є спливаюче вікно, засноване на поведінкових ознаках.

«Якщо я надсилаю електронний лист комусь, з ким ніколи раніше не писав, систему можна налаштувати так, щоб я отримував сповіщення, схоже на сучасний контрольний індикатор, де він використовується як попередження про потенційну зміну поведінки, – каже Метью Міллер, керівник відділу послуг кібербезпеки в KPMG. «Це вбудовує технологію з поведінкової лінзи замість лінзи відповідності, і це не застерігає користувача».

Зрозумійте своїх користувачів

Також критично важливо розуміти своїх користувачів, додає Андерсон. Це означає спілкування безпосередньо з користувачами через інтерв’ю, спостереження та опитування. З цими відгуками ви можете створювати прототипи та випускати мінімально життєздатні продукти, щоб зібрати ще більше відгуків для покращення взаємодії з користувачем. Він навіть пропонує залучити експертів з юзабіліті, які б захищали інтереси працівників.

Розуміння поведінки та мотивації користувачів має вирішальне значення, погоджується Міллер. Він наводить приклад, коли він працював у банку — досить давно, коли хмара була ще новою концепцією — кілька тисяч стажерів регулярно працювали там щоліта. Багатьом із них було надано проекти з використанням даних, аналітики даних і хмари слів, тому компанія заблокувала багато сайтів, які дозволяли їм публічно завантажувати свої результати, щоб захистити дані компанії.

Його команда виявила, що один із стажерів завантажив файли в хмару. «Коли його запитали про те, чому і як він це зробив, і що у нього не було проблем, він сказав, що після того, як натрапляв на заблоковані сайти за блокованими, він нарешті знайшов один, який не був заблокований, тому він вирішив, що це, мабуть, затверджений сайт для завантаження даних», – пояснює Міллер.

Деякі компанії доводять розуміння досвіду користувача до крайності, але це дає результати. Наприклад, Santander, найбільший банк Іспанії, навчив свій персонал із кібербезпеки принципам взаємодії з користувачем, що зазвичай є сферою діяльності розробників і співробітників, які працюють із клієнтами. Тепер, коли працівник каже «Я не можу» або порушує політику, співробітники відділу кібербезпеки можуть ставити запитання щодо взаємодії з користувачем. Замість того, щоб запитувати, навіщо вони щось зробили, вони можуть запитати, як часто їм доводиться це робити, чи важко це робити та чи це завдання є важливим для їх робочого процесу. Маючи цю інформацію, команда з кібербезпеки може змінити процес або виключити його з робочого процесу, якщо це не є необхідним.

Звичайно, завжди є навчання компонент, але думати про навчання по-різному є ключовим для орієнтований на людину мислення. Це означає адаптацію навчання до окремих ролей.

«Різні типи співробітників по-різному взаємодіють із технологіями, клієнтами та даними, тому ви повинні бути дуже конкретними, допомагаючи людям розвивати необхідні їм навички та виробляти поведінку, яка потім керуватиме ризиком», — говорить Міллер.

Створіть культуру «так»

Якщо ви очікуєте, що співробітники діятимуть безпечніше, важливо ніколи не говорити «ні». Якщо ви це зробите, вони просто знайдуть спосіб обійти систему, каже Мікстер.

Johnson & Johnson, наприклад, змінила всі заборонені дії зі своєї негативної політики прийнятного використання на позитивну оцінку самообслуговування. На основі відповідей співробітника автоматизована система направить його на безпечний обхідний шлях. Якщо система визначає, що працівник робить щось нове, вона може надіслати у відповідь навчальне відео. Якщо відповіді виявляють, що працівник планує використовувати конфіденційні дані неправильно, це може надіслати йому синтетичні дані репозиторій, який базується на реальних наборах даних, але не включає фактичні власні дані.

Мікстер додає, що компанії, які насправді запитують відгуки, часто працюють краще. SRI, технічна компанія, що базується в Каліфорнії, розміщує поля для коментарів у своїй політиці. Це окупилося уявленням про те, що кіберполітика не настільки зрозуміла тим, хто не входить до кібердомену, що, за словами компанії, призвело до позитивних змін.

Зрештою, це зводиться до типового трикутника люди/процеси/технології, де люди в центрі.

«Технології створюють основу, але процес і філософія ведуть до успіху», — каже Андерсон. «По суті, це вимагає культури, яка охоплює дизайн, орієнтований на користувача, а не лише нові технологічні інструменти».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cybersecurity-operations/human-centric-security-model-meets-people-where-they-are