Великая отставка и кадровые перестановки: как защитить свою организацию от инсайдерского риска


бросить.jpg
Изображение: iStockphoto/Motortion

Офисы начинают вновь открываться, но гибридная работа по-прежнему остается реальностью для многих организаций. И хотя поток смен работы, получивший название «Великая перестановка», происходит преимущественно среди передовых работников, эти организации по-прежнему имеют дело с новыми сотрудниками, которые еще не знакомы с корпоративными процессами, независимо от того, приходят ли они в компанию сейчас, не встречаясь со своими коллегами лично, или приезжают. в офис первый раз.

Предприятия обратились к технологиям для удаленной и гибридной работы, но первоначально основное внимание уделялось производительности и поддержке сотрудников, а ИТ-команды часто возвращались к рассмотрению вопросов безопасности и соответствия требованиям после того, как первоначальная необходимость перейти на удаленную работу была срочной. Помимо защиты устройств, используемых дома для работы, от злоумышленников, организациям требовался аудит и предотвращение потери данных, чтобы убедиться, что сотрудники следуют правильным процессам при работе с данными.

ПОСМОТРЕТЬ: Google Workspace и Microsoft 365: параллельный анализ с контрольным списком (TechRepublic Top rate)

Инсайдерский риск заключается не только в том, что недовольные сотрудники уносят с собой конфиденциальные данные, когда уходят. По словам Алима Райани, генерального менеджера по соблюдению требований и конфиденциальности в Microsoft, более половины внутренних угроз, как правило, являются непреднамеренными. Почти в трех четвертях организаций, участвовавших в исследовании CMU, в 2020 г. произошло более пяти злонамеренных инсайдерских инцидентов (69%), но еще больше было как минимум столько же непреднамеренных инсайдерских проблем, когда данные или доступ были непреднамеренно использованы не по назначению.

Он предположил, что смена условий работы только усугубляет проблему. «В соответствии все дело в управлении изменениями, потому что ничто никогда не бывает статичным, но это больше изменений, чем, я думаю, кто-либо когда-либо привык».

«Уходят сотрудники; также присоединяются сотрудники. Новые сотрудники, которые не понимают всех протоколов или руководств и всего, что связано с вступлением в организацию, могут непреднамеренно делать вещи, которые создают риски, и вы знаете, они не хотели этого», — отметил Райани.

«В моей команде за последний месяц мы наняли трех новых людей, и они учатся обращаться с конфиденциальной информацией». Группа Райани имеет доступ к информации, используемой для финансовой отчетности Microsoft, на которую распространяются различные правила. «На самом деле я только что отправил записку одному из моих коллег, в котором говорилось: «Давайте следовать этому автоматизированному протоколу, который у нас есть, в отношении того, как эти пользователи получают доступ к этой информации, как она помечается». И это не потому, что эти пользователи злонамеренны, а потому, что они узнают, как Microsoft обрабатывает эти данные».

Помогайте, а не мешайте

Инсайдерское управление рисками — это способность выявлять, понимать и реагировать на потенциальные угрозы внутри вашей организации, не снижая производительности и не запугивая сотрудников, которые ошибаются. Вместо этого вы хотите использовать инциденты для обучения пользователей и помогать им оставаться в рамках политики. Для этого вы должны знать, что является нормальным для вашей организации и ваших сотрудников. Подозрительно ли, если кто-то очень быстро получает доступ к тысячам файлов? Это зависит от того, являются ли они файлами с данными о клиентах или файлами в репозитории разработчиков, где работа с кодом может означать автоматическое копирование большого количества файлов, и от того, является ли человек, который это делает, разработчиком.

Функция Insider Possibility Control в подписках Microsoft 365 E3 использует машинное обучение для поиска таких шаблонов, включая последовательности действий, которые могут быть незаметными, например изменение метки конфиденциальности в документе.

«Если кто-то понизит статус документа с конфиденциального до общедоступного, он может сделать это, потому что тогда он может передать этот документ куда-то незаметно. Может быть неочевидно, к чему это ведет, но когда вы начинаете сопоставлять этот сигнал с другими происходящими событиями, вы можете понять, как может выглядеть эта корреляция», — пояснил он.

Удаленная работа создает новые шаблоны, которые могут подвергать данные риску, но их необходимо рассматривать в контексте.
Изображение: Майкрософт. Удаленная работа создает новые шаблоны, которые могут подвергать данные риску, но их необходимо рассматривать в контексте.

Это может быть признаком того, что кто-то отправляет информацию за пределы компании (что Microsoft называет кумулятивной эксфильтрацией) — или он может просто поместить ее в облачное хранилище, чтобы иметь возможность просмотреть ее, когда работает из дома или в пути. на прием к врачу. «Если пользователи работают по-другому, и вы начинаете адаптироваться к этому, то вы можете понять, что происходит, когда документ был понижен, а затем загружен на веб-сайт».

Вместо того, чтобы мешать пользователям делать это и потенциально мешать им выполнять свою работу, вы можете подтолкнуть их к лучшим способам работы. «Лучшее, что вы можете сделать, — это научить пользователя в данный момент. Если они сделают что-то подобное, вы можете автоматически отправить электронное письмо со ссылкой на руководство или ссылку на обучение или совет. Вы можете использовать ситуации в реальном времени, чтобы научить свою организацию правильно обрабатывать данные».

Один из способов понять поведение пользователя без снижения производительности — предложить пользователям объяснить, почему они что-то делают. Когда вы меняете метку документа с конфиденциальной на общедоступную, это может быть сделано для удобства или потому, что секретный проект объявляется как новый продукт, поэтому вы хотите, чтобы люди могли узнать подробности.

Организации могут устанавливать политики для управления тем, какие документы могут быть переименованы и почему. «Если организация настраивает портал защиты информации на требование обоснования, то пользователь может указать «Я хотел получить этот документ, чтобы просмотреть его на моем телефоне, когда я иду к врачу». Но скажем, у вас есть информация, связанная с сообщением в SEC, и это большой риск, вы можете сказать, что я никогда не хочу, чтобы что-то, что помечено таким образом, когда-либо могло быть понижено, и, к сожалению, этому пользователю придется это сделать. по-другому, потому что это так чувствительно».

Шаблоны также могут быть сезонными: сотрудники вашей бухгалтерии могут просматривать ключевые финансовые данные только один раз в квартал или даже один раз в год. Rayani рекомендует организациям включать Insider Possibility Control, даже если они не планируют использовать его немедленно, потому что изначально система анализирует данные только за десять дней. «Вы позволяете системе учиться со временем и распознавать образы, а также узнавать, что выходит за рамки нормы, в течение более длительного периода времени».

Вы также можете создавать политики на основе правил, когда система обнаруживает поведение, которое выглядит необычным, но является одним из этих сезонных шаблонов, чтобы избежать получения одного и того же ложного срабатывания каждый год.

Установка приоритетов

Когда рабочие привычки все еще меняются, машинное обучение означает, что система будет изучать новую норму по мере ее возникновения, поэтому вы знаете, когда поведение действительно необычное, а не просто незнакомое. «У нас есть новая возможность идентифицировать и предупреждать выше, когда модель машинного обучения говорит: «Действия этого конкретного пользователя выше, чем в среднем для вашей организации». И, конечно же, эта организация может со временем меняться, поскольку меняется поведение пользователей, когда люди находятся на борту и вне его.

«Что действительно важно, так это то, что это по отношению к тому, что следует считать нормой для вашей организации, и когда вы говорите: «Хорошо, это настолько далеко от статистической нормы для моей организации, что мне действительно нужно сортировать это и действовать». быстро на нем ».

Он также учится на том, как аналитики безопасности создают и сортируют результаты. Это важно, чтобы избежать ложных срабатываний, которые тратят время вашей команды безопасности и соответствия требованиям. «Как мы можем помочь тому, что обычно представляет собой небольшая группа аналитиков или исследователей, более эффективно выявлять и сортировать эти риски, то есть находить нужные и делать это быстрее?»

ПОСМОТРЕТЬ: Home windows 11: советы по установке, безопасности и т. д. (бесплатный PDF) (TechRepublic)

Управление рисками предварительной оценки Microsoft 365 основано на тех же методах, которые SharePoint использует для автоматической классификации документов как важных или конфиденциальных. Эти обучаемые классификаторы изучают, как пользователи классифицируют документы, и им требуется около 30 документов, чтобы создать шаблон для подражания.

Клиенты, предоставляющие финансовые услуги, уже используют эти модели машинного обучения в Microsoft 365 для обеспечения соответствия коммуникационным требованиям, мониторинга внутренних телефонных звонков и чатов между брокерами и дилерами для предотвращения инсайдерской торговли. Другие регулируемые отрасли используют его для защиты активов, обнаружения нарушений кодекса поведения, таких как распространение неприемлемого контента, а также в таких отраслях, как здравоохранение, где они обязаны отслеживать жалобы клиентов.

«Если что-то не так с лекарством или что-то обнаружено в продукте, они обязаны отслеживать эти жалобы и реагировать на них», — пояснил Райани. «У нас есть классификатор жалоб клиентов, который находит эти возможные жалобы и выявляет совпадения, чтобы они могли обрабатывать и официально регистрировать эти вещи в соответствии со своими нормативными требованиями».

Но даже отрасли, в которых нет требований соответствия и регулирования, теперь могут использовать соответствие коммуникационным требованиям для повышения удовлетворенности клиентов. «Они внедряют его, чтобы убедиться, что они поступают правильно со своими клиентами. Они могут легче выявлять жалобы клиентов в чате и в других ситуациях, справляться с ними, делать своих клиентов счастливее и улучшать свой бренд».

Это отличается от обычного анализа настроений, в котором используется тон языка для добавления контекста. Здесь классификатор смотрит на слова, которые люди используют, будь то «пломба была повреждена», «мое лекарство было заражено» или другие фразы, которые, как вы ожидаете, будут использовать недовольные клиенты.

Поймите, что клиенты говорят в отзывах, обучив классификатор, который знает о вашей компании.
Изображение: Майкрософт. Поймите, что клиенты говорят в отзывах, обучив классификатор, который знает о вашей компании.

По словам Раяни, оставление ваших клиентов недовольными — это другая проблема, чем проблема пользователей, которые раскрывают данные, случайно или намеренно, но все же это риск, которым некоторые организации хотят управлять. Как и в случае с более привычным управлением рисками для инсайдеров, цель состоит в том, чтобы дать клиентам возможность контролировать то, что им важно.

«Они могут определить свои собственные пороги риска, свои приоритеты соответствия, свои цели. Некоторые из наших клиентов просто пытаются выполнить обязательные нормативные требования. Другие хотят использовать эти инструменты для поддержания корпоративной культуры, а третьи хотят оптимизировать работу с клиентами — или все вместе».

https://cyberxhack.org/