Как введение «культуры справедливости» повышает безопасность



Когда организации пытаются ориентироваться в современных структурах кибербезопасности, возникает неудобная истина: в какой-то момент даже самая лучшая система даст сбой или выйдет из строя. Последующий хаос может поставить организацию под угрозу, а также привести к культурным сбоям.

«Люди начинают обвинять друг друга», — говорит Ричард Могулл, основатель, генеральный директор и аналитик консалтинговой компании Securosis.

Неудивительно, что когда начинают обвинять, ситуация может очень быстро стать безобразной. По крайней мере, могут вспыхнуть страсти. В худшем случае люди могут почувствовать себя козлами отпущения и в конечном итоге проигнорируют риски или даже покинут компанию. В условиях острой нехватки рабочей силы в сфере кибербезопасности это может привести к катастрофе.

В результате набирает обороты концепция, именуемая «справедливой культурой». Хотя это не панацея, оно может помочь организациям справиться с неизбежными проблемами и помочь потушить огонь, когда что-то пойдет не так.

«Он пытается решить фундаментальную проблему, а не возлагать вину на отдельного человека или группу», — объясняет Могулл.

Просто культура не об устранении ответственности. Он также не пытается приукрасить сбои и сбои. Он подчеркивает ответственность, спрашивая: «Что пошло не так?” скорее, чем, «Кто вызвал проблему?» Как говорит Брюс Маккалли, директор по безопасности консалтинговой фирмы Galactic Advisors, «это признание того, что культура лежит в основе успешной кибербезопасности».

Выход за пределы вины
Доверие, подотчетность и постоянное совершенствование служат основой справедливой культуры. Эта концепция берет свое начало в авиационной промышленности, хотя она прижилась в здравоохранении и многих других областях.

«Осознание состоит в том, что многие ошибки и ошибки происходят из-за того, что система имеет врожденный недостаток», — говорит Могулл. «Человек, делающий ошибку, — это просто симптом основной проблемы».

Сторонники утверждают, что кибербезопасность идеально сочетается со справедливой культурой. Сегодняшняя путаница приложений, устройств, облаков и пользователей не только делает безопасность невероятно сложной, но и гарантирует возникновение ошибок и проблем. Вместо того, чтобы сосредотачиваться на человеческой небрежности, справедливая культура направлена ​​на выявление основной причины неудачи, а затем на принятие мер по ее устранению.

«Культура, ориентированная на вину и наказание, вряд ли принесет наилучшие результаты», — говорит Роберт Боулз, президент фирмы Blokworx, специализирующейся на кибербезопасности.

С другой стороны, выявление первопричины проблем может оказаться трансформирующим. Могулл сравнивает ситуацию с фельдшером, который может дать не то лекарство, если две бутылочки похожи друг на друга, или с пилотом авиалинии, который может принять неправильное решение, если два датчика легко спутать.

«Цель состоит в том, чтобы уменьшить вероятность человеческой ошибки и устранить факторы, приводящие к проблеме, до того, как она возникнет», — говорит он.

Например, в сфере кибербезопасности справедливая культура может привести к переосмыслению программного обеспечения и рабочих процессов, чтобы избежать теневых ИТ, внедрению таких протоколов, как надежное управление идентификацией и доступом (IAM) и многофакторная аутентификация (MFA), чтобы избежать сбоев аутентификации, и принятию таких протоколов, как 802.1x для лучшего контроля и управления доступом к сети, включая беспроводные устройства.

Безусловно, правильный набор инструментов, технологий и правил сужает — а в некоторых случаях и устраняет — предел погрешности для людей. Когда они сочетаются с четкими стандартами приемлемого и неприемлемого поведения, формируется культура подотчетности.

В этот момент акцент смещается с вины на ответственность. «Если вы заметили, что люди не соблюдают политику, вам нужно внимательно изучить, как и почему они этого не делают», — говорит Маккалли. «На пути к устранению проблемы может возникнуть несколько проблем».

Из-под контроля
Хотя заманчиво и удивительно легко найти человеческую цель, когда что-то идет не так, иногда люди все же ошибаются. По словам Маккалли, когда организация выявляет явное нарушение политики, грубую небрежность или злой умысел, результатом должны быть дисциплинарные или судебные иски.

Просто культура признает этот факт. Умышленные нарушения и халатность не остаются незамеченными. Люди, совершающие меньше ошибок, получают обратную связь и информацию о том, как они могут улучшить свое поведение, например, не переходить по ссылкам в электронных письмах или подключаться к Wi-Fi через общедоступную точку доступа.

По словам Могулла, успех инициативы в области справедливой культуры также зависит от слов и действий руководства. «Бизнес-лидеры должны взять на себя ответственность за свою культуру и задать правильный тон», — говорит он. «Это означает отказ от игры с обвинением и продвижение идеи о том, что решение фундаментальных проблем жизненно важно».

Например, необходимо установить формальные механизмы отчетности, в том числе возможность для людей оставаться анонимными. Также очень важно установить процесс тщательного расследования инцидентов и обеспечения того, чтобы они привели к соответствующим действиям. При этом очень важно информировать ключевые группы ИТ, безопасности и бизнеса в целом. Наконец, важно обмениваться данными, отмечать улучшения и активно работать над областями, требующими изменений.

Что делает культуру такой мощной, так это то, что люди могут свободно указывать на ошибки и проблемы — и их никоим образом не наказывают за это, говорит Могулл. Вместо того, чтобы наказывать людей или назначать их для решения проблемы, которую они обнаружили, или за ошибки, которые они непреднамеренно допустили, организация вознаграждает их.

«Конечная цель — создать культуру, которая выходит за рамки эгоизма и козлов отпущения и вместо этого фокусируется на снижении системных рисков», — заключает Могулл.

https://cyberxhack.org/