#CCSE22: Как создать культуру безопасности прежде всего


Группа экспертов обсудила, как организациям следует создать культуру, ориентированную на безопасность, в первый день выставки Cloud & Cyber ​​Safety Expo в Excel, Лондон, Великобритания.

В качестве модератора сессии Джон Скотт, руководитель отдела образования отдела кибербезопасности Банка Англии, выразил свое убеждение в том, что культура безопасности заключается в том, «насколько тесно связаны ваш бизнес и безопасность».

Важным аспектом этого подхода является эффективное обучение пользователей, которое, по словам Бена Дженкинса, старшего инженера по решениям Danger Locker, должно продемонстрировать сотрудникам, «зачем они проходят обучение». Он добавил, что организациям очень легко инвестировать в технологии безопасности, но пользователи, как правило, стараются найти способы обойти системы, чтобы облегчить себе жизнь. Поэтому объяснение конечным пользователям, почему используются эти технологические решения, имеет основополагающее значение для обеспечения эффективности этих инструментов.

Джек Хейворд, глава отдела информационной безопасности Wellcome Believe, заявил, что наиболее серьезным препятствием на пути эффективной культуры безопасности является обеспечение того, чтобы люди «понимали, что они играют свою роль» в кибербезопасности своей организации. Он отметил, что исторически сложилось, что ИТ-команды защищают всех. Однако этот образ мышления больше не работает, поскольку всем сотрудникам «нужен доступ в Интернет, использование электронной почты», что делает их недоступными для защиты групп безопасности.

Дженкинс подчеркнул, что, хотя обучение пользователей важно, технические решения крайне необходимы, поскольку всегда будут ситуации, когда пользователи совершают ошибки, например, нажимают на фишинговую ссылку в электронном письме. Например, он отметил, что подавляющее большинство инцидентов с программами-вымогателями вызвано тем, что пользователь нажимает на вредоносную ссылку в электронном письме, что никогда не может быть полностью устранено. В конце концов, киберпреступникам «должен повезти только один раз», чтобы пройти.

Иногда пользователям предоставляется возможность принять «наименее худшее решение» в отношении кибербезопасности; например, после того, как они сделали первоначальную ошибку, отметил Скотт. Он спросил, как можно научить пользователей справляться с такими сценариями. По мнению Хейворда, ключом к успеху является создание «безопасной возможности сообщать обо всем», то есть среды, в которой сотрудники знают, что «на них не будут кричать или увольнять» за их ошибки.

Затем группа обсудила роль высшего руководства в формировании культуры безопасности. Дженкинс сказал, что получение одобрения со стороны высшего руководства имеет решающее значение, поскольку без него невозможна культура, ориентированная на безопасность. Он считает, что группам безопасности необходимо проводить регулярные вебинары и обучать руководителей высшего звена по кибербезопасности, чтобы продемонстрировать, «почему им нужны решения», и показать им статистику кибератак.

Хейворд согласился, но заявил, что необходимо использовать несколько иной подход, чтобы заручиться поддержкой на уровне совета директоров и руководителей высшего звена. Это включает в себя «разговор о риске с финансовой точки зрения», что заставит их «сразу понять». Другой проводит регулярные учения по моделированию взлома, чтобы на практике продемонстрировать, что произойдет с бизнесом после успешной атаки. «В противном случае это не очень хорошо», — добавил Хейворд.

Скотт также спросил, какие первые шаги должны предпринять организации при разработке культуры, ориентированной на безопасность. Хейворд утверждал, что «скромность важнее всего», поэтому ИТ-команды должны избегать позиционирования себя как защитников и вместо этого четко говорить сотрудникам, что они являются частью решения.

Соглашаясь, Скотт сказал, что службы безопасности должны показать персоналу, что они работают с ними в сфере безопасности, и, играя эту роль, «они помогают бизнесу».

https://cyberxhack.org/