Сотрудники и их недостаточная подготовка в области безопасности являются основными причинами утечки данных и сетевых атак.
Поскольку огромное количество сотрудников теперь работает в гибридных или полностью удаленных средах, что усугубляется ростом киберугроз и информационной усталостью персонала, как никогда ранее, необходимо эффективно создавать и поддерживать культуру безопасности.
В седьмом ежегодном отчете SANS Security Awareness Report опрошено более 1 000 специалистов по безопасности о состоянии осведомленности в вопросах безопасности в их организациях.
Отчет выявил слабые места в распространенных практиках повышения осведомленности. Сотрудники и их недостаточная подготовка в области безопасности остаются основными причинами утечки данных и сетевых атак.
«Люди стали основным вектором атаки киберпреступников по всему миру», — отмечает Лэнс Спитцнер, директор по безопасности SANS. «Люди, а не технологии, представляют наибольший риск для организаций, и специалисты, контролирующие программы повышения осведомленности по вопросам безопасности, играют ключевую роль в эффективном управлении этим риском».
Ключевые выводы отчета:
Рабочие кадры: более 69% специалистов по безопасности тратят менее половины своего времени на общение по вопросам безопасности. Факты показывают, что обязанности по обеспечению безопасности слишком часто возлагаются на сотрудников с высокой технической подготовкой, которым может не хватать навыков, необходимых для эффективного вовлечения своих сотрудников в простые для понимания термины.
Наиболее популярные проблемы. Три основные проблемы при создании зрелой программы повышения осведомленности были связаны с нехваткой времени: нехватка времени для управления проектами, ограничение времени на обучение сотрудников и нехватка кадров.
Воздействие пандемии: Двумя наиболее значимыми последствиями стали проблемы, связанные с более отвлеченным и перегруженным персоналом, и рабочая среда, в которой кибератаки, основанные на человеческих факторах, стали более частыми и эффективными.
Зрелость программ по регионам: Во всех регионах мира наиболее распространенными уровнями зрелости текущих программ являются ориентированность на соблюдение нормативных требований и информированность/изменение поведения.
Показатели успешной программы: Сильная поддержка руководства, увеличение размера команды и более высокая частота тренингов возглавили список ключевых факторов, способствующих успеху программы.
При определении факторов успеха программы в отчете были выявлены три момента, способствующие повышению осведомленности:
Мероприятия по усилению поддержки со стороны руководства. Один из основных способов повысить заинтересованность руководства — говорить об управлении рисками, а не о соблюдении требований, и объяснять, ПОЧЕМУ вы что-то делаете, а не ЧТО вы делаете. Кроме того, необходимо создать ощущение срочности, используя данные, и донести ценность, продемонстрировав соответствие приоритетам руководства.
Увеличение размера команды: Рекомендовано задокументировать и сопоставить, сколько людей в команде безопасности сосредоточено на технологиях, а сколько - на человеческих рисках; создать документ, полностью объясняющий потребности в персонале, и развивать партнерские отношения с ключевыми отделами, которые смогут помочь разработать способы донесения информации о ценности программы.
Более частое обучение: организациям рекомендуется взаимодействовать или обучать своих сотрудников не реже одного раза в месяц. Обеспечение простоты и легкости проведения тренинга стало ключом к увеличению возможностей для вовлечения и обучения персонала.
Лечим цифровую неграмотность без побочных эффектов