Безопасность: общая ответственность (часть 3)

Опубликовано: 6 Апреля, 2023

  • Безопасность: общая ответственность (часть 2)
  • Безопасность: общая ответственность (часть 4)
  • Безопасность: общая ответственность (часть 6)

Введение

В этой серии статей, состоящей из нескольких частей, мы рассмотрим общую картину сфер ответственности в области безопасности и то, как каждый компонент (внутренняя должность или внешнее лицо) вписывается в головоломку, а также обсудим важность определенных зон ответственности.. В первой статье серии мы подробно рассмотрели роль CSO или CISO на вершине структуры ИТ-безопасности. Во второй части мы продолжили обсуждение, изучив роль (роли) безопасности ИТ-администраторов, а затем обсудили обязанности внешних подрядчиков, консультантов и партнеров, которым вы предоставляете доступ к некоторым или всем вашим ИТ-ресурсам.

Сделайте конечных пользователей частью команды безопасности

Слишком часто в слишком многих организациях кажется, что роли ИТ-администратора и конечного пользователя являются враждебными отношениями. Ни в какой области это не является более верным, чем когда речь идет о безопасности. Это имеет смысл, потому что цели и приоритеты этих двоих настолько далеки друг от друга, насколько это вообще возможно.

Конечные пользователи заинтересованы в том, чтобы их работа была выполнена. И давайте будем до конца честными, они также хотят иметь возможность немного поработать на персональном компьютере во время перерывов или обеденного перерыва, а также до и после «часовых» рабочих часов. Все это сводится к тому, что пользователи хотят получить доступ.

Они хотят иметь доступ к внутренним ресурсам компании, которые необходимы для выполнения их работы. Они хотят иметь доступ к веб-ресурсам, которые им нужны для исследования рабочих вопросов. Они хотят иметь возможность свободно взаимодействовать с поставщиками, партнерами, клиентами и другими рабочими коммуникациями за пределами локальной сети. И да, они хотят получить доступ к Facebook, Twitter, своим личным учетным записям электронной почты, своим личным учетным записям облачных хранилищ и своим любимым веб-сайтам — будь то сайт вязального клуба, сайт дрэг-рейсинга, шахматный сайт или просто сайт новостей или погоды..

ИТ-администраторы и специалисты по безопасности заботятся о безопасности сети и защите ресурсов и данных компании. Для этого им приходится ограничивать доступ, как входящий, так и исходящий. Каждый пакет, поступающий в локальную сеть, потенциально может содержать вирус, вредоносное ПО или служить вектором для атаки типа «отказ в обслуживании». Каждый отправляемый пакет потенциально может содержать конфиденциальную коммерческую тайну компании или конфиденциальную информацию о клиенте или персонале сотрудников.

Разницу иллюстрируют противоположные взгляды на тенденцию «принеси свое собственное устройство» (BYOD), которая проникла во многие компании. Сотрудники любят BYOD, потому что это дает им больше свободы выбора и гибкости. В целом, большинству из них нравится возможность выбирать тип, марку и модель устройства, которые они будут использовать для работы, и им нравится чувство собственности, даже когда это означает, что они должны платить за это сами.

С другой стороны, большинство ИТ-специалистов не в восторге от BYOD, потому что это может стать кошмаром для безопасности и администрирования. Устройства, принадлежащие сотрудникам, не только труднее отслеживать и обеспечивать установку всех последних обновлений безопасности, но и не находятся под жестким контролем ИТ-отдела.

Пользователи воспринимают устройства как и ожидают, что смогут устанавливать любые приложения, которые захотят, брать их с собой, куда захотят, и использовать их, как захотят, в свободное от работы время. Это означает, что они подключают их к сетям, которые могут быть небезопасными и рискуют занести вредоносное ПО в остальную часть корпоративной сети.

Конечно, высшее руководство склонно смотреть на BYOD с другой точки зрения, глядя на него снизу вверх. А счетчикам бобов обычно нравится идея переложить стоимость оборудования и обслуживания на сотрудников. Несмотря на свои проблемы с безопасностью, ИТ-администраторы оказываются в меньшинстве, и BYOD процветает.

Но из-за этих проблем с безопасностью ИТ-отдел постоянно воздвигает препятствия на пути пользователей, расстраивая их и замедляя или полностью блокируя их способность делать то, что они хотят. Неудивительно, что эти двое постоянно враждуют и рассматривают друг друга если не как врагов, то, по крайней мере, как противников в бесконечной игре.

Хорошая новость в том, что так быть не должно.

Превратите безопасность в совместную работу

Чтобы привлечь конечных пользователей к вашей стратегии безопасности, вы должны сначала убедить их, что в ней есть что-то для них. Образование, а не запугивание, является ключом. В конечном счете, у вас есть технологические средства для предоставления или отказа в доступе, который хотят пользователи. К сожалению, слишком много ИТ-администраторов используют эту власть в карательных целях, и это просто мотивирует пользователей находить способы обойти ваши меры безопасности.

Обучение по вопросам безопасности – правильный путь

Обучение по вопросам безопасности является обязательным для каждой организации, но есть правильный и неправильный способ его проведения. Если это станет просто длинным перечислением того, что «ты не должен» делать, это не вдохновит пользователей подчиниться (при условии, что они даже не заснут во время презентации).

Хорошая обучающая программа по вопросам безопасности для конечных пользователей достаточно интересна, чтобы привлечь их внимание, но достаточно серьезна, чтобы убедить их в высоких ставках и негативных последствиях для всех, когда происходит нарушение безопасности. Это способствует формированию отношения «мы все вместе» и превращает конкуренцию между ИТ и пользователями и злоумышленниками, а не между ИТ и пользователями.

Не существует универсальной учебной программы по безопасности. Несмотря на то, что есть некоторые общие темы, которые необходимо охватить, и некоторые общие принципы, которым необходимо следовать, успешная программа будет адаптирована к конкретной аудитории, а это различается даже в рамках одной компании. Сгруппируйте сотрудников по их должностным обязанностям и сделайте обучение соответствующим задачам, которые они фактически выполняют каждый день.

Помните, что конечные пользователи не являются ИТ-специалистами. Один из самых быстрых (и, к сожалению, наиболее распространенных) способов потерять интерес этих пользователей — это болтать над их головами, используя технический жаргон, которого нет в их словарном запасе, и описывая технические концепции, которые они не понимают. Некоторые группы пользователей, вероятно, будут более технически подкованными, чем другие, поэтому настройте уровень контента в соответствии с каждой группой.

Лучшие обучающие программы не относятся к пользователям как к пассивным ученикам, сидящим в классе. Это вовлекает их в процесс с помощью интерактивных упражнений, упражнений, игр, ролевых игр и т.д.

Не менее важным, чем содержание обучения, является то, кто его проводит, потому что от этого во многом зависит, оно будет проводиться. Человек в организации, обладающий наибольшим опытом в области безопасности, не обязательно лучше всех умеет привлекать и мотивировать людей. Конечно, обучение должен проводить кто-то, кто знает и понимает, о чем говорит, и способен отвечать на вопросы, а не только тот, кто прочитал содержание и повторяет план урока, не работая в сфере безопасности.

Может быть трудно найти кого-то, у кого есть такое сочетание: глубокие знания в области безопасности плюс талант к коммуникациям. Однако будьте осторожны, нанимая сторонних экспертов для проведения обучения по вопросам безопасности. Некоторые превосходны; другие просто проводят одну и ту же готовую презентацию снова и снова для каждой группы в каждой организации. Ищите учебную компанию, которая адаптирует обучение, и по возможности используйте внутренних инструкторов, потому что никто другой не знает уникальные проблемы и личную динамику вашей организации лучше, чем кто-то, кто является частью «семьи».

Независимо от качества, обучение по вопросам безопасности — это только первый шаг. Последующие действия и постоянное участие необходимы для того, чтобы ваши конечные пользователи сохраняли знания, усваивали их и действительно становились функциональной частью вашей команды безопасности. Тренировка осознанности — это именно то, что нужно; он стремится заставить людей осознать то, на что они раньше не обращали внимания. Сколько пользователей даже не осознают, что они ответственность за безопасность корпоративной сети? Это должно быть в их должностных инструкциях, в политике компании и внушаться в сознании как ИТ-персонала, так и пользователей.

Резюме

В части 3 этой серии, посвященной безопасности как общей ответственности, мы начали обсуждение роли и обязанностей конечных пользователей в составе группы безопасности. В части 4 мы продолжим в том же духе, более подробно обсудив, каковы обязанности пользователя, а затем перейдем к обязанностям поставщиков программного обеспечения.

  • Безопасность: общая ответственность (часть 2)
  • Безопасность: общая ответственность (часть 4)
  • Безопасность: общая ответственность (часть 6)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023