Обучение по вопросам безопасности: ваша первая линия защиты (часть 1)
Введение
Вполне логично, что те, кто каждый день находится на передовой — пользователи, которые запускают приложения, посещают веб-сайты, управляют электронной почтой и т. д., — часто являются определяющими факторами того, произойдет ли нарушение безопасности в вашей сети. Тем не менее, многие организации создают «политику допустимого использования», раздают ее новым сотрудникам и называют это программой обучения по вопросам безопасности. Настоящее обучение выходит далеко за рамки распространения и разъяснения политики компании. В этой статье мы рассмотрим, почему обучение по вопросам безопасности так важно, преимущества и недостатки разработки собственной программы или заключения контрактов со специалистами, а также то, что должна включать в себя хорошая программа обучения по вопросам безопасности.
Важность осведомленности о безопасности
Сегодня многие рабочие места подлежат государственному или отраслевому регулированию, и его несоблюдение может привести к порицанию, штрафам или худшим последствиям. В некоторых организациях есть юридические предписания, которые требуют, чтобы работники были обучены и/или «информированы» в отношении осведомленности об информационной безопасности. Например:
- Федеральный закон об управлении безопасностью информационных систем (FISMA) требует, чтобы федеральные правительственные агентства гарантировали, что все пользователи их информационных систем знают о своих обязанностях в области безопасности, и агентства должны документировать свое обучение по вопросам безопасности. В документе «Требования к обучению по информационной безопасности» Национального института стандартов и технологий указано, что все пользователи проходят обучение по вопросам безопасности, онлайн или лично, не реже одного раза в год, а те, кто назначен ответственным за информационную безопасность, должны получить официальную роль. обучение безопасности на базе.
- HIPAA (Закон о переносимости и подотчетности медицинского страхования), раздел 164.308, требует, чтобы каждая организация в отрасли здравоохранения внедрила программу обучения и повышения осведомленности о безопасности для всех своих сотрудников (включая руководство).
- Публичные компании, подпадающие под действие Закона Сарбейнса-Оксли (SOX), регулируются разделом 404, касающимся целей контроля для информационных технологий, который обязывает компании назначать инструкторов и своевременно организовывать учебные занятия, а также регистрировать регистрацию, посещаемость и оценки эффективности..
- В Канаде Закон о защите личной информации и электронных документов (PIPEDA) в разделе 1, пунктах 4.1.4(c) и 4.7.4 гласит, что «Организации должны внедрять политику и практику для реализации принципов, включая … (c ) Обучение персонала и доведение до персонала информации о политике и практике организаций».
Тем не менее, даже если ваша компания работает в нерегулируемой в настоящее время отрасли, программа повышения осведомленности о безопасности в масштабах всей компании должна быть частью вашей общей стратегии информационной безопасности. Исследование, проведенное исследовательской компанией Forrester в сентябре 2012 года, показало, что большинство нарушений безопасности данных в Северной Америке и Европе совершаются сотрудниками, причем подавляющее большинство из них происходит из-за непреднамеренных действий, а не злонамеренных инсайдеров. То же исследование показало, что лишь немногим более половины сотрудников, отнесенных к разряду информационных работников, заявили, что им известны политики безопасности их организаций.
Эти результаты подтвердили выводы опроса, проведенного ранее в этом году Ponemon Institute и Trend Micro, который показал, что не только сотрудники были основной причиной утечки данных, но и что только в 19 процентах случаев сотрудники сообщали об инциденте самостоятельно. – возможно, потому, что они даже не поняли, что это произошло. Последнее ежегодное исследование Ponemon о стоимости утечек данных показывает, что средняя стоимость утечки данных для организации составляет 5,5 миллиона долларов; хотя это меньше, чем в предыдущем году в 7,7 миллиона долларов, это все еще значительная сумма денег. Конечно, не всегда возможно точно оценить денежную стоимость таких нематериальных активов, как потеря деловой репутации, ущерб репутации и потенциальный бизнес, который мог быть потерян, если об утечке данных станет известно всем.
Если сотрудники вызывают утечку данных, потому что они не знают политики компании или не понимают, как применять безопасные методы, то имеет смысл принять меры для их обучения.
Внедрение программы повышения осведомленности о безопасности
После того как вы решили внедрить программу обучения по вопросам безопасности, необходимо принять множество решений. Не существует универсального решения для всех; Правильный выбор зависит от многих факторов, в том числе:
- Количество пользователей компьютеров в вашей организации
- Уровень владения компьютером и существующие уровни знаний о безопасности ваших пользователей
- Тип и конфиденциальность данных, которые обрабатывают ваши работники
- Ваши существующие политики использования (разрешено ли работникам использовать рабочие компьютеры для личного просмотра веб-страниц, электронной почты и т. д. во время перерывов/обеда? разрешено ли работникам подключать свои собственные устройства к сети компании? разрешено ли работникам устанавливать приложения, запускать веб-технологии, такие как как Java, ActiveX, Flash и т. д.?)
- Юридические или отраслевые требования, применимые к вашей организации
- Уровень квалификации и объем работы штатных сотрудников службы безопасности
- Бюджет
Вы можете подумать, что небольшая компания, которая не обрабатывает сверхсекретную информацию и не работает в регулируемой отрасли, не нуждается в особом обучении по вопросам безопасности, но на самом деле безопасность — это не только защита компании. секреты или личную информацию клиентов. Небрежные или непреднамеренные действия сотрудников по обеспечению безопасности могут сделать вашу сеть уязвимой для атак, которые выведут ее из строя на несколько часов или даже дней. Это может помешать сотрудникам выполнять свою работу и затруднить связь с вами ваших клиентов (или потенциальных новых клиентов).
Поскольку малые предприятия часто работают с более низкой маржой и не имеют денежных резервов или возможности заимствования, чтобы удержать их во время сбоя сети, как крупная корпорация, они делают все возможное, чтобы ваши сотрудники знали, как помочь сохранить вашу сеть и системы. безопасность может быть еще важнее для «маленьких парней».
Есть разница между реализацией программы повышения осведомленности о безопасности «просто так, чтобы вы могли сказать, что сделали это» и реализацией программы повышения осведомленности о безопасности, адаптированной для удовлетворения уникальных потребностей вашей организации.
Точно так же, как единая учебная программа не может эффективно удовлетворить потребности каждой компании, точно так же один и тот же материал не может наилучшим образом обеспечить обучение, необходимое различным работникам в организации, если только организация не очень мала и все рабочие места и опыт работников не распределены. очень похожий. Вот почему NIST основывает свои стандарты обучения на модели. Хотя базовая информация о безопасности будет применима ко всем сотрудникам и подрядчикам, которые взаимодействуют с компьютерными системами в вашей организации, вы должны пойти дальше и провести обучение, соответствующее и специфичное для существующих знаний и навыков каждого работника или группы, а также для задачи, которые они выполняют, и данные, с которыми они работают.
Ваша цель должна заключаться в том, чтобы вывести сотрудников за пределы простого проблем безопасности и их тому, как оценивать последствия для безопасности в различных ситуациях и как применять передовые методы обеспечения безопасности при выполнении ими своих повседневных обязанностей.
Сделай сам или нет?
Одно из первых решений, которое необходимо принять перед тем, как вы фактически развернете программу повышения осведомленности о безопасности, — это вопрос о том, кто будет разрабатывать и проводить обучение. В частности, будет ли он разработан и предоставлен внутренним персоналом компании (и если да, то будет ли это выполнено ИТ-отделом, отделом кадров или кем-то еще?) или ваша организация заключит контракт с компанией, которая специализируется на таком обучении? Есть преимущества и недостатки в обоих направлениях.
Делая это самостоятельно, вы можете (или не можете) сэкономить деньги. Рассматривая это с точки зрения затрат, важно учитывать не только время, которое будет потрачено на фактическое проведение курса (курсов), но и время, затраченное на разработку учебного плана, составление учебных пособий и подготовку к курсу. Преподаватели часто тратят столько же или больше часов вне классной комнаты, как и в ней. Какова почасовая стоимость времени в уровне заработной платы сотрудников, которые будут выполнять эту дополнительную работу?
Работа с обучающей компанией может позволить вам получить выгоду от эффекта масштаба; учебная программа, скорее всего, уже будет разработана и введена в действие, а затраты на разработку распределены между многими клиентами. Это также означает, что вы, вероятно, сможете гораздо быстрее внедрить программу обучения. Однако это также может означать, что обучение представляет собой скорее «законсервированный» пакет, который не предназначен специально для вашей компании и людей, которые в ней работают.
В некоторых случаях работники могут быть более восприимчивы к обучению у кого-то, кто является «одним из нас», потому что есть ощущение, что они понимают уникальные проблемы работы в вашей организации. В других случаях они могут иметь больше уважения и с большей вероятностью будут доверять обучению со стороны, которого считают более «экспертом» в данной теме. Вам придется оценить отношение людей в вашей организации.
Если вы рассматриваете подход «сделай сам», важно подумать не только о том, какой отдел, но и о том, какие сотрудники в этом отделе будут проводить обучение. Некоторые люди очень хорошо разбираются в теме, но не умеют передавать эти знания другим, поэтому убедитесь, что у вас есть опытные и компетентные преподаватели. Это может стать камнем преткновения для небольшой компании с ограниченными кадровыми ресурсами. Даже если у вас есть квалифицированные инструкторы, есть ли у них время, которое они могут посвятить этим усилиям наряду с любыми другими рабочими обязанностями, которые у них могут быть? Перегруженный и/или просто не желающий быть инструктор чуть ли не хуже неопытного и неподготовленного.
От того, какой выбор вы сделаете, будет зависеть, какими должны быть ваши следующие шаги.
Резюме
В части 1 этой серии, посвященной реализации программы обучения и повышения осведомленности о безопасности для ваших пользователей, мы подчеркнули, почему такая программа необходима и важна в первую очередь, факторы, которые следует учитывать при выборе модели реализации, и, в частности, как решить, стоит ли сделайте это как внутренний проект или заключите контракт со сторонней обучающей компанией.
В следующем выпуске мы углубимся в особенности разработки собственной программы, а затем поговорим о некоторых советах, которые помогут вам получить максимальную отдачу от заключения контракта с обучающей компанией. Увидимся в следующий раз! – Деб.