Почему вы должны предоставить своим сотрудникам право принимать решения в области кибербезопасности

Опубликовано: 2 Апреля, 2023
Почему вы должны предоставить своим сотрудникам право принимать решения в области кибербезопасности

Одно лишь предположение о том, что сотрудникам должна быть предоставлена большая автономия в принятии решений по кибербезопасности, вызвало бы дрожь у многих руководителей высшего звена. Во всяком случае, процедуры ИТ-безопасности часто вращаются вокруг того, чтобы внимательно следить за сотрудниками, чтобы убедиться, что они всегда поступают правильно. Но действительно ли такая рутинная микроуправляемая безопасность так эффективна, как ее изображают?

Микроуправление безопасностью требует больших затрат времени и ресурсов. Что еще хуже, это не всегда обеспечивает желаемую степень соответствия. Может быть, предприятиям пора перейти к более доверительному подходу?

Это не означает политику «все идет». Скорее, речь идет о том, чтобы предоставить работникам возможность использовать свои знания, опыт и чувство суждения для принятия правильных решений в области безопасности. В конце концов, у вас не может быть процедур безопасности, направленных на устранение всех мыслимых угроз. Персонал, который может думать на ходу, безусловно, является ценным активом.

Предоставление вашим сотрудникам большей свободы действий при принятии решений в области кибербезопасности требует фундаментального отказа от традиционного подхода. Новая модель будет основываться на обучении и обучении вашего персонала. Это сделает их защитой от угроз кибербезопасности.

Вот более подробный взгляд на то, почему расширение прав и возможностей сотрудников — это правильный путь.

1. Повышенная автоматизация контроля безопасности

Изображение 10115 Сегодняшняя организация сильно зависит от технологий. Эта зависимость от технологий будет только расти. Фактически, один из самых горячих разговоров на данный момент касается того, как переход к искусственному интеллекту и машинному обучению приведет к потере рабочих мест во всем мире. Так что нетрудно представить, как, когда дело доходит до ИТ-безопасности, многие элементы управления могут быть закодированы или сконфигурированы в системе.

Подумайте о правилах пароля (минимальное количество символов, сочетание буквенно-цифровых символов, включение хотя бы одного символа, не повторять пароль в течение как минимум шести месяцев и т. д.). Многие компании имеют строгий технологический контроль, который автоматически заставляет сотрудников соблюдать политику и процедуры безопасности.

Полагаясь на технологии для обеспечения соблюдения наиболее важных правил и предотвращения самых катастрофических рисков, организации могут быть намного менее властными со своими сотрудниками.

2. Бай-ин

Универсальный принцип командной динамики заключается в том, что люди с большей вероятностью будут преданы делу, если они чувствуют, что они активно участвуют в принятии решений, которые направляют процесс и определяют результаты. Другими словами, просто заставить менеджера впихивать им в глотку политику компании и требовать от каждого работника их соблюдения без объяснения причин — неэффективный способ привлечь всех на одну сторону.

Делясь принципами кибербезопасности с персоналом и предоставляя им некоторую свободу в повседневном принятии решений в области кибербезопасности, сотрудники будут чувствовать больше личного долга в защите систем и данных организации.

3. Нестандартное мышление

Организационные процедуры предназначены для минимизации рисков путем обеспечения того, чтобы все сотрудники следовали последовательному и предсказуемому процессу. Хотя это очень помогает держать всех на правильном пути, это также может быть контрпродуктивным. Процедуры могут задушить мысль и воображение. Никакая процедура не может полностью охватить все мыслимые сценарии.

Каждая процедура кибербезопасности оставляет место для дискреционного принятия решений по кибербезопасности. Лучше подготовить сотрудников со знаниями и полномочиями, которые им необходимы, чтобы принимать такие дискреционные решения, когда они возникают. Не оставляйте это, когда инцидент произойдет, чтобы они попытались выяснить, должны ли они что-то делать и что именно они должны делать.

4. Развивающиеся технологии и окружающая среда

Изображение 10116 Ни одна организация не работает в статической среде. Каждую неделю, месяц и год происходят изменения в правовой, коммерческой и технологической среде, в которой работает бизнес. Чтобы не отставать от этих изменений, многие крупные корпорации планируют проверку процедур каждые шесть-двенадцать месяцев. Это может показаться долгим, но, учитывая количество изменений, которые, вероятно, произошли за этот период, имеет смысл обновить их за один раз.

Но то, что делает это окно в шесть-двенадцать месяцев между обновлениями, так это оставляет место для сбоя из-за того, что сотрудники следуют процедурам, которые могут не иметь отношения к текущей операционной среде. Предоставив сотрудникам большую автономию, они могут принимать разумные решения, необходимые для учета этих изменений, даже до того, как политики и процедуры будут обновлены.

Они также с большей вероятностью привлекут внимание руководства к изменениям, которые требуют немедленного изменения процедуры для снижения серьезного риска.

5. Характер и знания сотрудника важнее

Процедуры существуют, чтобы убедиться, что сотрудники все время делают правильные вещи. Однако процедуры и средства контроля могут быть переоценены.

Хотя риск увольнения из-за нарушения процедуры является действенным сдерживающим фактором, он не обязательно помешает своенравному сотруднику найти выход из ситуации и совершить ошибку. Сотрудник вполне может совершить неправильный поступок, если он технически не противоречит процедурам компании.

Вместо этого организациям следует всегда уделять приоритетное внимание взращиванию и поощрению этического поведения, независимо от того, что могут требовать процедуры.

Невозможно определить истинный характер сотрудника только по собеседованию. Вероятно, пройдет несколько недель или месяцев после найма, когда вы узнаете, за что они ратуют. Компании могут предоставить больше возможностей для принятия решений в области кибербезопасности лицам, заслуживающим доверия.

Конечно, чтобы такая свобода имела смысл, она должна сопровождаться тщательным обучением правилам ИТ-безопасности и лучшим практикам, чтобы сотрудник мог принимать обоснованные решения.

6. Демистификация технологий

Изображение 9976
Shutterstock / Pixabay

Многие сотрудники считают информационную безопасность и ИТ-безопасность областями, слишком технически сложными для простых смертных. Поэтому они более чем счастливы оставить ответственность за продумывание соответствующих средств контроля и процедур кибербезопасности гикам.

В действительности, однако, логика, управляющая процедурным и технологическим контролем, предотвращающим системные сбои и потерю данных, довольно проста для понимания рядовым сотрудником. Лишь небольшая часть из них представляет собой действительно глубокие и сложные понятия, которые трудно понять всем остальным, кроме хардкорных технарей.

Повсеместное распространение технологий и Интернета в повседневной жизни дало почти каждому взрослому некоторые базовые знания о технологиях. Средний человек взаимодействует с домашним компьютером, смартфоном, интеллектуальным счетчиком и растущей экосистемой гаджетов, которые являются частью Интернета вещей. Многие меры безопасности и конфиденциальности, которые можно было бы принять дома, не слишком отличаются от того, что они должны были бы делать на своем рабочем месте.

Предоставление сотрудникам большей власти для принятия решений на этой основе может помочь демистифицировать технологии на рабочем месте. Это заставляет работников считать себя опорой в защите корпоративных систем и данных.

Принятие решений в области кибербезопасности: поддержка ваших сотрудников

Немногие вещи повышают веру в себя, мотивацию и энтузиазм человека больше, чем положительное подтверждение от кого-то, кто имеет над ними власть. Большая автономия в принятии решений по кибербезопасности может положительно сказаться на общих целях кибербезопасности учреждения. Конечно, всегда будут случаи, когда сотрудник умышленно или непреднамеренно поступает неправильно. Однако такие случаи недостаточно многочисленны, чтобы свести на нет существенные преимущества, которые дает знающая и уполномоченная рабочая сила.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023