Управление человеческим риском в кибербезопасности

Aug 1, 2024

Лекция Павла Кузнецова о Управлении Человеческим Риском

Введение

  • Представление: Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с государственными органами в группе компании Гарда.
  • Опыт в информационной безопасности более 20 лет.

Актуальность темы

  • Информатизация общества происходит быстрыми темпами.
  • Технологии проникают во все процессы, включая критические, такие как физическая безопасность.
  • Вопросы информационной безопасности становятся критически важными.

Причины проблем в управлении человеческим риском

  1. Недосмотр: Менеджмент не осознает глубины проникновения IT в деятельность организации.
  2. Непродуманность: Порой сотрудники службы информационной безопасности воспринимаются как препятствия, замедляющие процессы.
  3. Возрастающее количество технологий: Риск безопасности часто игнорируется в пользу скорости внедрения новых IT-сервисов.

Основные векторы атак злоумышленников

  • Социальная инженерия: Около 30% атак связаны с манипуляцией пользователей.
  • Незакрытые уязвимости: Проблемы на периметре сети.
  • Подбор и кража учетных записей: Использование слабых паролей.

Примеры атак и применения технологий

  • Использование генеративных нейронных сетей для создания фейковых личностей и атак.
  • Атаки с использованием видеоконференций и подделкой личностей.

Подходы к управлению человеческим риском

  1. Человеческий риск-менеджмент: Вовлечение сотрудников как ресурса защиты.
  2. Security Awareness: Осведомленность о киберугрозах и принципах безопасности.
  3. Индивидуальный подход: Обучение сотрудников с учетом их специализации и уровня образования.

Неправильные подходы к безопасности

  • Жесткие проверки: Вызывают недоверие и снижение мотивации.
  • Формальное тестирование: Неэффективно, часто воспринимается как обременение.
  • Штрафные системы: Увеличивают напряженность и снижают доверие.

Рекомендации по улучшению управления человеческими рисками

  1. Оценка состояния: Оценка текущего уровня осведомленности сотрудников.
  2. Обучение: Проведение тренингов с акцентом на конкретные группы сотрудников.
  3. Постоянный процесс: Внедрение циклического процесса оценки и улучшения.
  4. Геймификация и вовлечение: Привлечение сотрудников к активным действиям в области безопасности.

Измерение успеха

  • Подсчет процента сотрудников, проходящих тренинги.
  • Анализ количества инцидентов, связанных с человеческим фактором.
  • Оценка связи между обучением и снижением рисков.

Заключение

  • Сотрудники могут стать сильным ресурсом в области кибербезопасности, если их правильно обучить и вовлечь в процессы управления рисками.

Примечание: лекция фокусируется на том, как важна роль человека в системе защиты информации, и как управление человеческим риском может значительно повысить уровень безопасности в организациях.