Человеческий фактор - самое слабое звено. Управление уровнем осведомлённости сотрудников.

Дубцов Д.М.

выпускник группы CISO-09

Школы IT-менеджмента

РАНХиГС при Президенте РФ

«Человеческий фактор - самое слабое звено. Управление уровнем осведомлённости сотрудников»

Проблематика и постановка задач

Одним из важнейших активов любой компании является информация и информационные системы, а их защита – повседневная деятельность служб ИБ. В процессе своей деятельности «безопасники» борются с техническими уязвимостями и утечкой информации, создают системы защиты и расследуют инциденты. Традиционно службы ИБ технократически консервативны, склонны к недоверию, а любые ошибки сотрудников, даже случайные, относят к непроходимой глупости последних. Людям свойственно ошибаться, они это делают постоянно, ведь не ошибается только тот, кто ничего не делает[1]. Проблематика заключается в том, что ошибки сотрудников серьёзным образом снижают эффективность систем защиты информации, причину такого поведения пользователей обычно списывают на так называемый человеческий фактор.

Понятие «человеческий фактор» впервые в литературе встречается в названии книги «Человеческий фактор в предпринимательстве» (1921) Бенджамина Сибома (1871-1954).Постепенно понятие «человеческий фактор» стало ассоциироваться с набором человеческих способностей и качеств или их отсутствием, и прочими особенностями человека. А также с халатностью и невнимательностью, т.е. с ошибочностью принятых человеком решений, предпринятых или не выполненных действий.

Обучение сотрудников принятию правильных решений и правильному поведению представляет собой эффективный способ свести к минимуму влияние человеческого фактора на обеспечение информационной безопасности.

Цель работы – показать, что осведомлённость пользователей является результативным инструментом повышения эффективности средств защиты информации.

Для достижения поставленной цели необходимо решить следующие задачи:

1.      Рассмотреть человеческий фактор как причину инцидентов, неэффективности СЗИ и мер обеспечения ИБ;

2.      Рассмотреть роль обучения и подходы к его реализации в обеспечении ИБ;

3.      Описать объект исследования;

4.      Рассмотреть причины и следствия инцидентов, основанных на незнании базовых правил ИБ;

5.      Показать, что меняется после внедрения системы управления знаниями сотрудников и сколько это стоит;

6.      Показать, что затраты на поддержание осведомлённости сотрудников меньше, чем на обеспечение инцидент-менеджмента без системы управления знаниями.

Практическая значимость работы заключается в повышении эффективности обеспечения ИБ с помощью автоматизированной системы управления осведомлённостью сотрудников.

Анализ проблематики

Рассматривая человеческий фактор, обычно выделяют две формы его проявления. Первая – халатность, невнимательность и ошибки. Вторая – личная мотивация, другими словами – преднамеренные действия. Обе формы влияют на принимаемые решения и чаще всего не в лучшую сторону.В случае с преднамеренными действиями нарушителем чаще всего является привилегированный сотрудник. За такими сотрудниками должен осуществляться повышенный контроль, т.к. ущерб от преднамеренных нарушений может быть внушительным или даже не поправимым.

В тоже время непреднамеренные действия довольно трудно поддаются контролю и могут наносить бо́льший ущерб из-за своей непредсказуемости. Потеря флешки, работа с чувствительной информацией в публичных местах или публикация оной в социальных сетях, удалённая работа из дома и в отпуске – всё это плохо предсказуемо. И здесь важен не столько контроль, сколько работа с персоналом, его обучение, вовлечение в процесс обеспечения ИБ. Сотрудник должен правильно понимать действующие политики, правила, цели их соблюдения и возможные последствия их нарушения.

По данным исследования компании IBM за 2013 - 2016 годы, обескураживающие 95% процентов всех расследованных инцидентов ИБ признают "человеческую ошибку" как способствующий фактор причины инцидента.

Участники третьего годового сравнительного исследования обеспечения ИБ, проведенного Cisco, считают мобильные устройства (58%), общедоступные облака (57%), облачную инфраструктуру (57%) и модель поведения пользователей (57%) важнейшими источниками угроз при кибератаках. По данным международного опроса Ernst&Young за 2013-2017 год показывают, что неосмотрительность и неосведомлённость сотрудников – лидирует среди респондентов в качестве уязвимости, т.е. самым слабым звеном в последние 5 лет является сам человек.

Обучение персонала как часть концепции ИБ

Коль скоро мы определились, что человеческий фактор оказывает значительное влияние на обеспечение ИБ, то есть серьёзная необходимость взять это влияние под контроль. Таким образом, обучению, а точнее повышению осведомлённости сотрудников, в концепции ИБ придётся уделить особое внимание. Осведомлённость сотрудников в области ИБ должна стать одним из столпов концепции обеспечения ИБ наряду с применением СЗИ, мониторингом, политиками, регламентами и правилами. Сотрудников следует обучать принципам и методам обеспечения ИБ в общеполезном ключе. Тогда сотрудники смогут применять эти знания не только на рабочем месте, но и в повседневной жизни, а авторитет службы ИБ значительно возрастёт в их глазах.Двигаясь в таком направлении, можно добиться заинтересованного участия в процессах обеспечения ИБ всех сотрудников организации – это и является основной задачей обучения в концепции ИБ.

Наличие концепции, политики, правил и регламентов ИБ недостаточно

Политика ИБ не работает, регламентам ИБ никто не следует, о существовании правил никто не знает, потому что:

1.      О них никому не рассказывают, осведомления как такового нет;

2.      Сотрудники не принимают участия в обеспечении ИБ, их не обучают правильной реакции и коммуникациям;

3.      С результатами контроля работают избирательно, при нарушении одних и тех же правил одним сотрудникам дают обратную связь, а другим нет.

В первом случае ознакомление сотрудников с политикой и правилами обеспечения ИБ носит формальный характер.

Во втором случае служба ИБ существует в отрыве от бизнес-пользователей и очень часто в конфликте со службой ИТ. Любые претензии со стороны службы ИБ носят безапелляционный характер и не оставляют ни малейшего желания у сотрудникавзаимодействовать с «безопасниками».

И третий. По данным исследования компании Cisco в 2016 году, 44% оповещений от систем безопасности не были проанализированы. Т.е. события безопасности были просто проигнорированы. Подобное попустительство приводит к тому, что правила перестают работать. В итоге это приводит к «эффекту разбитых окон» – для сотрудников правила попросту перестают существовать.

Как заставить правила работать?

Любые правила – это ограничения. Если нет ограничений, то все делают то, что хотят. Как только появляются правила, так сразу находятся и их сторонники, и их противники, а также те, кто ближе к одной или другой группе:

Ø     А – «абсолютно законопослушные» – безусловно принимают правила и неукоснительно их выполняют;

Ø     D – «абсолютно не законопослушные» – не согласны ни с какими ограничениями и не приемлют каких-либо правил;

Ø     B – «законопослушные» – не имеют ничего против разумных правил, если их выполняют все;

Ø     C – «условно законопослушные» – выполняют правила, если за невыполнение их наказывают.

Для борьбы с внутренним нарушителем необходимо соблюдать три основных принципа:

Ø     Четкие требования по обращению с данными и инфраструктурой;

Ø     Контроль выполнения требований;

Ø     Обратная связь по каждому инциденту и неотвратимость наказания.

Необходимо положительно мотивировать группу А, особенно подойдёт публичная благодарность, слух, запущенный перед этим и формирующий положительную повестку, что подтолкнёт группу B брать пример с группы A.На группу C необходимо оказывать давление через группу D. Постепенно избавляясь от «абсолютно не законопослушных», вы дадите понять всем и прежде всего группе C, что неотвратимость наказания – это новая реальность.

Что делать, если сотрудников тысячи, а офисов и филиалов сотни?

Самым удачным подходом к повышению осведомленности сотрудников в области ИБ – это применение автоматизированных систем управления знаниями (Awareness).

Awareness позволяет выявлять недочеты знаний сотрудников, выстраивать процесс обучения и исследовать закрепленные навыки. Это, в свою очередь, позволяет предоставить адресное обучение сотрудникам, которым оно необходимо, и избегать ситуации, когда сотрудники, успешно прошедшие тестирование, через некоторое время забывают все детали курса обучения.

Как Awarenessпомогает эффективно бороться с внутренним нарушителем

Процесс обучения с помощью Awarenessвключает в себя плановое обучение и прохождение целевых курсов. Плановое обучение осуществляется для новых сотрудников, после актуализации курсаили появлении нового, а также при переходе на новую должность. На прохождение целевых курсов Awareness направляет сотрудника по результатам Контроля или в рамках обратной связи по событию или инциденту ИБ. Awareness не загружает всех подряд одним и тем же материалом.

Контроль полученных знаний следует за обучением и осуществляется с помощью тестирования, содержание тестов постоянно меняется. Закрепление материала и проверка навыков происходит с помощью учебных «фишинговых» атак в виде писем с ловушками от «якобы» доверенных отправителей на корпоративную электронную почту сотрудников.

Обратная связь автоматически осуществляется по результатам Контроля и при срабатывании корреляционных правил на события и инциденты ИБ, полученных от СЗИ.

Применение

Группа компаний (Далее - ГК) включает в себя несколько компаний, каждая из которых отвечает за свой перечень компетенций. В ГК работают чуть более 500 сотрудников, которые рассредоточены по нескольким городам, десятку офисов, многие работают на и территории заказчика и из дома. Одной из задач службы ИБ было разобраться в последних инцидентах и предпринять компенсирующие меры.Для этого были разработаны правила, организован их контрольи меры взыскания. Ввиду ограниченности человеческих ресурсов и сопротивления со стороны сотрудников новым правилам, было принято их обучать. Заодно тем самым снижать количество инцидентов.

Вовлечь сотрудников в Awareness оказалось несложной задачей, спустя неделю после внедрения системы начали давать обратную связь, включая публичную благодарность тем, кто успешно прошёл тестирование, и уже через 3 недели около 65% сотрудников ознакомились с предлагаемыми материалами и прошли тестирование. Далее в течение месяца наблюдался небольшой спад в том числе из-за прихода новых сотрудников, вовлеченность снизилась до 60%. За это время была сформирована фокус-группа «абсолютно не законопослушных» сотрудников, кандидаты на «выход» подбирались из тех, к кому были и другие претензии по их работе. Результат не заставил себя долго ждать, после двух увольнений 95% сотрудников прошли обучение и тестирование в системе.

На примере DLP системы получилась следующая картина. За год до внедрения в ГК Awareness было зафиксировано около 300 инцидентов, которые создавали предпосылки к разглашению информации ограниченного доступа. Спустя год после внедрения их было чуть более 100, при этом штат увеличился с 500 до 600 сотрудников.

Стоимость, «бенефиты» и выводы

Awareness для каждого из 1000 сотрудников обходится в 76 рублей в месяц или в 912 рублей в год без учета безусловно существующих скидок. Для ГК владение Awareness в 3 раза ниже по стоимости, чем обеспечение инцидент-менеджмента без системы управления знаниями. Кроме того, использование такого инструмента как Awareness не только может, но и не должно ограничиваться интересами обеспечения ИБ.

Awareness хорошо справляется с задачами просвещения о системе коммуникаций, действующей в компании, о правилах и порядках внесения всевозможных инициатив и подачи запросов, о принятых нормах поведения, правилах хорошего тона и ведения переговоров с заказчиком. Любое заинтересованное структурное подразделение может воспользоваться Awareness для того, чтобы рассказать о каких-то изменениях или нововведениях и пояснить, как им лучше всего следовать. Это серьёзно ускоряет адаптацию сотрудников в новом коллективе, которая может продолжаться до года, и упрощает проведение организационных изменений.

На примере применения системы управления знаниями сотрудников в ГК видно, что Awareness не только существенно снижает количество ошибочных действий сотрудников, которые приводят к инцидентам, но и меняет их отношение к тому, что и как они делают. Вместо сумбурной реакции на возникающие при работе вызовы, после обучения у сотрудников формируются должная осмотрительность и необходимые для целевого процесса или функции навыки и вырабатывается практика их применения. Перед совершением какой-либо операции сотрудник вспоминает, что в прошлый раз он совершил ошибку или что существует ряд ограничений или требований, и мысленно прокручивает в голове запомнившиеся и только после этого принимает решение действовать. Если решение принять не удаётся – обращается к учебным материала или за квалифицированной помощью.

Из дополнительных сценариев применения Awareness можно отметить обучение и проверку знаний по любому профилю, не обязательно связанному с ИБ. Например, для адаптации новых сотрудников или при переходе на новую должность. При сравнительно небольшой стоимости Awareness показывает себя мощным инструментом улучшения культуры производства и повышения производительности труда.

Сотрудники обучаются с учетом заложенной в Awareness специфики и постоянно поддерживаются в «тонусе», обучение становится целевым, своевременным, доступным, а службы ИБ получают возможность превратить человеческий фактор из недостатка в преимущество.