Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Економічне обґрунтування для програми підвищення обізнаності персоналу з питань інформаційної безпеки

Валерій Сисоєв
Менеджер проектів, Агентство активного аудиту
Сертифікований аудитор ISO 27001

1. Передумови

В наш час інформація та інформаційні системи життєво необхідні для управління бізнесом. Від створення нових продуктів до виконання клієнтських запитів, необхідна сучасна, точна та достовірна інформація, яка дозволить діяти підприємству ефективно. Вкладаючи гроші в безпеку інформаційних технологій, насамперед ми купуємо антивірусне програмне забезпечення та брандмауери для захисту інформаційних активів та систем, однак, залишається суттєвий ризик інформаційної безпеки в результаті випадкових або навмисних дій та бездіяльності співробітників.

Виходячи із аудиторських звітів, періодичних видань та презентацій на конференціях, спільноті професіоналів з інформаційної безпеки загалом зрозуміло, що люди - одна із слабких ланок в системі безпеки. “Людський фактор” - не технологічний і є ключовим для забезпечення адекватного та відповідного рівня безпеки. Якщо люди –ключовий фактор, але також слабка ланка,то більшу і якіснішу увагу треба приділити цьому «активу». Надійна та широка корпоративна програма підвищення обізнаності персоналу має першочергове значення для розуміння робітниками своєї відповідальності за ІТ безпеку, дотримання внутрішніх політик, і належного використання та захисту інформаційних ресурсів, що довірені їм.

2. Призначення даного документу

Цей документ - економічне обґрунтування для інвестування у рентабельну програму підвищення обізнаності користувачів з питань інформаційної безпеки.

Ми пропонуємо інноваційно-комунікаційну програму, розроблену для збільшення розуміння понять інформаційної безпеки, вимог та заходів захисту між співробітниками, менеджерами та технологами в межах організації. Інформуючи людей про інформаційну безпеку та мотивуючи їх до виконання заходів захисту, ми заснуємо дуже поширену, тривалу та закорінену «культуру безпеки», що зменшить в організації інформаційний ризики та собівартість.

Порівнюючи із подальшими інвестиціями у технології безпеки запропонована програма навчання користувачів – високо рентабельний засіб вдосконалення заходів захисту, і, фактично, буде здобута більша цінність від попередніх інвестицій в безпеку.

Наступні розділи даного документу продемонструють декілька вигод, які будуть отримані в результаті впровадження програми.

3. Вплив на бізнес

Більшість організацій розуміють ризики від певних подій, таких як пожежа або паводок. Однак, вони не завжди розуміють небезпеку, яка відходить від людей, особливо їх власних співробітників. Загрози, що реалізуються людьми, повинні бути перевірені у кожній організації, для того щоб менеджмент розумів усі ризики, пов’язані з людським фактором. Таблиця нижче відображує деякі з цих загроз в трьох категоріях.

Типи загроз

Внутрішня (ненавмисна)

Коли проблема походить від працюючого персоналу чи користувачів системи (включаючи треті сторони), які не мають знань з ІТ безпеки, які вони повинні були знати чи коли вони не використовують заходів захисту згідно прийнятих процедур із забезпечення безпеки.

Приклад, відкритий пароль, слабка або неіснуюча процедура резервного копіювання, віруси або ігрові диски, дозвіл перегляду конфіденційної інформації людям, які не мають на це прав.

Внутрішня (навмисна)

Незадоволені або нечесні працівники – є потенційно дуже небезпечними.

Приклад, крадіжка даних чи систем, шахрайство, троянські коні, зловживання даними

Зовнішня

Коли усі інциденти можуть бути віднесені до навмисних. Можуть мати злий намір або робитись «тільки для сміху». Ця категорія може включати колишніх співробітників.

Приклад, хакінг, крадіжка даних чи систем, індустріальний шпіонаж.

Згідно The Information Security Status Survey 2010, респондентам було запропоновано надати  інформацію про «найбільш серйозні»  інциденти. Аналіз першої десятки самих серйозних інцидентів (для 57 організацій, що надали ці дані) представлений нижче.

Максимальні фінансові втрати (дол. США)

Причина інцидента

Опис інцидента

Інцидент був пов’язаний із втратою:

60 млн.

Внутрішні зловживання

Саботаж адміністраторами системи

Доступності

12 млн.

Внутрішні зловживання

Великий сервісний центр неодноразово відключений від мережі внаслідок перевантаження, викликаного співробітниками, які обмінювались мультимедійними файлами через мережу компанії

Доступності

7,7 млн.

Зовнішня атака
Людські помилки

Зараження вірусом Conficker.

Доступності

2,5 млн.

Зовнішня атака

Надзвичайно високі навантаження зовні мережі компанії – атака типу відмова в обслуговуванні

Доступності

1,4 млн.

Збої в роботі системи
Людські помилки
Непередбачені наслідкі внесення змін до системи

Кеш-пам’ять пристрою SAN вийшла з ладу. Під впливом опинились декілька сотен серверів. Відновлення системи було проведено за 1 тиждень та дані були втрачені  із-за невдалого резервного копіювання.

Цілісності
Доступності

1,4 млн.

Людські помилки
Непередбачені наслідкі внесення змін до системи

Неправильне налагодження системи, зумовлене втратою керування половиною кластеру, внаслідок чого – довготривалий простій співробітників та программного забезпечення.

Цілісності
Доступності

1 млн.

Зовнішня атака

Використання облікового запису співробітника зловмисником та використання уразливостей мереді для крадіжки даних

Конфіденційності

970 000 

Переривання сервісів
Непередбачені наслідкі внесення змін до системи

Знидення продуктивності внаслідок інцидента, викликаного непередбаченими наслідками внесення змін до системи та переривання бізнес процесів

Доступності

660 000 

Зовнішня атака
Людські помилки

Ураження комп’ютерними вірусами

Доступності

560 000 

Переривання сервісів

Потеря питания на всех серверах на 24 часа.

Доступності

  • Внутрішні зловживання призвели до найбільших збитків.
  • Більшість із десяти найбільш серйозних інцидентів, були викликані зовнішніми нападами чи людськими помилками.
  • Дев'ять з десяти найбільш серйозних інцидентів пов'язано з втратою доступу до інформації та вісім були зареєстровані як ненавмисні.
  • Загальний середній показник максимальних витрат для всіх найбільш серйозних інцидентів був 3,1 млн. дол США.

З ефективною програмою підвищення обізнаності користувачів, безпека буде інтегрованою частиною продуктів та послуг в компанії або установі, що надасть такі переваги:

  • Збільшення довіри клієнтів та акціонерів в спроможності компанії виробляти якісні продукти та надавати якісні послуги.
  • Краща гарантія цілісності (безперервності) бізнесу.
  • Висока якість інформації для прийняття рішень.
  • Кращий захист конфіденційної інформації від несанкціонованих дій співробітників, конкурентів та шахраїв.
  • Підвищення морального духу працівників, оскільки працівникам подобається працювати у безпечній, високоякісній організації.
  • Дотримання законодавства інформаційної безпеки (захист даних).
  • Попередження розповсюдженню вірусів.

4. Важливість підвищення обізнаності користувачів

Тренінги та підвищення обізнаності користувачів - один із самих критичних аспектів стратегії інформаційної безпеки та підтримки безпечності операцій в будь-якій організації. Це відбувається у зв’язку із розумінням, що люди - в багатьох випадках остання лінія захисту проти загроз, таких як шкідливий програмний код, невдоволені співробітники та треті сторони із шкідливими намірами. Тому, люди повинні бути обізнаними у питаннях забезпечення інформаційної  безпеки в організації, а  також, що кращі методи безпеки включають  їх щоденну діяльність та відповідальність. Тренінги та підвищення обізнаності користувачів - також можуть використовуватись як ефективно-відповідальний механізм,  шляхом подолання суспільної перепони, з якою стикаються деякі організації. Ця суспільна перепона – неспроможність організацій утримувати свій персонал відповідальним за власні вчинки, у зв’язку із відсутністю програми навчання працівників, щоб звернутися до того, що вони не знають або не розуміють.

Ефективне управління інформаційною безпекою вимагає комбінації технічних та процедурних заходів для захисту інформаційних активів. Однак, співробітники, які ігнорують внутрішні політики та процедури, можуть ці заходи обійти або зловживати ними. Тому впровадження ефективних заходів безпеки залежить від створення позитивно безпечного середовища, де співробітники розуміють  та ведуть себе, так як від них очікується. Використання підвищення обізнаності працівників для створення та підтримки безпечно-позитивного відношення – це критичний елемент в ефективному інформаційно-безпечному середовищі. Огляд Information Security Status Survey – представив дані показники підтримки діяльності інформаційної безпеки. Результати опитування по темі: «Чи мотивоване навчання інформаційній безпеці в вашій організації?: наведені на схемі 1 .

Результати показують, що організації, які не мотивують навчання працівників, більш вірогідно, мають серйозні інциденти безпеки, чим ті, що проводять таке навчання. Навчання та інші заходи безпеки – являють собою передумову для деяких інших заходів безпеки. Наприклад, схема класифікації інформації  –  на основі якої будуть визначатися заходи захисту, що будуть застосовані до них –  залежить від того, що всі співробітники розуміють та поважають механізм класифікації інформації, який призведе до розуміння та поваги до робітників інформаційної безпеки.

Навчання працівників повинно бути зосереджено на всіх користувачах організації. Користувачі – найбільша аудиторія в будь-якій організації та являє собою єдину саму важливу групу людей, що можуть допомогти зменшити ненавмисні помилки та вразливість IT.

Схема 1: Чи мотивоване навчання інформаційній безпеці в вашій організації?

Користувачами можуть бути співробітники, підрядники, іноземні та внутрішні гості, інший агентський персонал, відвідувачі та інші співробітники чи партнери, що мають доступ до інформаційних активів організації. Користувачі повинні:

  • Розуміти та виконувати політику безпеки та процедури компанії;
  • Бути відповідно тренованими щодо правил використання систем та програм, до яких вони мають доступ;
  • Працювати з керівництвом, щоб задовольнити потреби в навчанні;
  • Підтримувати програмне забезпечення / програми оновлення файлів безпеки; та
  • Знати про дії, які вони можуть виконувати для кращого захисту їх робочої інформації. Ці дії включають, але не обмежуються: належним використанням паролю, резервних копій даних, належним антивірусним захистом, повідомленням про будь-які підозрілі інциденти або порушення політики безпеки, та виконання правил, що направлені на уникнення соціально технічних атак та запобігають розповсюдженню спаму або вірусів.

Програма навчання працівників вкрай необхідна, в тому, що вона є засобом розповсюдження інформації , яку користувачі, включаючи менеджерів, потребують для виконання їх роботи. У випадку побудови програми інформаційної безпеки, це засіб, що буде використано для комунікації вимог безпеки в цілому на підприємстві.

5. Вигоди для бізнесу

Інформація – джерело життя організації. Це - актив організації і, тому він повинен бути керованим та захищеним. Інформація, що обробляється комп’ютерами та мережами, підтримує ключові бізнес-процеси. Якщо інформація не є доступною,або є неправильною чи передана деякій неправомірній особі, тоді бізнес процеси можуть бути зруйновані, можливо серйозно, і організація може понести великі збитки, договірні штрафи, навіть втратити бізнес, зменшити довіру працівників, або інші наслідки. Нижче зазначено деякі приклади вигод від ефективного навчання користувачів. Можливість цих вигод допоможе конкретизувати деталі бізнес процесу, що дозволить менеджменту зрозуміти більш детально, як навчання та підвищення обізнаності користувачів, або його відсутність, може вплинути на організацію:

  1. Краща впевненість у продовженні бізнесу:

Ризик руйнування щоденного бізнесу зменшується, шляхом інформування співробітників про процедури додержання конфіденційності, резервування та зберігання комп’ютеризованих записів.

  1. Збільшення довіри (конфіденційності) в організації:

Якщо клієнти будуть відноситись до послуг та продуктів компанії як до надійних, вони будуть більш схильні до розгляду організації як до надійного бізнес партнера для подальшої співпраці.

  1. Високоякісні комп’ютеризовані звіти:

Високоякісні звіти забезпечують основу, для прийняття кращих бізнес рішень, що призведе до зменшення зусиль на виправлення помилок.

  1. Кращий захист комп’ютеризованих звітів:

Добре захищені звіти, менш вірогідно  потраплять до рук конкурентів чи будуть використані некоректно.

  1. Руйнування обмежені до «чесних» помилок:

Збільшення обізнаності користувачів призведе до того, що помилки будуть стримуватись всередині зони відповідальності співробітників, вони будуть ідентифіковані, повідомлені, опрацьовані та виправлені.

  1. Кращий захист для працівників:

Чесні працівники, будуть знати, що від них очікується та можуть діяти відповідно, таким чином вони захищають цілісність навіть, якщо трапиться серйозний інцидент.

  1. Чітке виконання законодавства захисту даних

Наприклад, правила конфіденційності в законах про захист інформації персональних даних повинні виконуватись.

  1.  Низький ризик комп’ютерного шахрайства:

Люди, що намагаються використати прийоми комп’ютерного шахрайства, будуть мати важкі часи, тому що співробітники почнуть закривати «слабкі місця», шляхом впровадження безпечних повсякденних заходів.

  1. Попередження помилок, щоб полегшити роботу співробітників:

Помилкова думка,що заходи інформаційної безпеки ускладнюють життя. В дійсності дієві функціональні заходи безпеки, такі як організаційні внутрішні процедури, допомагають  уникнути помилок. Усунення помилок найчастіше забирає найбільше часу серед всіх ручних процесів, коли працюєш із автоматизованими системами. Попередження помилок дозволить співробітнику концентруватися на роботі, а не на комп’ютерній системі.

  1. Легше уникнути ураження комп’ютерними вірусами:

Із свідомими співробітниками ризик спокуси запустити комп’ютерну гру чи принести інший вид забороненої в організації програми – малий, що дуже зменшує ризик ураження комп’ютерним вірусом.

  1. Зменшення кількості інцидентів та реакції на порушення інформаційної безпеки.

Це зменшить одночасно і безпосередні витрати (наприклад, дані, що зазнали шкоди від вірусів), і побічні витрати (наприклад, менше необхідності знаходити та реагувати на порушення).

6. Заключення

В співвідношенні з нашою зростаючою залежністю від високоякісної, своєчасної та повної інформації, щоб управляти бізнесом, інформаційна безпека стала кардинально важливою галуззю. Перед обличчям  все більш і більш складних технологій та ризиків, життєво необхідно, щоб співробітники знали та виконували сумлінно свої обов’язки стосовно поводження з інформаційними активами. Програма підвищення обізнаності користувачів, що описана в цій пропозиції, посилить самий слабкий зв’язок у Вашій інфраструктурі безпеки, Ваших людей, та створить більш сильну культуру безпеки.

7. Наші продукти

Комплексна програма підвищення обізнаності користувачів - готова до впровадження комплексна система підвищення обізнаності співробітників у галузі інформаційної безпеки (ІБ). Елементи програми розробляються відповідно до найкращих міжнародних практик і дозволяють проходити користувачам регулярне навчання основним правилам в області ІБ в ненав'язливій розважальній формі, створюючи і підтримуючи в компанії атмосферу інформаційної безпеки.

Елементи програми підвищення обізнаності користувачів:

Flash ролики - ефективний інструмент навчання та підвищення обізнаності співробітників у галузі інформаційної безпеки. Використання роликів:

  • При прийомі в компанію нового співробітника
    Flash ролики ефективно доповнюють звичайні інструкції з інформаційної безпеки, значно підвищують ступінь запам'ятовування основних правил, а так само формують на початковому етапі позитивне ставлення працівника до інформаційної безпеки.
  • Для проведення періодичних тренінгів персоналу
    Flash ролики дозволяють в зручній формі проводити регулярні тренінги персоналу, інформуючи про нові загрози для компанії, які можуть бути реалізовані через неграмотні дії співробітників, а так само доносити в простою, зрозумілою і цікавій формі інструкції і правила поведінки в різних ситуаціях.

Постери - професійно виконані постери на різні теми в галузі інформаційної безпеки. Постери допомагають досягти відразу кількох цілей:

  • є самим наочним свідченням серйозного ставлення керівництва компанії до забезпечення інформаційної безпеки в першу чергу для співробітників, а також для всіх відвідувачів компанії;
  • мають служити ефективним інструментом для регулярного ненав'язливого нагадування співробітникам основних правил в галузі інформаційної безпеки

Скринсейвери - періодично оновлювані серії скрінсейверів, що допомагають в простій і ненав'язливій формі закріпити у користувачів основні правила в області інформаційної безпеки.

Банери - серії банерів для залучення співробітників компанії на корпоративні ресурси з інформаційної безпеки.

Офісні приналежності - різні офісні приналежності (ручки, флешки, чашки і т.д.), призначені для регулярного нагадування співробітникам основних правил в галузі інформаційної безпеки.

Економічне обґрунтування для програми підвищення обізнаності персоналу з питань інформаційної безпеки