Комментарии 24
Безопасность начинается не с правильных настроек, а с понятных и четких требований к безопасности, выполнить которые уже можно правильными настройками!
Всё верно: настройки должны базироваться на четких правилах. Донести эти правила - как раз задача Security Awareness.
Ещё бы хотел добавить: в ИБ как впрочем во всем ИТ не нужно считать себя всезнающим. Мир киберугроз не стоит на месте как и весь мир. То что актуально сегодня, завтра будет уже другим
Конечно, киберугрозы меняются. Тут возможно: что актуально сегодня - надо "пропатчить" в ближайшее время.
Более обидно будет любому руководителю и сотрудники ИБ, если вдруг "взлом" будет через старую уязвимость. Пример Wi-Fi показывает, что они, к сожалению, могут быть незамеченными 25 лет.
Не только понятных и четких, но и адекватных.
На одном из предыдущих мест работы для тестирования был выделен стенд. Из соображений секретности он не был подключен к сети, а по правилам предприятия внешние носители тоже были запрещены. Никаких штатных способов загрузки тоже не было предусмотрено.
В итоге пользовались флешками, а к правилам отношения было как к чему-то, что мешает работать.
Конечно, к сожалению, встречаются "перегибы" на местах.
Но есть и вторая сторона медали. ИБ рассматривает риски (Модель угроз), вектора возможных атак и, как упоминал в статье, потенциальный ущерб.
Например, если выбирают из двух вариантов:
1) пользователи нажимают 3 кнопки (без стороннего ПО)
2) пользователи нажимают 1 кнопку (со сторонним ПО и риском потенциального ущерба 100 000 000 из-за "небезопасности" этого ПО),
то руководитель скорее выберет 2й "неудобный" вариант (не захочет нести убытки).
ИБ не всегда получается про "удобство". Возможно, коллеги в вашем кейсе видели большие финансовые риски для компании (ИБ старается предотвращать потерю компанией денег), а экспертиза ИБ-рисков на их стороне и были веские доводы, которые не были озвучены. ИБ не для "запретить", а для "не потерять", но глобально в интересах компании.
Но как выше написал, не исключен вариант перегиба в вашем примере.
Классная статья! Простым и понятным языком все написано.
Отличная статья. Только есть вопрос, как можно обеспечить ИБ на предприятиях, где стоят устаревшие версии ОС, либо вообще пиратские с пиратским же ПО?
Владелец предприятия (или лицо принимающее решение) - тот человек на предприятии, который принимает решение и риски (в статье писал). Возможно, с таким "пиратским" подходом для обеспечения ИБ достаточно просто вести бумажный журнал использования ПК - но это всё шутки)
На мой скромный взгляд, использование пиратского системного и программного обеспечения просто кратно увеличивает риски возникновения инцидента ИБ и возможные убытки.
Сколько не видел квизов или онлайн тестов по ИБ, всюду наблюдал один недостаток - составителям заданий было проще взять фразы из корпоративной нормативки по ИБ и их использовать как есть. В итоге получался ужасный канцелярит, сквозь который ещё и не каждый продерется.
Эти кейсы как раз подчеркивают важность одного момента: организатор такой активности должен понимать что делает и для чего. Если для "галочки", то получится именно так, как у вас описано. Важно понимать свою целевую аудиторию и её интересы, ну и организовывать "с душой", а не потому что "попросил директор". Конечно никогда не получится так чтобы понравилось абсолютно каждому участники.
День добрый! Статья классная, читается легко. Если не секрет, а какие угрозы ИБ несли в себе сотрудники без использования ноутов и смартфонов? Какой-то своеобразный доступ к корпоративной сети?
Добрый день! Всё верно, такие сотрудники без ноутбуков/смартфонов/планшетов имели доступ к внутренней сети через специализированные устройства другого типа. Нужно отталкиваться от возможностей самого устройства и от "рутины" такого сотрудника. В данном случае были риски, как минимум: потеря устройства или его взлом (как с ПК и смартофонами).
Кто предупрежден, тот вооружен! А в форме игры доходит быстрее и веселее ???
Добрый день, спасибо за статью (пришлось посмотреть Гарри Поттера чтобы понять часть отсылок).
Есть вопрос: существует ли какая-то статистика количества нарушений у сотрудников работающих удаленно или в офисе? Кто чаще совершает инциденты? Как изменить эту ситуацию на предприятии в период когда множество сотрудников работают удаленно, используя собственное оборудование?
Добрый день! Пересмотреть ГП - это всегда чудесно!
"Удаленщики" и "офисные" различают в основном различаются в двух моментах: физическая безопасность (политика чистого стола) и способ подключения к корпоративной сети - отсюда для них будут немного отличаться риски. В идеале, если сотрудник работает на своем оборудовании, то сотрудник соглашается, что на его устройство распространяются корпоративные политики безопасности (да это может быть неприятно). Но будет более неприятно, если из-за твоего личного "незащищенного" устройства возник инцидент и компания понесет убытки. большие по размеру, чем твой вклад в работу компании. Как один из вариантов BYOD.
Тоже делилась как в qiwi делали awareness, если интересно:
https://habr.com/ru/companies/qiwi/articles/592185/
https://habr.com/ru/companies/qiwi/articles/667230/
Являются ли киберучения частью процесса повышения осведомленности? По моему - да. Сотрудники должны знать, как действовать в случае атаки.
Интересно, сотрудники озона понимают, кому сообщить о странном поведении компьютера? А как быстро сотрудники службы поддержки смогут идентифицировать массовый сбой как атаку и сообщить в ИБ?)
Конечно, киберучения - часть процесса. Это одновременно и проверка знаний, и отработка действий, проверка полноты плейбуков и отработка коммуникаций внутри команд, а также между смежными командами.
Понимание всех сотрудников куда и обращаться в случае инцидентов - это также одна из метрик, которую можно и нужно снимать в ходу учений (для простоты возьмите учебный фишинг). Если брать службу поддержку, то тут всё просто: как писал выше, надо понимать целевую аудиторию. Поддержка - ЦА с особой спецификой работы. Для коллег нужно отдельно проработать материалы и выбрать удобный/эффективный способ донесения информации.
Бывают люди, которые не хотят обучаться, или такие, которые не хотят тратить время и у них найдутся свои причины. И вот тогда от пряника придется переходить к кнуту - к обязательным аттестациям. А то ведь все вроде бы курс прослушали, расписались в журнале по пожарной безопасности, а склад горит, ну как так ? Может дело и в ответственности, вернее в безответственности сотрудников на местах, где может быть совершен даже непреднамеренно существенный ущерб.
Магия вне Хогвартса: как повышать ИБ-грамотность сотрудников