Культура безопасности опирается на баланс технических знаний и понимания человеческого поведения

Представьте себе качели типа доски с опорой посередине. С одной стороны сидит технический специалист по безопасности. С другой — человек с сильными навыками по изменению поведения людей и их вовлечению в решение общественных задач. Чтобы качели не заваливались на одну из сторон, оба человека должны иметь равный опыт, или же одному из них надо передвинуться ближе к центру и таким путем достичь желанного равновесия. Если один уровень опыта слишком явно перевешивает другой, достичь правильного баланса способностей невозможно.

Важным вопросом является часто встречающееся недопонимание роли специалистов по культуре безопасности.

Формирование культуры безопасности на своем самом нижнем уровне выражается в акте приложения технических знаний в области безопасности к программам и деятельности по повышению информированности (и уменьшению случаев рискового поведения) работников данной организации. Сюда входят многие вещи — от фишинга и программ тестирования паролей до коллективных контактов с подкованными специалистами, обучающими пользователей со слабым пониманием безопасности тому, как надо изменить поведение, чтобы лучше защитить свое рабочее место или свою компанию.

Давно уже говорится о том, что безопасность причиняет неудобства, и многие годы специалистам по кибербезопасности приходится не только стараться создавать безопасную инфраструктуру, защищающую организацию от внешних атак, но и заниматься человеческими сторонами рисков безопасности («установите патчи для своих систем», «поменяйте ваши пароли», «эта почта не от того, за кого выдает себя отправитель»). Хотя встречается реальный риск инсайдерских угроз, и в среде персонала могут находиться злоумышленники, есть не меньший шанс, что риск возникает из-за человеческих оплошностей, будь то потерянное устройство, клик на вредоносной ссылке или почтовая отправка важного файла неизвестному адресату.

Отсюда вытекает важность программ по формированию культуры безопасности.

По словам Маши Седовой, сооснователя фирмы Elevate Security и бывшего директора Salesforce по доверительному взаимодействию с персоналом, хорошая программа формирования культуры безопасности опирается на обратную связь с остальными задачами безопасности в плане основных человеческих рисков, существующих в компании, чтобы создать эффективный план по противодействию этим рискам.

«Первые программы по культуре безопасности появились около десяти лет назад с пришествием требований по соблюдению законов и нормативов, — говорит Седова. — К сожалению, эти программы создавались на ошибочных предпосылках. Внимание акцентировалось на том, сколько людей было охвачено обучением. А надо было ставить вопрос о метриках, определяющих, как та или иная программа улучшает поведение людей в той или иной области. Компании, добивающиеся сегодня наибольших успехов в формировании культуры безопасности, строят свои программы вокруг второго вопроса».

Это возвращает нас к дискуссии о правильном балансе специалистов разного профиля. Согласно отчету SANS 2016 по культуре безопасности, больше 80% сотрудников, отвечающих за культуру безопасности, имеют техническую подготовку, но для максимальной эффективности своей работы нуждаются в таких навыках, как коммуникативность, управление изменениями, теория обучения и моделирование поведения.

Отчет предлагает опцию для заполнения этого пробела: добавить к группе по культуре безопасности специалиста по коммуникациям между людьми. Против этого трудно возразить, но дело это непростое. Хотя в рассматриваемом социальном аспекте многим группам полезно иметь экспертов по маркетингу и социальным коммуникациям, стоит вспомнить старую поговорку: «нельзя обезопасить то, что сам не видишь». И если у вас нет прочного понимания безопасности и того, какие риски создаются людьми и как такие риски связаны с технологиями и их реализацией, одни лишь маркетинговые и коммуникативные навыки будут недостаточны для работы в группе по культуре безопасности.

Слишком сильный фокус на коммуникативные качества членов группы по культуре безопасности может несколько снизить ее профессионализм. Хотя коммуникативные программы, учебные мероприятия, коллективное общение и сетевые сообщества являются важными компонентами, на одном этом программы формирования культуры безопасности не построишь. Это просто каналы влияния, направленного на то, чтобы больше людей понимало свою роль в безопасности организаций или, в более широком плане, своих сообществ.

«Большинство маркетинговых специалистов не смогут определить, какие аспекты поведения людей требуют наибольшего внимания, и, увы, большинство специалистов по технологиям безопасности тоже в этом не преуспевают, — говорит Седова. — Специалисты по безопасности скажут, что работники должны себя вести менее глупо, но это трудно оценить и трудно сделать предметом специальной программы. А специалисты по маркетингу скажут, что нельзя кликать по фишинговым ссылкам, но не станут разъяснять, почему работники должны помнить про возможность столкнуться с фишинговыми ссылками и как это связано с более широкой картиной угроз. Хороший практик в культуре безопасности умеет проложить мост между этими двумя специализациями».

Другой компонент для правильной балансировки наших качелей состоит в том, чтобы выделить ресурсы, питающие программы формирования культуры безопасности. Это не менее важно, чем сами такие программы. Согласно тому же отчету SANS, больше половины специалистов по культуре безопасности ограничены бюджетом или не могут уделять все свое время этому предмету. Отчет также отмечает, что степень поддержки связана со зрелостью рассматриваемых программ, так что важен фокус на обучении, человеческом факторе и наглядных метриках.

Корпоративная поддержка в форме предоставления бюджета или других ресурсов, программ и специалистов по культуре безопасности является обязательной вещью и должна расширяться с расширением самой организации.

«Очень нужны программы, которые могут создавать и воспитывать активных борцов за безопасность среди персонала организации, — говорит Седова. — Сюда входят такие вещи, как безопасное кодирование, выявление и исправление уязвимостей и коллективная ответственность за угрозы. Эти программы открывают большие возможности для партнерства между специалистами по культуре безопасности и экспертами в технологиях безопасности ради внедрения дальнейших эффективных инициатив. Надеюсь, что со временем такая деятельность будет расширяться».