Найти в Дзене
ИБ без Б
70 подписчиков

От обучения к управалению рисками ИБ

2
7 мин
Введение Система управления человеческими ресурсами (HR) - это платформа, которая помогает организациям перевести в цифровую форму их основные кадровые операции и объединяет, управляет и автоматизирует многие обычные процессы организации. Решения для управления человеческими рисками (HRM) используют для: Взгляд на рынок По прогнозам Forrester, в 2024 году 90 % случаев утечки данных будут связаны с человеческим фактором, по сравнению с 74 % в 2023 году. Роль человека в кибербезопасности, включая риски, которые он создает и которым подвергается, является серьезной, но недостаточно обсуждаемой и недопонятой. Усилия по управлению этими рисками неэффективны даже с учетом появления специального обучения в компаниях и повышения осведомленности о безопасности (SA&T). В последние несколько лет сформировалось направление по управлению человеческими рисками, признающее, что нарушения связаны с моделью поведения, включая человеческие ошибки, злоупотребление полномочиями и социальную инженерию.

Введение

Система управления человеческими ресурсами (HR) - это платформа, которая помогает организациям перевести в цифровую форму их основные кадровые операции и объединяет, управляет и автоматизирует многие обычные процессы организации.

Решения для управления человеческими рисками (HRM) используют для:

  • диагностики опасного поведения человека в области безопасности;
  • выявления рисков, создаваемых людьми;
  • адаптации политик, обучения и технологий защиты.

Взгляд на рынок

По прогнозам Forrester, в 2024 году 90 % случаев утечки данных будут связаны с человеческим фактором, по сравнению с 74 % в 2023 году. Роль человека в кибербезопасности, включая риски, которые он создает и которым подвергается, является серьезной, но недостаточно обсуждаемой и недопонятой. Усилия по управлению этими рисками неэффективны даже с учетом появления специального обучения в компаниях и повышения осведомленности о безопасности (SA&T).

В последние несколько лет сформировалось направление по управлению человеческими рисками, признающее, что нарушения связаны с моделью поведения, включая человеческие ошибки, злоупотребление полномочиями и социальную инженерию. Как мы знаем , наиболее распространенным вектором атаки является похищение внешними субъектами учетных данных пользователей с помощью фишинга или социальной инженерии и использование их в злонамеренных целях.

HRM - это научно обоснованный метод обучения людей и инициирования политических мер на основе их профиля риска. Решения HRM направлены на изменение поведения и развитие культуры безопасности, а вот удовлетворение требований к обучению в области безопасности является вторичным вариантом использования.

Компания Forrester позиционирует решения по управлению человеческими так:

"Директор по ИБ выбирает HRM систему, чтобы создать адаптивную защиту, в которой люди, процессы и технологии неразрывны, что позволяет мониторить и прогнозировать поведение людей в области безопасности, корректировать политику ИБ, обучение и технологии для минимизации минимальных общих прикладываемых усилий".

Ценность для бизнеса

Эпоха обучения людей ради того, чтобы они ставили галочки в устаревших и запутанных требованиях к соблюдению норм, подходит к концу. Появились решения и системы HRM, которые помогают директору по ИБ оценить человеческий риск в компании, определить, окупаются ли инвестиции в обучение, действительно ли обучение меняет чье-то поведение и повышает уровень кибербезопасности компании, а также определить, что нужно для управления человеческим риском в дополнение к обучению людей. Руководители служб безопасности внедряют HRM-решения, чтобы:

  • Выявлять поведение людей в области безопасности и риски, которые оно несет. Хотя такие модели поведения в области безопасности, как нажатие на фишинговые сообщения и сообщение об инцидентах, хорошо известны, это лишь небольшая часть из более чем 70 моделей поведения в области безопасности, которые имеют решающее значение для управления человеческими рисками. Директора по ИБ могут оперативно реагировать на такие действия, как ввод персональной информации в генеративный искусственный интеллект (ИИ) или повторное использование паролей в приложениях "программное обеспечение как услуга".
  • Адаптация политик, обучения и технологий для масштабной защиты людей. Теперь руководители по ИБ могут обучать сотрудников всем аспектам безопасности и направлять это обучение в режиме реального времени на устранение обнаруженных рискованных действий. Это экономит время и повышает репутацию службы безопасности. Руководители по ИБ также могут инициировать вмешательство в политику, например, корректировать уровни доступа на основе постоянно рассчитываемой оценки рискованного поведения. Данные о поведении в сфере кибербезопасности, которые предоставляет HRM, позволяют руководителю по ИБ пересмотреть процессы и технологии безопасности и устранить все препятствия, которые служба безопасности непреднамеренно поставила перед пользователями.
  • Интеграция человеческого риска в общий кибер риск компании. Изменение способа управления рисками сотрудниками службы безопасности снижает человеческий риск и, соответственно, общий риск кибербезопасности. HRM позволяет директору по ИБ измерять снижение человеческого риска и его влияние на общий кибер риск, а также вводить показатели человеческого риска в инструменты количественной оценки кибер риска.

Зрелость рынка

Решения по управлению человеческими рисками - это признаки зрелости рынка. Более 25 лет этот рынок назывался "осведомленность о безопасности и обучение" - пока недавнее появление разрушительных технологий не подтолкнуло трансформацию дисциплины в HRM, которая должна полностью перейти от концепции к реальности в этом году (см. Рисунок 1).

Несмотря на изменения в названии, менталитете и стратегии, HRM-решения представляют собой зрелый рынок:

  • Рынок SA&T застопорился; последним серьезным нарушением стало появление симуляторов фишинга более десяти лет назад. Индустрия продолжала заниматься обучением и соблюдением требований, чтобы соответствовать запутанной паутине устаревших стандартов и правил, которые предписывали SA&T. За последние несколько лет содержание SA&T немного улучшилось и появились способы оценки пользователей с помощью игр, симуляторов и викторин. Однако все эти тренинги и тесты не решали главного вопроса - зачем компании вообще проводят обучение.
  • Два десятилетия повышенного внимания к человеческой стороне безопасности непреднамеренно создали статус-кво, который лидеры в области безопасности и рисков начали отвергать. Команды по безопасности и рискам требовали решений для измерения поведения в области безопасности, а не показатели соответствия, и хотели измерять результаты обучения.
  • Переход к адаптивной защите человека. В долгосрочной перспективе адаптивная защита персонала позволит сотрудникам выполнять работу без постоянного обучения всем аспектам безопасности. Это потребует значительных изменений в мышлении и инструментах, на это уйдет не менее 10 лет. Тем временем HRM, основанное на фактических данных, окажет положительное влияние на поведение сотрудников в сфере безопасности и поможет привить культуру безопасности.
-2

Динамика рынка

HRM - это уже зрелый рынок в США и только зарождающийся в России. Когда руководители служб безопасности столкнутся с множеством вариантов выбора решений, то должны обратить внимание на следующие аспекты:

  • Основная тенденция. Директоры по ИБ видят недостатки обучения и используют HRM для выявления человеческого поведения, измерения и управления рисками. Многие директоры по ИБ сомневаются в пользе и эффективности обучения.
  • Основная проблема. Пользуясь ажиотажем, многие поставщики просто переименуют свои предложения по компьютерному обучению в HRM без возможности идентификации поведения и реагирования на основе данных.
  • Главный разрушитель. С одной стороны ИИ поможет улучшить поведенческую аналитику и адаптировать обучение, политики и процесс. С другой очевидно, что ИИ нарушит баланс рынка, так как качество и сценарии использования создаваемого контента еще недостаточно высоки. Если единственным сценарием использования ИИ будет создание контента, это может привести к тому, что рынок откатится назад: будет создаваться еще больше плохого контента и тестов, раздражая сотрудников и не достигая желаемых результатов.

Основные сценарии использования

Были выделены следующие основные сценарии использования на этом рынке:

  • обучение и тренинги по безопасности;
  • выявление и реагирование на самые критичные риски;
  • повышение культуры безопасности.

Именно эти сценарии использования чаще всего ищут заказчики и ожидают от поставщиков HRM систем.

Помимо этих основных сценариев использования, заказчики часто ищут поставщиков, которые фокусируются на определенных расширенных сценариях использования. Были определены следующие расширенные сценарии использования:

  • моделирование фишинговых атак;
  • снижение нагрузки на центр безопасности/службу технической поддержки;
  • оценка навыков сотрудников в области кибербезопасности;
  • повышение уровня кибербезопасности;
  • адаптивная защита людей;
  • соответствие нормативным требованиям, страхованию и требованиям третьих сторон;
  • снижение нагрузки на центры тренингов по безопасности.

Некоторые заказчики стремятся решать эти задачи в дополнение к основным, но не все HRM-решения могут смогут их решить (см. рис. 3).

-3

Вывод

Проблема кибератак и утечек данных с каждым годом становится все более актуальной темой для информационной среды организаций. Сейчас уже появляются решения для управления человеческими рисками с учетом политики ИБ в компании, однако, в основном, они сосредоточены на иностранном рынке. Российский рынок только встает на этот путь.

Бизнес и финансы
1,13 млн интересуются