Осведомленность об информационной безопасности

Осведомленность об информационной безопасности является развивающейся частью информационной безопасности , которая фокусируется на повышении осведомленности относительно потенциальных рисков быстро развивающихся форм информации и быстро развивающихся угроз этой информации, которые нацелены на поведение человека. По мере того, как угрозы созревали, а информация увеличивалась в ценности, злоумышленники увеличивали свои возможности и расширяли свои намерения, разрабатывали больше методов и методологий атак и действуют на основе более разнообразных мотивов. По мере того, как средства и процессы информационной безопасности созревали, атаки созрели для обхода средств и процессов. Злоумышленники нацелились и успешно использовали человеческое поведение отдельных лиц для взлома корпоративных сетей и критически важных инфраструктурных систем. Целевые лица, которые не знают об информации и угрозах, могут неосознанно обойти традиционные средства и процессы безопасности и сделать возможным взлом организации. В ответ на это растет осведомленность об информационной безопасности. Кибербезопасность как бизнес-проблема доминировала в повестке дня большинства директоров по информационным технологиям (CIO), обнажая необходимость в контрмерах для сегодняшнего ландшафта киберугроз. ^[1] Цель повышения осведомленности в области информационной безопасности — донести до каждого, что он подвержен возможностям и вызовам современного ландшафта угроз, изменить рискованное поведение людей и создать или улучшить безопасную организационную культуру.

Фон

Осведомленность об информационной безопасности является одним из нескольких ключевых принципов информационной безопасности. Осведомленность об информационной безопасности стремится понять и улучшить поведение людей, убеждения и восприятие риска относительно информации и информационной безопасности, а также понять и улучшить организационную культуру как контрмеру быстро меняющимся угрозам. Например, Руководящие принципы ОЭСР по безопасности информационных систем и сетей ^[2] включают девять общепринятых принципов: осведомленность, ответственность, реагирование, этика, демократия, оценка риска, проектирование и реализация безопасности, управление безопасностью и переоценка. В контексте Интернета этот тип осведомленности иногда называют осведомленностью о кибербезопасности , которая находится в центре внимания многочисленных инициатив, включая Национальный месяц осведомленности о кибербезопасности Министерства внутренней безопасности США ^[3] и Саммит Белого дома 2015 года по кибербезопасности и защите прав потребителей президента Обамы. ^[4]

Компьютерные преступления не являются чем-то новым для нас. Вирусы существуют уже более 20 лет; шпионское ПО накопилось более чем за десятилетие с момента самых первых инцидентов; а широкомасштабное использование фишинга можно проследить как минимум с 2003 года. Одна из причин, по которой исследователи сошлись во мнении, что темпы развития и расширения информационных систем растут, заключается в том, что программа повышения осведомленности сотрудников о безопасности сильно отстает. К сожалению, однако, похоже, что быстрое внедрение онлайн-сервисов не сопровождалось соответствующим принятием культуры безопасности. ^[5]

Эволюция

Осведомленность об информационной безопасности развивается в ответ на меняющуюся природу кибератак, возросшую нацеленность на персональную информацию, а также стоимость и масштаб нарушений информационной безопасности. Более того, многие люди думают о безопасности с точки зрения технического контроля, не осознавая, что они как личности являются целями, и что их поведение может увеличить риски или обеспечить контрмеры для рисков и угроз.

Определение и измерение осведомленности об информационной безопасности выявили необходимость в точных метриках. В ответ на эту потребность метрики осведомленности об информационной безопасности быстро развиваются, чтобы понимать и измерять ландшафт человеческих угроз, измерять и изменять человеческое понимание и поведение, измерять и снижать организационный риск и измерять эффективность и стоимость осведомленности об информационной безопасности как контрмеры. ^[6]

Большинство организаций не хотят вкладывать деньги в информационную безопасность. Опрос, проведенный PricewaterhouseCoopers (2014), показал, что нынешние сотрудники (31%) и бывшие сотрудники (27%) по-прежнему способствуют инцидентам информационной безопасности. Результаты опроса показали, что количество фактических инцидентов, приписываемых сотрудникам, выросло на 25% с момента опроса 2013 года. ^[7] Более позднее исследование, Verizon Data Breach Investigations Report 2020, обнаружило похожие закономерности с 30% инцидентов кибербезопасности, в которых участвуют внутренние субъекты внутри компании. ^[8]

Необходимость программы повышения осведомленности в области безопасности

Программа повышения осведомленности о безопасности — это лучшее решение, которое может принять организация для снижения угроз безопасности, создаваемых внутренними сотрудниками. Программа повышения осведомленности о безопасности помогает сотрудникам понять, что информационная безопасность — это не индивидуальная ответственность; это ответственность всех. В программе также прямо упоминается, что сотрудники несут ответственность за все действия, выполняемые под их идентификацией. Кроме того, программа обеспечивает соблюдение стандартных способов обращения с бизнес-компьютерами.

Хотя организации не приняли стандартный способ предоставления программы повышения осведомленности о безопасности, хорошая программа должна включать осведомленность о данных, сети, поведении пользователей, социальных сетях, использовании мобильных устройств и WiFi, фишинговых письмах, социальной инженерии и различных типах вирусов и вредоносных программ. Эффективная программа повышения осведомленности сотрудников о безопасности должна четко указывать, что каждый в организации несет ответственность за безопасность ИТ. Аудиторы должны уделять пристальное внимание шести областям, охватываемым программой: данные, сети, поведение пользователей, социальные сети, мобильные устройства и социальная инженерия. ^[9]

Многие организации делают свою политику конфиденциальности настолько сложной, что разнородные сотрудники никогда не понимают эти правила. Политика конфиденциальности — это то, о чем следует напоминать сотрудникам всякий раз, когда они входят в систему на рабочем компьютере. Политика конфиденциальности должна быть более ясной, короткой и стандартизированной, чтобы обеспечить лучшее понимание и сравнение практик конфиденциальности. ^[10] Организации могут создавать интерактивные сессии для всех сотрудников, которые будут посещать каждую неделю, чтобы говорить о безопасности и угрозах. Интерактивные сессии могут включать осведомленность о новых угрозах, передовой практике, а также вопросы и ответы.

Программа повышения осведомленности о безопасности может оказаться бесполезной, если организация не наказывает нарушителей. Сотрудники, признанные виновными в нарушении программы, должны быть доложены вышестоящему руководству для принятия дальнейших мер, в противном случае программа не будет эффективной. Органы информационной безопасности могут провести анализ пробелов, чтобы выявить какие-либо недостатки в программе.

Текущее состояние

По состоянию на начало 2015 года ИТ-директора оценивали вопросы, связанные с осведомленностью об информационной безопасности, как главные стратегические приоритеты. Например, на сетевом мероприятии Wall Street Journal CIO в феврале 2015 года, созванном для создания приоритетного набора рекомендаций по управлению бизнесом и политикой в следующем году, консенсус, по-видимому, сформировался вокруг кибербезопасности и внедрения изменений посредством эффективной коммуникации с остальной частью бизнеса. ^[11]

В то время как осведомленность об информационной безопасности и громкие нарушения находятся на переднем крае повестки дня большинства организаций, недавнее исследование 220 сотрудников по осведомленности о безопасности, проведенное Лэнсом Спритцнером, выявило три связанных ключевых вывода. Во-первых, для успешной программы осведомленности о безопасности необходима поддержка руководства и финансов. Во-вторых, из-за технического характера традиционных мер безопасности и контрмер отсутствуют гибкие навыки, необходимые для понимания и изменения человеческого поведения, и, наконец, с точки зрения модели зрелости осведомленность о безопасности все еще находится в зачаточном состоянии. ^[12]

Проблема измерения

Эффективное измерение рискованного поведения человека затруднено, поскольку рискованное поведение, убеждения и восприятие часто неизвестны. Кроме того, такие атаки, как фишинг , социальная инженерия и инциденты, такие как утечка данных и размещение конфиденциальных данных на сайтах социальных сетей, и даже нарушения остаются незамеченными, а неизвестность затрудняет определение и измерение точек отказа. Часто на атаки, инциденты и нарушения реагирует или сообщается извне скомпрометированной организации после того, как злоумышленники заметают следы, и, таким образом, их нельзя исследовать и измерять заранее. Кроме того, вредоносный трафик часто остается незамеченным, поскольку злоумышленники часто шпионят и имитируют известное поведение, чтобы предотвратить любые обнаружения вторжений или оповещения о мониторинге доступа.

Исследование 2016 года разработало метод измерения осведомленности о безопасности. ^[13] В частности, они измеряли «понимание того, как обойти протоколы безопасности, нарушить предполагаемые функции систем или собрать ценную информацию, и не попасться» (стр. 38). Исследователи создали метод, который может различать экспертов и новичков, заставляя людей организовывать различные сценарии безопасности в группы. Эксперты организуют эти сценарии на основе централизованных тем безопасности, тогда как новички организуют сценарии на основе поверхностных тем.

Если имитационные фишинговые кампании проводятся регулярно, они могут обеспечить меры по проверке соблюдения правил пользователем. ^[14]

Смотрите также

Ссылки

^ «ИТ-директора называют свои 5 главных стратегических приоритетов. Утренняя загрузка: безопасность доминирует в повестке дня ИТ-директоров в эпоху рисков и перемен». Wall Street Journal . 4 февраля 2015 г.
^ "oecd.org" (PDF) . Получено 2015-02-14 .
^ "Министерство внутренней безопасности США" . Получено 14 февраля 2015 г.
^ «Президент Обама выступает на саммите Белого дома по вопросам кибербезопасности и защиты прав потребителей». whitehouse.gov . 13 февраля 2015 г. – через Национальный архив .
^ Фернелл, Стивен (2008). «Культура безопасности конечного пользователя: урок, который никогда не будет усвоен?». Computer Fraud & Security . 2008 (4): 6–9. doi :10.1016/S1361-3723(08)70064-2.
^ scadahacker.com https://scadahacker.com/library/Documents/Insider_Threats/DHS%20-%20Risks%20to%20US%20Critical%20Infrastructure%20from%20Insider%20Threat%20-%2023%20Dec%2013.pdf . Получено 25.04.2015 . {{cite web}}: Отсутствует или пусто |title=( помощь )
^ Да Вейга, Адель; Мартинс, Нико (2015). «Улучшение культуры информационной безопасности посредством мониторинга и реализации действий, проиллюстрированных на примере исследования». Компьютеры и безопасность . 49 : 162–176. doi :10.1016/j.cose.2014.12.006. hdl : 10500/21765 .
^ «Отчет о расследовании утечек данных Verizon 2020» (PDF) . Verizon .
^ "Оценка программы осведомленности о безопасности сотрудников". iaonline.theiia.org . Архивировано из оригинала 2016-03-04 . Получено 2015-04-25 .
^ «Структура конфиденциальности потребителей FTC и следующие шаги. — Бесплатная онлайн-библиотека». www.thefreelibrary.com . Получено 25.04.2015 .
^ Нортон, Стивен (4 февраля 2015 г.). «ИТ-директора называют свои 5 главных стратегических приоритетов». Wall Street Journal .
^ «SANS обеспечивает безопасность человека, отчет об осведомленности».
^ Giboney, Justin Scott; Proudfoot, Jeffrey Gainer; Goel, Sanjay; Valacich, Joseph S (2016). «Мера оценки экспертных знаний в области безопасности (SEAM): разработка шкалы для оценки экспертных знаний хакеров». Computers & Security . 60 : 37–51. doi :10.1016/j.cose.2016.04.001.
^ Р, Кейт. «Проблемы с фишингом». Национальный центр кибербезопасности . GCHQ . Получено 12 сентября 2018 г.

Внешние ссылки

Цикл осведомленности о безопасности

[1] «ИТ-директора называют свои 5 главных стратегических приоритетов. Утренняя загрузка: безопасность доминирует в повестке дня ИТ-директоров в эпоху рисков и перемен». Wall Street Journal . 4 февраля 2015 г.

[2] "oecd.org" (PDF) . Получено 2015-02-14 .

[3] "Министерство внутренней безопасности США" . Получено 14 февраля 2015 г.

[4] «Президент Обама выступает на саммите Белого дома по вопросам кибербезопасности и защиты прав потребителей». whitehouse.gov . 13 февраля 2015 г. – через Национальный архив .

[5] Фернелл, Стивен (2008). «Культура безопасности конечного пользователя: урок, который никогда не будет усвоен?». Computer Fraud & Security . 2008 (4): 6–9. doi :10.1016/S1361-3723(08)70064-2.

[6] scadahacker.com https://scadahacker.com/library/Documents/Insider_Threats/DHS%20-%20Risks%20to%20US%20Critical%20Infrastructure%20from%20Insider%20Threat%20-%2023%20Dec%2013.pdf . Получено 25.04.2015 . {{cite web}}: Отсутствует или пусто |title=( помощь )

[7] Да Вейга, Адель; Мартинс, Нико (2015). «Улучшение культуры информационной безопасности посредством мониторинга и реализации действий, проиллюстрированных на примере исследования». Компьютеры и безопасность . 49 : 162–176. doi :10.1016/j.cose.2014.12.006. hdl : 10500/21765 .

[8] «Отчет о расследовании утечек данных Verizon 2020» (PDF) . Verizon .

[9] "Оценка программы осведомленности о безопасности сотрудников". iaonline.theiia.org . Архивировано из оригинала 2016-03-04 . Получено 2015-04-25 .

[10] «Структура конфиденциальности потребителей FTC и следующие шаги. — Бесплатная онлайн-библиотека». www.thefreelibrary.com . Получено 25.04.2015 .

[11] Нортон, Стивен (4 февраля 2015 г.). «ИТ-директора называют свои 5 главных стратегических приоритетов». Wall Street Journal .

[12] «SANS обеспечивает безопасность человека, отчет об осведомленности».

[13] Giboney, Justin Scott; Proudfoot, Jeffrey Gainer; Goel, Sanjay; Valacich, Joseph S (2016). «Мера оценки экспертных знаний в области безопасности (SEAM): разработка шкалы для оценки экспертных знаний хакеров». Computers & Security . 60 : 37–51. doi :10.1016/j.cose.2016.04.001.

[GCHQ-14] Р, Кейт. «Проблемы с фишингом». Национальный центр кибербезопасности . GCHQ . Получено 12 сентября 2018 г.