Кибербезопасность остается постоянной угрозой в деловом мире, в прошлом году было зафиксировано рекордное количество компрометации данных. Может показаться заманчивым сказать, что это не проблема HR, но кибербезопасность больше не является исключительной сферой деятельности ИТ.
HR играет важнейшую роль как в предотвращении атак, так и в реагировании на проникновение злоумышленника.
HR также могут сами стать мишенью из-за огромного количества данных о сотрудниках, которые они хранят. Это большой объем персональных данных. HRы держат "ключи от замка" всего, что происходит с каждым сотрудником».
Вот что нужно знать HR.
HR играет важнейшую роль как в предотвращении атак, так и в реагировании на проникновение злоумышленника.
HR также могут сами стать мишенью из-за огромного количества данных о сотрудниках, которые они хранят. Это большой объем персональных данных. HRы держат "ключи от замка" всего, что происходит с каждым сотрудником».
Вот что нужно знать HR.
Подготовка людей к киберугрозам
Директора по персоналу играют важную роль в защите от кибератак из-за популярности фишинговых атак, когда хакеры обманывают кого-то, чтобы либо пропустить злоумышленников через обычные стены кибербезопасности, либо выдать себя за кого-то, чтобы заставить сотрудника сделать то, что они обычно не делают, например, внести деньги на новый счет.
По данным IBM, фишинг является наиболее распространенным вектором утечки данных, на его долю приходится 16% всех утечек. Они также обходятся дороже всего: IBM также обнаружила, что фишинговые взломы обходятся в среднем в 4,76 миллиона долларов, что выше общей средней стоимости утечки в 4,45 миллиона долларов.
Большинство инцидентов, связанных с безопасностью данных, являются результатом человеческой ошибки, а человеческая ошибка означает, что она допущена сотрудником.
Обучение борьбе с фишингом должно входить в компетенцию HR, как и другие виды обучения. Это может означать проведение поддельных фишинговых кампаний, чтобы узнать, сколько сотрудников поддаются на это. Можно проводить регулярные конкурсы с призами, предлагая сотрудникам определить, что не так с электронным письмом — такие вещи, как опечатки, неправильные заголовки и URL-адреса.
Важно изменить представление о роли, которую сотрудники играют в предотвращении утечек данных, и сделать их более заметными и ценными на рабочем месте, а также сделать кибербезопасность частью культуры и миссии компании.
По данным IBM, фишинг является наиболее распространенным вектором утечки данных, на его долю приходится 16% всех утечек. Они также обходятся дороже всего: IBM также обнаружила, что фишинговые взломы обходятся в среднем в 4,76 миллиона долларов, что выше общей средней стоимости утечки в 4,45 миллиона долларов.
Большинство инцидентов, связанных с безопасностью данных, являются результатом человеческой ошибки, а человеческая ошибка означает, что она допущена сотрудником.
Обучение борьбе с фишингом должно входить в компетенцию HR, как и другие виды обучения. Это может означать проведение поддельных фишинговых кампаний, чтобы узнать, сколько сотрудников поддаются на это. Можно проводить регулярные конкурсы с призами, предлагая сотрудникам определить, что не так с электронным письмом — такие вещи, как опечатки, неправильные заголовки и URL-адреса.
Важно изменить представление о роли, которую сотрудники играют в предотвращении утечек данных, и сделать их более заметными и ценными на рабочем месте, а также сделать кибербезопасность частью культуры и миссии компании.
Реагирование в случае атаки
Несмотря на все усилия компании в области кибербезопасности, атаки все еще происходят, и некоторые из них будут успешными. По данным Центра ресурсов по хищению личных данных, в 2023 году было зарегистрировано 3 205 случаев компрометации данных — исторический рекорд — с более чем 350 миллионами жертв.
В случае утечки информации у компаний уже должен быть план реагирования на инциденты, который диктует, например, кто и что делает в процессе минимизации проблемы. Этот план должен включать директора по персоналу, поскольку этот человек обладает уникальными возможностями для общения с сотрудниками.
Если о проблеме сообщается директору по персоналу, особенно если сотрудник считает, что его обманули, он также должен быть уполномочен немедленно отреагировать, что может означать дополнительное обучение операциям в области кибербезопасности. Это гораздо эффективнее, чем если бы директор по персоналу прокладывал себе путь через ИТ в поисках помощи.
Что бы ни работало, будет зависеть от компании, и чтобы выяснить это, необходимо преодолеть разрозненность между различными отделами, чтобы относиться к кибербезопасности как к проблеме всего бизнеса.
В случае утечки информации у компаний уже должен быть план реагирования на инциденты, который диктует, например, кто и что делает в процессе минимизации проблемы. Этот план должен включать директора по персоналу, поскольку этот человек обладает уникальными возможностями для общения с сотрудниками.
Если о проблеме сообщается директору по персоналу, особенно если сотрудник считает, что его обманули, он также должен быть уполномочен немедленно отреагировать, что может означать дополнительное обучение операциям в области кибербезопасности. Это гораздо эффективнее, чем если бы директор по персоналу прокладывал себе путь через ИТ в поисках помощи.
Что бы ни работало, будет зависеть от компании, и чтобы выяснить это, необходимо преодолеть разрозненность между различными отделами, чтобы относиться к кибербезопасности как к проблеме всего бизнеса.
Если вы не готовы развиваться в каком-то смысле, чтобы понять киберпространство, ваша компания окажется под угрозой.
Почему техническим отделам нужна помощь в деле просвещения
Если техническая защита — конек ИТ- и ИБ-отделов, то работа с людьми, тем более обучение — для них задача непривычная и непрофильная. Знать свое дело — еще не значит уметь рассказать о нем, особенно неподготовленной публике. То, что эксперту по безопасности кажется очевидным, может быть абсолютно не близко специалисту по продажам. Поэтому инструкции и лекции часто оказываются сложными и непонятными — и не приносят результата.
Кроме того, лекция — вообще не самый оптимальный формат обучения. Как показывает наша практика, мало кто усваивает информацию, поданную таким образом. Это как тренинг по пожарной безопасности — вроде и жизненно важно, но большинством воспринимается как формальность. Даже если кто-то реально слушает лектора, то через пару дней 70% сказанного уже забывается (и это еще в лучшем случае). Всегда лучше, чтобы тренинг проводил сотрудник HR, знающий, как донести информацию до сотрудников правильно.
Кроме того, лекция — вообще не самый оптимальный формат обучения. Как показывает наша практика, мало кто усваивает информацию, поданную таким образом. Это как тренинг по пожарной безопасности — вроде и жизненно важно, но большинством воспринимается как формальность. Даже если кто-то реально слушает лектора, то через пару дней 70% сказанного уже забывается (и это еще в лучшем случае). Всегда лучше, чтобы тренинг проводил сотрудник HR, знающий, как донести информацию до сотрудников правильно.
Чтобы минимизировать шансы на ошибку, в компании полезно иметь единую инструкцию по информационной безопасности. С ней следует знакомить всех новых сотрудников при найме, да и до сведения старых тоже имеет смысл довести. Писать такую инструкцию с нуля может быть достаточно сложно, поэтому мы решили сделать это за вас — хотя бы накидать общий план, к которому вы потом сможете добавить специфичные для вашей компании пункты. Вот что должно быть в такой инструкции, по нашему мнению.
✅ Доступ к корпоративным ресурсам и сервисам
✅ О важности персональных данных
✅ О самых распространенных киберугрозах
✅ Контакты на экстренный случай
Компьютер ведет себя странно?
Пришло множество писем о попытке входа в корпоративную учетную запись?
На рабочем столе записка от вымогателей, а файлы не открываются?
Заметили какую-то иную аномалию?
Срочно свяжитесь с <Имя Сотрудника> по телефону <Tелефон Cотрудника>.
В последнем пункте следует оставить контакты человека, к которому нужно обратиться в случае нештатной ситуации. Им может быть выделенный специалист по кибербезопасности (если он есть), системный администратор или даже владелец бизнеса. Словом, тот, кто будет четко знать, что делать, как делать и когда делать.
- Используйте только сложные пароли: они должны быть не менее 12 знаков длиной, не состоять из словарных слов, содержать спецсимволы и цифры. Если пароль простой, злоумышленник сможет подобрать его простым перебором.
- Пароли должны быть уникальными: не используйте один и тот же пароль для всех рабочих ресурсов. Тем более — не используйте его же и в личных целях. Достаточно будет утечки из одного из сервисов, чтобы скомпрометировать их все.
- Пароли должны быть секретными: не записывайте пароль на бумаге и не храните около рабочего места; не вписывайте их в файлы и не делитесь ими с коллегами. Иначе случайный посетитель офиса или уволившийся сотрудник сможет воспользоваться таким паролем во вред компании.
- Если сервис позволяет включить двухфакторную аутентификацию, включите ее. Это не позволит злоумышленнику получить доступ к сервису даже в случае утечки пароля.
✅ О важности персональных данных
- Не выкидывайте бумаги с персональными данными в мусорную корзину. Если их нужно выкинуть, воспользуйтесь шредером. Злоумышленники нередко изучают выброшенные бумаги и могут наткнуться на них.
- Не передавайте файлы с персональными данными по открытым каналам (например, через Google Docs по прямой ссылке или через публичные файлохранилища). Тот же Google индексирует документы в доступе по ссылке, так что на них может наткнуться посторонний.
- Не делитесь персональными данными клиентов с коллегами, чьи рабочие функции не требуют такого доступа. Если такая практика обнаружится во время аудита, то компанию ждут неприятности от регуляторов, да и вероятность утечки возрастает.
✅ О самых распространенных киберугрозах
- Тщательно проверяйте ссылки в письмах, прежде чем по ним переходить. Убедительно выглядящее имя отправителя — не гарантия подлинности. Злоумышленники могут попробовать подсунуть фишинговую ссылку, особенно если им удастся захватить почту кого-то из ваших коллег.
- Если вы распоряжаетесь бюджетами, то никогда не переводите деньги на неизвестные счета только на основании письма или сообщения в мессенджере. Позвоните человеку, якобы санкционировавшему перевод, или свяжитесь с ним по другому каналу и попросите устное подтверждение. Захватив почту или учетную запись в мессенджере, злоумышленник может легко подделать письменное «распоряжения начальника».
- Не подключайте к рабочему компьютеру неизвестно откуда взявшиеся флешки. Атака через зараженный внешний накопитель — это не фантастика: злоумышленники действительно могут подбросить устройство в офис.
- Не открывайте и не запускайте исполняемые файлы из непрооверенного источника (например, присланные по почте). При открытии файла всегда нужно смотреть, не является ли он исполняемым (злоумышленники часто маскируют вредоносные файлы под офисные документы).
✅ Контакты на экстренный случай
Компьютер ведет себя странно?
Пришло множество писем о попытке входа в корпоративную учетную запись?
На рабочем столе записка от вымогателей, а файлы не открываются?
Заметили какую-то иную аномалию?
Срочно свяжитесь с <Имя Сотрудника> по телефону <Tелефон Cотрудника>.
В последнем пункте следует оставить контакты человека, к которому нужно обратиться в случае нештатной ситуации. Им может быть выделенный специалист по кибербезопасности (если он есть), системный администратор или даже владелец бизнеса. Словом, тот, кто будет четко знать, что делать, как делать и когда делать.
Как повысить осведомленность сотрудников о кибербезопасности и защитить свои данные и конфиденциальную информацию
🚩 Включите кибербезопасность в процесс адаптации
Если вы хотите повысить осведомленность своих сотрудников о кибербезопасности, почему бы не начать с первого дня?
Включение обучения кибербезопасности в процесс адаптации — отличный способ убедиться, что каждый сотрудник, входящий в ваши двери, знает о ваших протоколах кибербезопасности. И не только включение кибербезопасности в процесс адаптации с самого начала поставит безопасность на радар ваших сотрудников, но и покажет им, что вы являетесь компанией, которая серьезно относится к кибербезопасности, что может вдохновить их также отнестись к ней серьезно.
В процессе адаптации расскажите новому сотруднику о позиции вашей компании в отношении кибербезопасности, ключевых угрозах, о которых ему необходимо знать (например, вредоносное ПО или фишинговые атаки), а также об общих рекомендациях по безопасной работе. Чем раньше вы познакомите своих сотрудников с кибербезопасностью, тем выше будет их осведомленность и тем меньше вероятность возникновения у них проблем, связанных с безопасностью.
🚩 Инвестируйте в непрерывное обучение
Внедрение кибербезопасности в процессе адаптации — это здорово. Но разговор о кибербезопасности на этом не может закончиться. Если вы хотите обеспечить безопасность своей сети в качестве директора по информационным технологиям, вам необходимо инвестировать в регулярное и всестороннее обучение своей команды кибербезопасности.
В идеале вы должны предложить базовое обучение кибербезопасности всей своей команде: защита сети при работе из дома, безопасный доступ к конфиденциальной информации и данным компании, а также как сообщать о любых проблемах кибербезопасности ИТ-команде. Кроме того, вы можете рассмотреть возможность проведения целенаправленного обучения в зависимости от роли, отдела и/или общих угроз, с которыми сотрудники могут столкнуться при выполнении своих должностных обязанностей. Например, вы можете обучить свою бухгалтерскую команду тому, как выявлять финансовые мошенничества и что делать, если они подозревают, что финансовая информация компании была раскрыта в результате нарушения безопасности.
Чем лучше вы обучите свою команду, тем безопаснее она сможет ориентироваться в своей работе и тем меньше вероятность того, что вы столкнетесь с серьезными проблемами кибербезопасности.
🚩 Покажите своей команде, что может пойти не так
Иногда недостаточно сказать своей команде, что кибербезопасность важна; Иногда вам нужно показать им, что на самом деле находится под угрозой, если они не относятся к кибербезопасности серьезно.
Если вы покажете своей команде, что происходит при нарушении безопасности, поделившись реальными конкретными примерами, это поможет вашей команде понять, почему кибербезопасность должна быть приоритетом. И когда они понимают, почему протоколы безопасности вашей компании стоят за ними, они с большей вероятностью отнесутся к ним серьезно, и в результате ваш бизнес станет более безопасным.
Если в вашей компании в прошлом были какие-либо нарушения безопасности, расскажите своей команде, как они произошли, как они негативно повлияли на ваш бизнес, а также сколько времени, энергии и ресурсов потребовалось для восстановления. И если в вашей компании никогда не было серьезных нарушений безопасности, поищите примеры в вашей отраслиь.
Приведя вместе со своей командой реальные примеры того, что происходит, когда кибербезопасность дает сбой, проблемы безопасности превращаются из концептуальных в конкретные, и чем более реальными угрозами кибербезопасности кажется ваша команда, тем более бдительными они будут в отношении их предотвращения.
🚩 Проводите учения по кибербезопасности
Вы можете обучить свою команду кибербезопасности. Вы можете показать им, что может пойти не так, если произойдет нарушение безопасности. Но иногда, чтобы действительно понять угрозы кибербезопасности и, что более важно, как их избежать? Ваша команда должна испытать эти угрозы на себе.
Проведение учений по кибербезопасности со своей командой может помочь вам лучше понять уровень осведомленности вашей команды в области кибербезопасности. Например, предположим, что вы смоделировали фишинговую аферу и разослали фишинговое письмо всей своей команде — и обнаружили, что 25 процентов ваших сотрудников открыли файл, прикрепленный к этому письму. Это показывает, что ваша команда нуждается в дальнейшем обучении по этой конкретной угрозе кибербезопасности и тому, как не стать жертвой аналогичного (но реального) мошенничества. Или, допустим, вы хотите оценить, насколько хорошо ваша ИТ-команда справится с угрозой безопасности. Вы можете смоделировать распространенные угрозы (например, добавление незарегистрированного устройства в сеть) и посмотреть, как они отреагируют.
Дело в том, что иногда лучший способ учиться — это опыт, поэтому, если вы хотите, чтобы ваша команда лучше понимала угрозы кибербезопасности (и если вы хотите лучше понять их осведомленность об этих угрозах), попробуйте дать им этот опыт из первых рук.
Если вы хотите повысить осведомленность своих сотрудников о кибербезопасности, почему бы не начать с первого дня?
Включение обучения кибербезопасности в процесс адаптации — отличный способ убедиться, что каждый сотрудник, входящий в ваши двери, знает о ваших протоколах кибербезопасности. И не только включение кибербезопасности в процесс адаптации с самого начала поставит безопасность на радар ваших сотрудников, но и покажет им, что вы являетесь компанией, которая серьезно относится к кибербезопасности, что может вдохновить их также отнестись к ней серьезно.
В процессе адаптации расскажите новому сотруднику о позиции вашей компании в отношении кибербезопасности, ключевых угрозах, о которых ему необходимо знать (например, вредоносное ПО или фишинговые атаки), а также об общих рекомендациях по безопасной работе. Чем раньше вы познакомите своих сотрудников с кибербезопасностью, тем выше будет их осведомленность и тем меньше вероятность возникновения у них проблем, связанных с безопасностью.
🚩 Инвестируйте в непрерывное обучение
Внедрение кибербезопасности в процессе адаптации — это здорово. Но разговор о кибербезопасности на этом не может закончиться. Если вы хотите обеспечить безопасность своей сети в качестве директора по информационным технологиям, вам необходимо инвестировать в регулярное и всестороннее обучение своей команды кибербезопасности.
В идеале вы должны предложить базовое обучение кибербезопасности всей своей команде: защита сети при работе из дома, безопасный доступ к конфиденциальной информации и данным компании, а также как сообщать о любых проблемах кибербезопасности ИТ-команде. Кроме того, вы можете рассмотреть возможность проведения целенаправленного обучения в зависимости от роли, отдела и/или общих угроз, с которыми сотрудники могут столкнуться при выполнении своих должностных обязанностей. Например, вы можете обучить свою бухгалтерскую команду тому, как выявлять финансовые мошенничества и что делать, если они подозревают, что финансовая информация компании была раскрыта в результате нарушения безопасности.
Чем лучше вы обучите свою команду, тем безопаснее она сможет ориентироваться в своей работе и тем меньше вероятность того, что вы столкнетесь с серьезными проблемами кибербезопасности.
🚩 Покажите своей команде, что может пойти не так
Иногда недостаточно сказать своей команде, что кибербезопасность важна; Иногда вам нужно показать им, что на самом деле находится под угрозой, если они не относятся к кибербезопасности серьезно.
Если вы покажете своей команде, что происходит при нарушении безопасности, поделившись реальными конкретными примерами, это поможет вашей команде понять, почему кибербезопасность должна быть приоритетом. И когда они понимают, почему протоколы безопасности вашей компании стоят за ними, они с большей вероятностью отнесутся к ним серьезно, и в результате ваш бизнес станет более безопасным.
Если в вашей компании в прошлом были какие-либо нарушения безопасности, расскажите своей команде, как они произошли, как они негативно повлияли на ваш бизнес, а также сколько времени, энергии и ресурсов потребовалось для восстановления. И если в вашей компании никогда не было серьезных нарушений безопасности, поищите примеры в вашей отраслиь.
Приведя вместе со своей командой реальные примеры того, что происходит, когда кибербезопасность дает сбой, проблемы безопасности превращаются из концептуальных в конкретные, и чем более реальными угрозами кибербезопасности кажется ваша команда, тем более бдительными они будут в отношении их предотвращения.
🚩 Проводите учения по кибербезопасности
Вы можете обучить свою команду кибербезопасности. Вы можете показать им, что может пойти не так, если произойдет нарушение безопасности. Но иногда, чтобы действительно понять угрозы кибербезопасности и, что более важно, как их избежать? Ваша команда должна испытать эти угрозы на себе.
Проведение учений по кибербезопасности со своей командой может помочь вам лучше понять уровень осведомленности вашей команды в области кибербезопасности. Например, предположим, что вы смоделировали фишинговую аферу и разослали фишинговое письмо всей своей команде — и обнаружили, что 25 процентов ваших сотрудников открыли файл, прикрепленный к этому письму. Это показывает, что ваша команда нуждается в дальнейшем обучении по этой конкретной угрозе кибербезопасности и тому, как не стать жертвой аналогичного (но реального) мошенничества. Или, допустим, вы хотите оценить, насколько хорошо ваша ИТ-команда справится с угрозой безопасности. Вы можете смоделировать распространенные угрозы (например, добавление незарегистрированного устройства в сеть) и посмотреть, как они отреагируют.
Дело в том, что иногда лучший способ учиться — это опыт, поэтому, если вы хотите, чтобы ваша команда лучше понимала угрозы кибербезопасности (и если вы хотите лучше понять их осведомленность об этих угрозах), попробуйте дать им этот опыт из первых рук.
Мы с вами рассмотрели одно из направлений, которое важно реализовать в компании директору по персоналу. HR Директор - это первый человек после Генерального директора, который отвечает за успех бизнеса. От его или ее знаний, навыков и способностей напрямую зависит прибыль компании. Тренинг "HR директор" прокачает вас в этом направлении!
