Осведомленность об информационной безопасности - Information security awareness

Осведомленность об информационной безопасности является развивающейся частью информационная безопасность который фокусируется на повышении осведомленности о потенциальных рисках быстро развивающихся форм Информация и быстро развивающиеся угрозы этой информации, нацеленные на поведение человека. По мере развития угроз и роста ценности информации злоумышленники расширили свои возможности и расширили свои намерения, разработали больше методов и методологий атак и действуют по более разнообразным мотивам. По мере развития средств управления и процессов информационной безопасности, атаки стали обходить средства контроля и процессы. Злоумышленники нацелены на людей и успешно используют их человеческое поведение для взлома корпоративных сетей и систем критической инфраструктуры. Целевые люди, которые не осведомлены об информации и угрозах, могут неосознанно обойти традиционные меры и процессы безопасности и сделать возможным взлом организации. В ответ на это растет осведомленность об информационной безопасности. Кибербезопасность как проблема бизнеса доминировала в повестке дня большинства директора по информационным технологиям (CIO) s, демонстрируя необходимость в противодействии сегодняшнему ландшафту киберугроз.[1] Целью информирования об информационной безопасности является информирование всех о том, что они восприимчивы к возможностям и вызовам в сегодняшнем ландшафте угроз, изменение поведения человека в отношении рисков и создание или укрепление безопасной организационной культуры.

Фон

Осведомленность об информационной безопасности - один из нескольких ключевых принципов информационной безопасности. Осведомленность об информационной безопасности направлена ​​на понимание и улучшение поведения людей, связанных с риском, убеждений и представлений об информации и информационной безопасности, а также понимание и повышение организационной культуры в качестве меры противодействия быстро развивающимся угрозам. Например, ОЭСР с Руководство по безопасности информационных систем и сетей[2] включают девять общепринятых принципов: осведомленность, ответственность, реагирование, этика, демократия, оценка рисков, проектирование и реализация безопасности, управление безопасностью и повторная оценка. В контексте Интернет, этот тип осознания иногда называют информационная безопасность осведомленности, что является фокусом множества инициатив, включая Министерство внутренней безопасности США Месяц осведомленности о национальной кибербезопасности[3] и саммит президента Обамы в Белом доме 2015 года по кибербезопасности и защите потребителей.[4]

Компьютерные преступления для нас не новость. Вирусы существуют уже более 20 лет; шпионское ПО накопилось более десяти лет с момента первых инцидентов; а широкомасштабное использование фишинга можно проследить, по крайней мере, до 2003 года. Одна из причин, по которой исследователи согласились с тем, что темпы развития информационных систем развиваются и расширяются, осведомленность о безопасности программа среди сотрудников сильно отстает. К сожалению, однако, кажется, что быстрое внедрение онлайн-сервисов не сопровождалось соответствующим принятием культуры безопасности.[5]

Эволюция

Осведомленность об информационной безопасности растет в ответ на меняющийся характер кибератак, усиление целевого использования личной информации, а также стоимость и масштаб нарушений информационной безопасности. Более того, многие люди думают о безопасности как о технических средствах контроля, не осознавая, что они как индивидуумы являются целями и что их поведение может увеличивать риски или обеспечивать меры противодействия рискам и угрозам.

Определение и измерение осведомленности об информационной безопасности выявили необходимость в точных показателях. В ответ на эту потребность быстро развиваются метрики осведомленности об информационной безопасности, чтобы понять и измерить ландшафт угроз для человека, измерить и изменить понимание и поведение человека, измерить и снизить организационный риск и измерить эффективность и стоимость осведомленности об информационной безопасности в качестве меры противодействия.[6]

Большинство организаций не хотят вкладывать деньги в информационную безопасность. Опрос, проведенный PricewaterhouseCoopers (2014), показал, что нынешние сотрудники (31%) и бывшие сотрудники (27%) по-прежнему вносят свой вклад в инциденты информационной безопасности. Результаты исследования показали, что количество фактических происшествий по вине сотрудников выросло на 25% по сравнению с исследованием 2013 года.[7]

Необходимость программы повышения осведомленности о безопасности

Программа повышения осведомленности о безопасности - лучшее решение, которое организация может принять для снижения угроз безопасности, создаваемых внутренними сотрудниками. Программа повышения осведомленности о безопасности помогает сотрудникам понять, что ответственность за информационную безопасность не лежит на отдельном человеке; это ответственность каждого. В программе также прямо упоминается, что сотрудники несут ответственность за все действия, выполняемые с использованием их удостоверений. Кроме того, программа обеспечивает стандартные способы работы с компьютерами для бизнеса.

Хотя организации не приняли стандартный способ предоставления программы повышения осведомленности о безопасности, хорошая программа должна включать осведомленность о данных, сети, поведении пользователей, социальных сетях, использовании мобильных устройств и Wi-Fi, фишинговых электронных письмах, социальной инженерии и различных типах вирусов и вредоносное ПО. Эффективная программа повышения осведомленности сотрудников о безопасности должна четко указывать на то, что каждый в организации несет ответственность за ИТ-безопасность. Аудиторы должны обратить пристальное внимание на шесть областей, охватываемых программой: данные, сети, поведение пользователей, социальные сети, мобильные устройства и социальная инженерия.[8]

Многие организации сильно усложняют свою политику конфиденциальности, так что разные сотрудники всегда не понимают этих правил. Политика конфиденциальности - это то, о чем следует напоминать сотрудникам, когда они входят в рабочий компьютер. Политики конфиденциальности должны быть более четкими, короче и стандартизированными, чтобы обеспечить лучшее понимание и сравнение методов обеспечения конфиденциальности.[9] Организации могут создавать интерактивные занятия для всех сотрудников каждую неделю, чтобы говорить о безопасности и угрозах. Интерактивные занятия могут включать осведомленность о новых угрозах, передовых методах и вопросах и ответах.

Программа повышения осведомленности о безопасности может оказаться невыгодной, если организация не наказывает нарушителей. О сотрудниках, признанных виновными в нарушении программы, следует сообщить вышестоящему руководству для дальнейших действий, иначе программа не будет действовать. Органы по информационной безопасности могут провести анализ пробелов, чтобы выявить любые недостатки в программе.

Текущее состояние

По состоянию на начало 2015 года ИТ-директора оценивали вопросы осведомленности об информационной безопасности как высшие стратегические приоритеты. Например, в феврале 2015 г. Wall Street Journal Сетевое мероприятие ИТ-директора, созванное для выработки приоритетного набора рекомендаций для развития бизнеса и политики в наступающем году, похоже, сформировалось по вопросам кибербезопасности и внесения изменений посредством эффективного взаимодействия с остальной частью бизнеса.[10]

В то время как осведомленность об информационной безопасности и громкие нарушения находятся на переднем крае повестки дня большинства организаций, недавнее исследование 220 сотрудников по вопросам безопасности, проведенное Лэнсом Шприцнером, выявило три связанных ключевых вывода. Во-первых, для успешной программы повышения осведомленности о безопасности необходима административная и финансовая поддержка. Во-вторых, из-за технической природы традиционных мер безопасности и контрмер отсутствуют мягкие навыки, необходимые для понимания и изменения человеческого поведения, и, наконец, с точки зрения модели зрелости, осведомленность о безопасности все еще находится в зачаточном состоянии.[11]

Проблема измерения

Эффективно измерить рискованное поведение человека сложно, потому что рискованное поведение, убеждения и представления часто неизвестны. Вдобавок такие атаки, как фишинг, социальная инженерия, а такие инциденты, как утечка данных и конфиденциальные данные, размещенные на сайтах социальных сетей, и даже нарушения остаются незамеченными и неизвестными, что затрудняет определение и измерение точек сбоя. Часто атаки, инциденты и взломы реагируют или сообщаются извне скомпрометированной организации после того, как злоумышленники заметили свои следы, и поэтому их невозможно изучить и измерить заранее. Кроме того, вредоносный трафик часто остается незамеченным, поскольку злоумышленники часто шпионят и имитируют известное поведение, чтобы предотвратить любое обнаружение вторжений или предупреждения мониторинга доступа.

В исследовании 2016 года был разработан метод измерения осведомленности о безопасности.[12] В частности, они измеряли «понимание того, как обходить протоколы безопасности, нарушать намеченные функции систем или собирать ценную информацию, и не быть пойманным» (стр. 38). Исследователи создали метод, позволяющий различать экспертов и новичков, заставляя людей организовывать различные сценарии безопасности в группы. Эксперты организуют эти сценарии на основе централизованных тем безопасности, а новички организуют сценарии на основе поверхностных тем.

Где симулированный фишинг кампании проводятся регулярно, они могут обеспечить меры по соблюдению требований пользователями.[13]

Смотрите также

Рекомендации

  1. ^ «ИТ-директора называют свои 5 главных стратегических приоритетов. Утренняя загрузка: безопасность доминирует в повестке дня ИТ-директора в эпоху рисков и перемен».
  2. ^ "oecd.org" (PDF). Получено 2015-02-14.
  3. ^ «Министерство внутренней безопасности США». Получено 2015-02-14.
  4. ^ «Президент Обама выступает на саммите Белого дома по кибербезопасности и защите потребителей».
  5. ^ Фурнелл, Стивен (2008). «Культура безопасности конечного пользователя: урок, который никогда не будет усвоен?». Компьютерное мошенничество и безопасность. 2008 (4): 6–9. Дои:10.1016 / S1361-3723 (08) 70064-2.
  6. ^ "https://scadahacker.com/library/Documents/Insider_Threats/DHS%20-%20Risks%20to%20US%20Critical%20Infrastructure%20from%20Insider%20Threat%20-%2023%20Dec%2013.pdf" (PDF). scadahacker.com. Получено 2015-04-25. Внешняя ссылка в | название = (помощь)
  7. ^ Да Вейга, Адель; Мартинс, Нико (2015). «Повышение культуры информационной безопасности посредством мониторинга и действий по реализации на примере тематического исследования». Компьютеры и безопасность. 49: 162–176. Дои:10.1016 / j.cos.2014.12.006. HDL:10500/21765.
  8. ^ «Оценка программы повышения осведомленности сотрудников о безопасности». iaonline.theiia.org. Получено 2015-04-25.
  9. ^ «Структура конфиденциальности потребителей FTC и следующие шаги. - Бесплатная онлайн-библиотека». www.thefreelibrary.com. Получено 2015-04-25.
  10. ^ «ИТ-директора называют свои 5 основных стратегических приоритетов».
  11. ^ «Отчет о безопасности человека SANS».
  12. ^ Гибони, Джастин Скотт; Праудфут, Джеффри Гейнер; Гоэль, Санджай; Валачич, Джозеф S (2016). «Оценка экспертизы безопасности (SEAM): разработка шкалы хакерской экспертизы». Компьютеры и безопасность. 60: 37–51. Дои:10.1016 / j.cos.2016.04.001.
  13. ^ Р, Кейт. "Проблема с фишингом". Национальный центр кибербезопасности. GCHQ. Получено 12 сентября 2018.

внешняя ссылка