През 2018 г. изтичането на данни в компаниите се е увеличило с 5%. Човешкият фактор е една от основните причини за инциденти, свързани с информационната сигурност. Невнимание, безгрижие, мотив, намерение – това са причините, поради които служителите на вашите фирми могат умишлено или неволно да доведат бизнеса до дъното.
За целта първо е необходимо да създадете план за създаване на работа в областта на информационната сигурност.
Ако погледнете глобално, можете да видите, че в областта на информационната сигурност съществува определен модел: вниманието към информационната сигурност зависи до голяма степен от дейността на компанията. Например в правителствените агенции или банковия сектор има по-строги изисквания, затова се обръща по-голямо внимание на обучението на служителите и следователно културата на работа с данните е по-развита. Днес обаче обръщането на внимание на този проблем си струва за всяка компания.
Ето някои практически стъпки, които ще ви помогнат да подобрите работата си в областта на информационната сигурност:
1 стъпка. Разработване и прилагане на обща политика за информационна сигурност, която ще съдържа основните принципи на компанията, целите и задачите в областта на управлението на информационната сигурност.
2 стъпка. Въведете правила за класификация и нива на поверителност.
Освен това е необходимо не само да се напише документ, до който служителят ще има достъп, но и да се провеждат различни обучителни събития и да се говори за направените промени. Придържайте се към правилото „предупреден значи въоръжен“. Нека фирмата продължава да работи в тази посока.
3 стъпка. Развивайте проактивен подход.
Това е като превенцията на лекарствата. Вярно е, че е много по-евтино и по-лесно да се подложи на превантивно изследване, отколкото да се лекува пренебрегвана болест. Проактивният подход може да работи, например, така: за работа с информация в търговски проекти, може да се разработи стандарт за управление на информационната сигурност в проект, който съдържа необходимия минимум от информационни изисквания за осигуряване на определено ниво на зрялост на процесите на информационна сигурност в търговския проект. Той описва какво трябва да се направи, за да се поддържа определено ниво на зрялост на процеса на управление на сигурността. Този стандарт трябва да се въведе в проекти и ежегодно да се провеждат вътрешни одити: да се проверява до колко проектите съответстват на тези изисквания, идентифициране на рисковете на информационната безопасност и най-добрите практики, които могат да помогнат и на други ръководители на проекти.
Освен одит, добре работи и Knowledge sharing. Ако има „пробой“ в един от проектите е добре другите да го знаят, за да има време да се предприемат необходимите мерки.
4 стъпка. Всички документи, обясняващи правилата, правете структурирани, разбираеми и кратки.
Както показва практиката, никой не чете дълги многостранични текстове. Документът трябва да бъде написан на ясен език. Също така, той трябва да бъде в съгласие с бизнес целите и одобрен от висшето ръководство, което ще бъде сериозен аргумент за служителите защо тези правила трябва да се следват.
5 стъпка. Провеждане на обучения, разговори, бизнес игри и други подобни.
Много често хората не разбират как някои правила се отнасят до тяхната конкретна работа, така че трябва да дадете примери, да обясните, да покажете как могат да го прилагат. Тук е важно да се покажат последиците, включително загубата на бизнес, и какви конкретни последици очакват служител, до наказателна отговорност.
За да се реализира всичко по-горе в една компания, са необходими ресурси, както материални, така и човешки. Затова сега в много компании започна да се появява длъжността директор на информационната сигурност (CISO). Благодарение на тази позиция е възможно да се доведе до бизнес лидерите значението на насърчаването на всякакви решения, разпределянето на средства и др. CISO е в състояние да насърчава информационната сигурност в компанията на всички нива.
Задачите, които той поема, са обширни: комуникация с висшия мениджмънт, обосновка на определени решения, комуникация със собствениците на процесите за осъществяване на сигурността във всички области. От гледна точка на кибер заплахи, той е точката на контакт, като същевременно той управлява, определя стратегии за реагиране на кибер заплахи, координира работата по отговора на атаките.
