Со временем, опытом и болью мы наконец пришли к тому, что безопасность — это нечто большее, чем технологии, процессы и штат ИБ-специалистов. Без корпоративной культуры, охватывающей кибербезопасность, многие мероприятия и усилия остаются непонятыми или даже проигнорированными. Так что же делать с корпоративной киберкультурой и как её повышать?
- Введение
- Что такое культура?
- Киберкультура — это часть корпоративной культуры
- Киберкультура или система штрафов: что выбрать?
- Изменение поведения сотрудников: обучение
- Изменение поведения сотрудников: коммуникация
- Что нас стимулирует к безопасному поведению?
- Выводы
Введение
Вопросами, которые прозвучали выше, задаётся практически каждый директор по ИБ (CISO), и вот выводы, к которым чаще всего приходят.
Во-первых, повышать осведомлённость. Пишем политику, назначаем базовое обучение на всех сотрудников и тренируем фишинговыми рассылками. Такая стратегия повышения осведомлённости понятна и измерима для руководителей служб ИБ, но по факту не имеет ничего общего с реальными людьми — их знаниями, убеждениями и поведением. На бумаге всё выглядит правильно, но эффективно ли это? Действительно ли решает проблему человеческого фактора?
Во-вторых, развивать киберкультуру. Тут первостепенные задачи — вовлечь коллег в вопросы ИБ, изменить паттерны небезопасного поведения, сделать безопасность «частью ДНК» сотрудника. Этот путь сложно сформулировать, реализовать и замерить, но в долгосрочной перспективе именно он имеет смысл.
Что такое культура?
Культура имеет много граней и компонентов. Действия людей, которые мы ежедневно наблюдаем вокруг себя, и то, как поступаем сами, — это поведенческие паттерны. Под ними кроются причины, почему мы ведём себя так, а не иначе, производные от наших убеждений, ценностей, образа мышления, опыта.
Применим это к миру безопасности. Допустим, у нас есть организация, где сотрудники постоянно открывают фишинговые письма, переходят по подозрительным ссылкам, скачивают вредоносные программы, игнорируют правила и политики безопасности. Так происходит, потому что существует множество убеждений: «безопасность не важна, меня это не касается», «ничего не случится, если я запущу этот файл, а если и случится, то это не моя ответственность, а работа кого-то другого». Такие глубинные убеждения мешают людям проявлять позитивное поведение в вопросах безопасности. Они просто не считают это проблемой.
У нас могут быть самые продуманные стратегии и планы, выстроенные процессы, дорогие инструменты, но то, как ведут себя люди на самом деле, полностью определяется культурой в компании. Другими словами, культура — это то, как люди принимают решения в ваше отсутствие и как ведут себя, когда никто не смотрит.
Киберкультура — это часть корпоративной культуры
Культура безопасности, существующая в наших организациях, является частью корпоративной культуры, к которой мы принадлежим.
Если в компании — иерархический тип внутренней культуры со строгой субординацией и процессами, то ситуативные и гибкие подходы к выстраиванию киберкультуры не сработают. Развлекательные мультики и настолки про кибербез не найдут своей целевой аудитории.
То же самое произойдёт в случае, если в компанию со стартаперским духом попытаться внедрить набор жёстких ИБ-политик и наказаний. Есть риск в лучшем случае остаться непонятым, в худшем — озлобить сотрудников и настроить их против себя.
Киберкультура или система штрафов: что выбрать?
Задача: допустим, в нашей компании работает разработчик Игорь. Ему в среднем требуется 10 дней, чтобы написать код, протестировать его и пройти проверки качества и безопасности. Проблема заключается в том, что у Игоря есть спринт и дедлайн, примерно 7 дней. Что же будет делать Игорь?
Выпустит ли Игорь свой код вовремя, но плохо протестированным? Сорвёт ли срок релиза, но отдаст при этом качественный код, в т. ч. с точки зрения безопасности?
Ответ: то, как он поступит, полностью зависит от культуры компании, в которой он работает.
Определяющим фактором при принятии решения будет то, за что его накажут, или то, за что он получит зарплату.
«Меня уволят, если я не успею в спринт? А если сдам небезопасный код?»
Игорь точно знает, что сроки и скорость выхода (Time-to-Market) являются ключевыми показателями в компании. Он это видит каждый день в информационных рассылках, слышит на встречах от руководства и в кулуарах от коллег.
В данном случае сроки и безопасность становятся конкурирующими приоритетами.
«Неплохо бы сдавать безопасный код, но это совершенно необязательно. Главное — вовремя».
Игорь принимает решение, отправляет небезопасный код, и ничего не происходит. Игорь приступает к следующей задаче. Этот цикл повторяют сотни разработчиков этой организации каждый день.
На деле же у компании копится техдолг, связанный с вопросами безопасности: непропатченные серверы, уязвимости, секреты в коде. В какой-то момент техдолг превращается в громкие заголовки о взломах и утечках. Ключевая проблема кроется не в причинах конкретного инцидента, а в совокупности тысяч решений, которые принимаются в организации ежедневно.
Изменение поведения сотрудников: обучение
Прежде всего необходимо ответить на вопросы о том, какое поведение мы хотим менять и чему собираемся научить.
Во-первых, эти вопросы стоит задавать себе каждый раз при разработке обучающих материалов, курсов, памяток и т. д.
Во-вторых, ответ на них находится гораздо глубже, чем может показаться. Необходимо знать свою целевую аудиторию, роли и обязанности, которые ежедневно выполняют сотрудники, и то, в каких случаях люди ведут себя небезопасно и принимают небезопасные решения.
Сегментировать свою ЦА можно по-разному. В большинстве методологий применяют следующую классификацию: ИТ, не-ИТ, топ-менеджмент. Можно более детально разбить каждый сегмент: например, ИТ — это разработчики, аналитики, тестировщики, DevOps, системные администраторы; не-ИТ — это кадровики, финансисты, юристы, административные отделы. Чем детальнее будет разбивка, тем чётче будет понимание дефицита знаний: кого, чему и как требуется обучать.
Определить зоны дефицита знаний сотрудников помогут качественные и количественные исследования.
Качественное исследование представляет собой беседу-интервью с сотрудниками по темам ежедневного обращения с информацией в рамках их рабочих обязанностей.
На основании качественных исследований формируются выводы и гипотезы по небезопасному поведению, которые подтверждаются или опровергаются массовыми опросами на количественном этапе исследований.
Только после завершения исследований стоит приступать к разработке программы обучения.
Именно таким образом обучение получится таргетированным, адаптированным под запрос ЦА, а значит, и более эффективным.
Изменение поведения сотрудников: коммуникация
К сожалению, просто обучить людей недостаточно. Их необходимо вовлечь в вопросы информационной безопасности.
Для этого необходимо сформировать ценность безопасности и обеспечить ей позитивное подкрепление. Коммуникация должна быть открытой, прямой и формирующей доверие. Самое страшное для сотрудника ИБ — когда он не знает, что в реальности происходит на рабочих местах, а люди скрывают инциденты. Чтобы такого не происходило, нельзя запугивать и наказывать сотрудников, нельзя формировать конкуренцию приоритетов между безопасностью и бизнес-задачами.
Только в доверительной среде живёт открытый диалог между сотрудником и безопасностью. Важной частью этого конструкта является позитивное подкрепление: например, хотя бы выдать сотруднику мерч или любое нематериальное поощрение за проявленную бдительность.
Так формируется культура, в которой сотрудникам небезразлична информационная безопасность и об инцидентах не умалчивают — потому что за сообщение о подозрении никто не накажет, а даже, наоборот, похвалят и наградят.
Что нас стимулирует к безопасному поведению?
Различают два типа мотивации: внешнюю (то, как это увидят другие) — бонусы, значки, награды — и внутреннюю (личные мотивы), т. е. интерес, удовлетворение от достигнутых результатов, статус, да и просто наслаждение тем, что ты делаешь. При этом внутренняя мотивация сильнее внешней.
Для развития внутренней мотивации полезно проводить вовлекающие мероприятия, которые носят соревновательный характер или вызывают интерес через положительные эмоции. Это могут быть игры в захват флага (CTF), хакатоны, квизы и тесты, демодни или даже серия коротких смешных видео про безопасность.
Важно следить, чтобы коммуникация была не только информирующей, но и мотивирующей. Никто не отменял силу социального поощрения, и гиганты бизнеса активно используют её для продвижения своих товаров и услуг:
«Пять звёзд за парогенератор на маркетплейсе, вероятно, его стоит купить»
«Ещё 10 человек интересуются тем же номером, что и вы» (на сайте отеля)
В мире информационной безопасности сила социального доказательства тоже работает.
Совик Дас, исследователь из технологического института Джорджии, во время сотрудничества с крупной международной соцсетью провёл следующий эксперимент:
- Выпустил заявление: «Вы можете сохранить свои учётные записи в безопасности, пожалуйста, установите двухфакторную аутентификацию». Часть людей действительно подключили 2FA.
- Поменял заявление, прибегнув к социальному доказательству: «Знаете ли вы, что 108 ваших друзей тоже включили 2FA?».
В результате он обнаружил, что второе заявление дало в 1,36 раза больше подключений этой функции безопасности.
Выводы
За последние годы было разработано несколько десятков различных методов измерения культуры ИБ: качественных, количественных, поведенческих и смешанных. К сожалению, универсальной таблетки нет и быть не может. Хорошо, когда метрики отражают реальные изменения в поведении людей и привязаны к существующим производственным процессам. При этом то, на что мы хотим повлиять, меняется от отрасли к отрасли, и метрики, которые сформулированы для ИТ, могут быть нерелевантны, например, для нефтегазовой индустрии.
Многое определяют такие факторы, как бизнес компании, её размер, общекорпоративные цели, показатели и приоритеты. Для одних в фокусе внимания может быть повышение общего уровня осведомлённости, а для других — развитие культуры безопасного кода. Однако, какими бы ни были цели компании, не стоит забывать, что мы работаем с людьми и их поведением, а культура безопасности не может жить в вакууме, она обязательно должна укладываться на внутреннюю культуру компании.