Персональные данные постоянно обрабатываются и передаются различными способами — в приложениях для здравоохранения, программах лояльности магазинов, во время покупок или при просмотре онлайн. При таком огромном объеме персональных данных, находящихся в обращении, вероятность возникновения ошибок возрастает.

Автор: Джон Скотт, ведущий исследователь по кибербезопасности платформы CultureAI.
 
Такое ощущение, что почти каждый день мы слышим истории о взломе очередной компании —данные похищаются киберпреступниками, стремящимися завладеть личностью человека, получить доступ к учетным записям или совершить мошенничество. Киберпреступникам также становится все проще, благодаря технологическим достижениям, таким как генеративный искусственный интеллект, помогающий создавать более убедительные фишинговые электронные письма и дипфейки.
 
Что же делать компаниям для защиты своих данных? Какие действия следует предпринять, если вы работаете или управляете организацией, которая управляет данными других людей?
 
Человеческие ошибки неизбежны
 
Такие исследования, как ежегодный отчет Verizon о расследованиях утечек данных (DBIR), показывают, что человеческий фактор является существенной причиной в 74 и более процентах случаев взломов. Грубо говоря, люди совершают ошибки, и киберпреступники знают, что делать, чтобы воспользоваться этими ошибками. Это не означает, что люди в организациях являются самым слабым звеном. На самом деле, они могут быть одним из самых сильных средств защиты, если им предоставить правильную поддержку, обучение и инструменты, помогающие обезопасить данные.
 
Необходимо разработать эффективную стратегию подхода к управлению человеческими рисками. Трехступенчатый подход «мониторинг, сокращение, исправление» обеспечивает полезную основу, которая начинается с анализа данных о рисках, которые создают сотрудники, обучения их тому, как снизить вероятность или серьезность инцидентов, и автоматического устранения возникших проблем или побуждения их к непосредственному устранению.
 
Организации, которые преуспевают в защите персональных данных, как правило, положительно относятся к безопасности — то, что мы называем сильной культурой безопасности. Одним из ключевых показателей сильной культуры безопасности является то, что сотрудники организаций не боятся рассказать о своих ошибках. Если коллеги чувствуют себя в безопасности, зная, что их не обвинят в честной ошибке и что их организация будет работать с ними над устранением проблемы, то они будут сообщать о том, что необходимо исправить.
 
Но что делать, если они не чувствуют себя в безопасности? Как сказал Сидни Деккер в «Практическом руководстве по пониманию человеческих ошибок» — когда существует культура наказания, когда люди чувствуют, что их накажут за совершение ошибок, они не перестают допускать ошибки, но компания вполне может перестать узнавать о них, пока не станет слишком поздно их исправлять.
 
Как управление человеческими рисками может помочь создать сильную культуру безопасности?
 
1. Поощряйте людей сбавлять темп
 
Один из случаев, когда ошибки наиболее вероятны, — спешка. Неважно, сколько обучений прошли сотрудники, если они торопятся уложиться в срок, легко срезать углы или не полностью сосредоточиться на безопасности. Поэтому поощряйте людей не торопиться и перепроверять, даже если это немного задержит процесс. В большинстве случаев лучше делать что-то безопасно, а не быстро.
 
2. Подсказывайте, а не обучайте
 
Большинство людей ежегодно проходят обязательную подготовку по безопасности, но существует очень мало доказательств того, что это как-то влияет на их поведение. Вместо этого, почему бы не подсказывать людям, когда они делают что-то особенно рискованное, чтобы заставить их задуматься о том, что они делают?
 
3. Повышайте осведомленность, но не пугайте
 
Информируя коллег о новом риске или угрозе, убедитесь, что они четко представляют, как эффективно справиться с этой угрозой. Нет смысла говорить людям избегать текстовых сообщений «нулевого дня» — они могут даже не знать, что это такое, и даже если знают, то не смогут избежать отправки им сообщений. Важно то, что они знают, что делать, если увидят что-то подозрительное.
 
4. Следите за ошибками и помогайте их исправлять
 
Уставшие и подверженные стрессу люди совершают ошибки. Просто сказать им не делать этого или накричать на них, если они это делают, ничего не исправит. Эффективную платформу управления человеческими рисками можно интегрировать с существующими стеками технологий для выявления ошибок, таких как обмен личной информацией в общедоступных каналах или повторное использование паролей в приложениях SaaS. Она также может помочь человеку, совершающему эти ошибки, исправить ситуацию.
 
5. Поощряйте позитив
 
Следите за правильным поведением и используйте признание и вознаграждение, чтобы донести его до других. Можно создать в компании внутреннюю платформу вознаграждений или попросить CISO отправить электронное письмо с благодарностью (разумеется, скопировав его руководителю коллеги). Люди сплетничают и рассказывают истории — разве не было бы здорово, если бы одна из этих историй была о том, насколько хороша команда безопасности? Для обеспечения надежной защиты данных следует применять комплексный, многоуровневый подход к безопасности. Проактивное управление человеческими рисками в режиме реального времени способствует безопасному поведению, сводя к минимуму последствия человеческих ошибок.
 
Этого лучше всего достичь, сотрудничая с поставщиками услуг по управлению человеческими рисками, которые понимают поведение людей и разрабатывают решения для оперативного обучения сотрудников и автоматического устранения рисков до того, как они перерастут в проблемы. В ходе этого процесса сотрудники получают представление о меняющемся ландшафте угроз и необходимые инструменты для умелого реагирования в случае необходимости.
 
Ссылка на источник