11 апреля CISO и HRD обсудят, кто несет ответственность за утечки данных в компании

11 апреля компания Cloud Networks вместе с компаниями Phishman и Стахановец проводят Митап экспертов в HR и ИБ: «Комплексный подход к защите бизнеса и повышению эффективности работы сотрудников».

Эксперты обсудят вопросы эффективной работы с персоналом и влияние обучения в компании на обеспечение кибербезопасности бизнеса. Участники митапа глубже погрузятся в тему People-Centric Security, которая является частью общего тренда 2024 года – целовекоцентричности. Зарегистрироваться и посмотреть программу можно на сайте компании Cloud Networks.

В преддверии мероприятия Cloud Networks объяснили, почему HR нужно глубже погружаться в вопросы информационной безопасности. Вопросы защиты от киберугроз занимают чуть ли не главенствующую роль во всех отраслях экономики, а регулирующие органы работают над ужесточением ответственности за утечки данных. Но как предотвратить киберинцидент, и кто несет ответственность за происшествие в компании? Евгений Киров, Руководитель группы presale компании Cloud Networks, рассказал, почему ответственность за утечку данных необходимо разделять между двумя департаментами: HR и ИБ.

HR-отдел – это точка входа нового сотрудника в компанию: обучение, адаптация, помощь в любом вопросе. Это самый вовлеченный в работу с персоналом отдел. Таким образом, HR является неким буфером или шлюзом между рынком труда и человеческим капиталом компании. На этом этапе можно как отсеивать потенциальные угрозы безопасности, так и проводить патчинг, апгрейд. Самый простой метод – проведение соответствующего обучения при онбординге совместно с департаментом информационной безопасности. Но и это не панацея. Объясним, почему.

Уровень восприятия классических курсов сотрудниками и запоминания информации очень низок. 90% людей проходят обязательное обучение, не относящееся к повышению квалификации и расширению компетенций, исключительно «для галочки»: речь идет об обучении пожарной безопасности, охране труда, и, к сожалению, правилам кибербезопасности. Фактически персонал компании не имеет понятия о цифровой гигиене. По статистике, 90% фишинговых атак (когда злоумышленники пытаются получить доступ к личной информации пользователя (логин, пароль, данные карт) путем обмана) совершаются через почту: открытие файла с вирусом, переход по ссылкам, QR кодам и тд. Мошенники маскируются под руководство, специалистов техподдержки, контрагентов, государственные органы. В 2023 году количество такого вида инцидентов составило 1 850 392. При этом, от 80% до 95% утечек данных происходят из-за человеческого фактора.

Действия сотрудников нельзя предугадать: часть боится признаться в произошедшем инциденте, часть не знает, как правильно действовать. Это ведет к еще более деструктивным действиям с их стороны, вплоть до невозможности восстановления ИТ-инфраструктуры и проведения расследования.

Сегодня, когда бизнес уже имеет стратегии информационной безопасности, множество инструментов для защиты данных, сетевой инфраструктуры, средства поиска угроз не только внутри инфраструктуры, а и за пределами, включая даркнет, крупные компании и промышленные предприятия в России и всему миру, все чаще, стремятся к созданию позитивной культуры ИБ - безопасность перестает быть карающим контролером и становится доверенным советником, сотрудник знает правила поведения работы с приложениями, пользования рабочим компьютером и поиска в Интернете, но решение остается за ним. Как следствие перестает работать феномен «антиучения», негативный опыт в обучении или принуждения к обучению правила приводит к негативным ассоциациям и отторжению полученных знаний.

Erid: LjN8KPuk1 ИНН «ВАУ ГРУПП» 7723859630