Jump to content

Осведомленность об информационной безопасности

Осведомленность об информационной безопасности — это развивающаяся часть информационной безопасности , которая фокусируется на повышении осведомленности о потенциальных рисках, связанных с быстро развивающимися формами информации , и быстро развивающихся угроз этой информации, которые нацелены на поведение человека. По мере взросления угроз и повышения ценности информации злоумышленники расширили свои возможности и расширили свои намерения, разработали больше методов и методологий атак и действуют по более разнообразным мотивам. По мере развития мер и процессов информационной безопасности, атаки стали направлены на обход средств контроля и процессов. Злоумышленники преследовали и успешно использовали человеческое поведение отдельных лиц для взлома корпоративных сетей и критически важных инфраструктурных систем. Целевые лица, не осведомленные об информации и угрозах, могут по незнанию обойти традиционные меры и процессы безопасности и способствовать взлому организации. В ответ на это растет понимание информационной безопасности. Кибербезопасность как проблема бизнеса доминирует в повестке дня большинства директора по информационным технологиям (CIO), обнажая необходимость принятия мер противодействия сегодняшнему ландшафту киберугроз. [1] Целью осведомленности об информационной безопасности является информирование всех о том, что они восприимчивы к возможностям и проблемам современной среды угроз, изменение поведения людей, связанного с риском, а также создание или улучшение безопасной организационной культуры.

Предыстория [ править ]

Осознание информационной безопасности является одним из нескольких ключевых принципов информационной безопасности. Осведомленность об информационной безопасности направлена ​​на понимание и улучшение рискованного поведения, убеждений и представлений человека об информации и информационной безопасности, а также понимание и улучшение организационной культуры как меры противодействия быстро развивающимся угрозам. Например, Рекомендации ОЭСР по безопасности информационных систем и сетей. [2] включают девять общепринятых принципов: осведомленность, ответственность, реагирование, этика, демократия, оценка рисков, проектирование и реализация безопасности, управление безопасностью и переоценка. В контексте Интернета этот тип осведомленности иногда называют осведомленностью о кибербезопасности , которая находится в центре внимания множества инициатив, в том числе Министерства внутренней безопасности США. Национального месяца осведомленности о кибербезопасности [3] и саммит президента Обамы в Белом доме 2015 года по кибербезопасности и защите потребителей. [4]

Компьютерные преступления не являются для нас чем-то новым. Вирусы существуют с нами уже более 20 лет; шпионское ПО появилось более десяти лет с момента самых первых инцидентов; а широкомасштабное использование фишинга можно проследить как минимум до 2003 года.По причинам, по которым исследователи пришли к единому мнению, что темпы развития и расширения информационных систем, программа повышения осведомленности о безопасности среди сотрудников сильно отстает. Однако, к сожалению, похоже, что быстрое внедрение онлайн-сервисов не сопровождалось соответствующим принятием культуры безопасности. [5]

Эволюция [ править ]

Осведомленность об информационной безопасности развивается в ответ на меняющийся характер кибератак, усиление нацеливания на личную информацию, а также на стоимость и масштаб нарушений информационной безопасности. Более того, многие люди думают о безопасности с точки зрения технических средств контроля, не осознавая, что они сами являются мишенью и что их поведение может увеличить риски или обеспечить меры противодействия рискам и угрозам.

Определение и измерение осведомленности об информационной безопасности подчеркнуло необходимость точных показателей. В ответ на эту потребность быстро развиваются показатели осведомленности об информационной безопасности, позволяющие понять и измерить ландшафт человеческих угроз, измерить и изменить понимание и поведение людей, измерить и снизить организационные риски, а также измерить эффективность и стоимость осведомленности об информационной безопасности в качестве контрмеры. [6]

Большинство организаций не хотят вкладывать деньги в информационную безопасность. Опрос, проведенный PricewaterhouseCoopers (2014), показал, что нынешние сотрудники (31%) и бывшие сотрудники (27%) по-прежнему способствуют инцидентам информационной безопасности. Результаты опроса показали, что количество реальных инцидентов, произошедших по вине сотрудников, выросло на 25% по сравнению с опросом 2013 года. [7] Более недавнее исследование Verizon Data Breach Investigations Report 2020 выявило аналогичные закономерности в 30% инцидентов кибербезопасности с участием внутренних субъектов внутри компании. [8]

Необходимость программы повышения безопасности осведомленности о

Программа повышения безопасности — лучшее решение, которое может принять организация для снижения угроз безопасности, создаваемых внутренними сотрудниками. Программа повышения осведомленности о безопасности помогает сотрудникам понять, что информационная безопасность не является личной ответственностью; это ответственность каждого. В программе также прямо упоминается, что сотрудники несут ответственность за все действия, выполняемые под их идентификационными данными. Кроме того, программа применяет стандартные способы работы с бизнес-компьютерами.

Хотя организации не приняли стандартный способ предоставления программы повышения осведомленности о безопасности, хорошая программа должна включать осведомленность о данных, сети, поведении пользователей, социальных сетях, использовании мобильных устройств и Wi-Fi, фишинговых электронных письмах, социальной инженерии и различных типах вирусов и вирусов. вредоносное ПО. Эффективная программа повышения осведомленности сотрудников о безопасности должна ясно дать понять, что каждый в организации несет ответственность за ИТ-безопасность. Аудиторы должны обратить пристальное внимание на шесть областей, охватываемых программой: данные, сети, поведение пользователей, социальные сети, мобильные устройства и социальная инженерия. [9]

Многие организации очень усложняют свою политику конфиденциальности, поэтому разные сотрудники всегда не понимают этих правил. Политика конфиденциальности — это то, о чем следует напоминать сотрудникам всякий раз, когда они входят в систему на рабочем компьютере. Политики конфиденциальности должны быть более ясными, краткими и более стандартизированными, чтобы обеспечить лучшее понимание и сравнение методов обеспечения конфиденциальности. [10] Организации могут создавать интерактивные занятия для всех сотрудников, которые будут посещать их каждую неделю, чтобы обсуждать вопросы безопасности и угроз. Интерактивные занятия могут включать информацию о новых угрозах, передовом опыте, а также вопросах и ответах.

Программа повышения осведомленности о безопасности может оказаться бесполезной, если организация не наказывает нарушителей. О сотрудниках, признанных виновными в нарушении программы, следует доложить вышестоящему руководству для принятия дальнейших мер, иначе программа не будет эффективной. Органы информационной безопасности могут провести анализ пробелов, чтобы выявить любые недостатки в программе.

Текущее состояние [ править ]

По состоянию на начало 2015 года ИТ-директора назвали вопросы, связанные с осведомленностью об информационной безопасности, высшими стратегическими приоритетами. Например, на сетевом мероприятии ИТ-директоров Wall Street Journal в феврале 2015 года, созванном для выработки приоритетного набора рекомендаций для развития бизнеса и политики в наступающем году, похоже, сформировался консенсус в отношении кибербезопасности и внесения изменений посредством эффективного взаимодействия с остальным бизнесом. [11]

Хотя осведомленность об информационной безопасности и громкие нарушения находятся на переднем крае повестки дня большинства организаций, недавнее исследование 220 офицеров по вопросам безопасности, проведенное Лэнсом Спритцнером, выявило три взаимосвязанных ключевых вывода. Во-первых, для успешной программы повышения осведомленности о безопасности необходима управленческая и финансовая поддержка. Во-вторых, из-за технической природы традиционных средств контроля и противодействия безопасности отсутствуют мягкие навыки, необходимые для понимания и изменения поведения человека, и, наконец, с точки зрения модели зрелости, осведомленность о безопасности все еще находится в зачаточном состоянии. [12]

Проблема измерения [ править ]

Эффективно измерить рискованное поведение человека сложно, поскольку рискованное поведение, убеждения и представления часто неизвестны. Кроме того, такие атаки, как фишинг , социальная инженерия и такие инциденты, как утечка данных и конфиденциальные данные, размещенные на сайтах социальных сетей, и даже нарушения остаются незамеченными и неизвестными, что затрудняет определение и измерение точек сбоя. Часто на атаки, инциденты и нарушения реагируют или сообщают о них из-за пределов скомпрометированной организации после того, как злоумышленники заместили свои следы, и поэтому их невозможно исследовать и измерить заранее. Кроме того, вредоносный трафик часто остается незамеченным, поскольку злоумышленники часто шпионят и имитируют известное поведение, чтобы предотвратить обнаружение вторжений или оповещения мониторинга доступа.

В исследовании 2016 года был разработан метод измерения осведомленности о безопасности. [13] В частности, они измеряли «понимание того, как обходить протоколы безопасности, нарушать намеченные функции систем или собирать ценную информацию и не быть пойманными» (стр. 38). Исследователи создали метод, позволяющий различать экспертов и новичков, предлагая людям организовывать различные сценарии безопасности в группы. Эксперты организуют эти сценарии на основе централизованных тем безопасности, тогда как новички организуют сценарии на основе поверхностных тем.

Если симулированные фишинговые кампании проводятся регулярно, они могут обеспечить меры по обеспечению соответствия пользователей. [14]

См. также [ править ]

Ссылки [ править ]

  1. ^ «ИТ-директора называют свои 5 главных стратегических приоритетов. Утренняя загрузка: Безопасность доминирует в повестке дня ИТ-директоров в эпоху рисков и перемен» . Уолл Стрит Джорнал . 4 февраля 2015 г.
  2. ^ «oecd.org» (PDF) . Проверено 14 февраля 2015 г.
  3. ^ «Министерство внутренней безопасности США» . Проверено 14 февраля 2015 г.
  4. ^ «Президент Обама выступает на саммите Белого дома по кибербезопасности и защите потребителей» . Белый дом . 13 февраля 2015 г. - через Национальный архив .
  5. ^ Фернелл, Стивен (2008). «Культура безопасности конечных пользователей: урок, который никогда не будет усвоен?». Компьютерное мошенничество и безопасность . 2008 (4): 6–9. дои : 10.1016/S1361-3723(08)70064-2 .
  6. ^ scadahacker.com https://scadahacker.com/library/Documents/Insider_Threats/DHS%20-%20Risks%20to%20US%20Critical%20Infrastructure%20from%20Insider%20Threat%20-%2023%20Dec%2013.pdf . Проверено 25 апреля 2015 г. {{cite web}}: Отсутствует или пусто |title= ( помощь )
  7. ^ Да Вейга, Адель; Мартинс, Нико (2015). «Повышение культуры информационной безопасности посредством мониторинга и действий по реализации, проиллюстрированных на примере тематического исследования». Компьютеры и безопасность . 49 : 162–176. дои : 10.1016/j.cose.2014.12.006 . HDL : 10500/21765 .
  8. ^ «Отчет о расследовании утечек данных Verizon за 2020 год» (PDF) . Веризон .
  9. ^ «Оценка программы повышения осведомленности сотрудников о безопасности» . iaonline.theiia.org . Архивировано из оригинала 4 марта 2016 г. Проверено 25 апреля 2015 г.
  10. ^ «Система конфиденциальности потребителей Федеральной торговой комиссии и дальнейшие шаги. - Бесплатная онлайн-библиотека» . www.thefreelibrary.com . Проверено 25 апреля 2015 г.
  11. ^ Нортон, Стивен (4 февраля 2015 г.). «ИТ-директора называют 5 главных стратегических приоритетов» . Уолл Стрит Джорнал .
  12. ^ «SANS обеспечивает отчет о осведомленности о безопасности человека» .
  13. ^ Гибони, Джастин Скотт; Праудфут, Джеффри Гейнер; Гоэл, Санджай; Валачич, Джозеф С. (2016). «Мера оценки знаний в области безопасности (SEAM): разработка шкалы знаний хакеров». Компьютеры и безопасность . 60 : 37–51. дои : 10.1016/j.cose.2016.04.001 .
  14. ^ Р, Кейт. «Проблема с фишингом» . Национальный центр кибербезопасности . ЦПС . Проверено 12 сентября 2018 г.

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Information_security_awareness&oldid=1191550325"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: ad98efdabfe4d7a2eb9f22266005478d__1703389320
URL1:https://arc.ask3.ru/arc/aa/ad/8d/ad98efdabfe4d7a2eb9f22266005478d.html
Заголовок, (Title) документа по адресу, URL1:
Information security awareness - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)