Пятница, 28 Июнь 2019 18:49

В Алматы обсудили повышение культуры кибербезопасности

Одним из ключевых вопросов стала работа с неграмотными в вопросах информационной безопасности пользователями.[Profit]

Профессионалы информационной безопасности собрались в Алматы на конференции «Код ИБ». Ключевой темой конференции стало повышение культуры кибербезопасности и наиболее действенные методы борьбы с угрозами. Причем, наиболее уязвимым звеном до сих пор являются сотрудники компаний. Элементарные ошибки или незнание процедур пользователями способно перечеркнуть весь эшелон защиты, выстроенный службами ИБ в компаниях.

Как отметил Иван Бируля, директор по безопасности SearchInform, общий тренд идет к автоматизации бизнеса, в связи с чем появляются новые продукты и технологии, которые, тем не менее, не способны «закрыть» все риски на 100%. Именно за пользователями остается «последнее слово», которое безопасники не могут полностью контролировать. Культура ИБ в компании — это целый процесс, который включает этические, правовые и технические аспекты.

 

«Без понимания рядовыми сотрудниками основ безопасности бизнес остается подвержен большому риску, поэтому культуру безопасности нужно начинать развивать с самых низов. При этом важным аспектом в такой культуре должен стать статус службы по информационной безопасности», — считает эксперт.

Сотрудники ИБ должны быть не «пугалом», а союзниками для пользователей. Кроме того, важно их умение объяснять и обучать. Благодаря такому подходу безопасникам удастся получить доступ к информации о возникающих угрозах заблаговременно от самих же пользователей.

«Проводите короткие встречи-презентации для руководства о базовых понятиях ИБ. Такой опыт даст понимание директорам необходимости выделения бюджетов на безопасность», — добавил Иван Бируля.

По итогам дискуссии специалисты выделили несколько пунктов, которые могут взять на вооружение службы ИБ для повышения культуры безопасности:

— короткие тренинги для топ-менеджеров на еженедельной основе
— регулярное обучение сотрудников, включая тонкости социальной инженерии
— внедрение политики ИБ
— пентесты и регулярные учения
— автоматизация процессов и применение правильных технических средств
— стимулирование наставничества и обучение новичков нормам ИБ самими сотрудниками
— подготовка легких и понятных обучающих материалов.

В целом, служба ИБ в компании должна стремиться к формированию у сотрудников навыков безопасной работы. Отсюда вытекает и более всеобъемлющая потребность — навыки информационной безопасности должны формироваться государством у граждан еще со школы.

 

«Проводите учения с помощью имитации фишинговых атак. Вы, как безопасник, увидите, какова на самом деле ситуация с культурой ИБ у вас в компании. После этого можно собирать пользователей и рассказывать о результатах. Проведение просветительской работы на такой почве будет идти эффективнее», — говорит Олег Биль, руководитель Лаборатории исследования вредоносного кода Государственной технической службы. Кроме того, он добавил, что культура ИБ должна распространяться не только на пользователей, но и на разработчиков, которые отвечают за стабильность работы информационных систем. Если есть уязвимости в кодировании, то инциденты будут, несмотря на бдительность и квалификацию пользователей.

Олег Биль рассказал об основных тенденциях, которые заметны сегодня в сфере ИБ. Одной из ключевых является усложнение атак и попытки обхода многих защитных технологий, включая учет песочниц. В мире вовсю идет развитие новых векторов атак, уязвимости обнаруживаются как в традиционных, так и в новых технологиях, в том числе — аппаратной части. Киберперступники в своих атаках используют легитимное ПО и скрипты. В целом заметен переток инструментов от более подкованных групп атакующих к менее квалифицированным. Это ведет к увеличению вероятности атак и снижению порога входа для злоумышленников. И что самое главное, современные методы атак достаточно быстро мигрируют в Казахстан, а значит — вопрос повышения знаний сотрудников компаний в сфере ИБ становится актуальным как никогда.

Заявка на участие в тренинге
Личные данные

ФИО (англ.яз)
Неверный ввод

ФИО (рус.яз)
Неверный ввод

ФИО (каз.яз)
Неверный ввод

Дата рождения
Неверный ввод

Пол
Неверный ввод

Адрес

Страна
Неверный ввод

Город
Неверный ввод

Улица, дом, квартира
Неверный ввод

Почтовый индекс
Неверный ввод

Бизнес информация

Область деятельности
Неверный ввод

Место работы
Неверный ввод

Должность
Неверный ввод

Контактные данные

Мобильный телефон
Неверный ввод

Домашний телефон
Неверный ввод

Рабочий телефон
Неверный ввод

Электронная почта
Неверный ввод

Skype
Неверный ввод

Уровень образования на время заполнения заявки:
Неверный ввод

ОБРАЗОВАНИЕ (1)

Учебное заведение
Неверный ввод

Факультет
Неверный ввод

Специальность
Неверный ввод

Дата окончания
Неверный ввод

Номер диплома
Неверный ввод

Ученая степень

Дата получения
Неверный ввод

Степень
Неверный ввод

Название и номер документа, удостоверяющего получение
Неверный ввод