Перейти к содержанию

Утечки данных и мотивация сотрудников

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Какие последствия для сотрудников имеет утечка данных? Не будем рассматривать крайний случай, когда компания в результате инцидента теряет репутацию, клиентов и вообще уходит с рынка. Понятно, что в этом случае сотрудники просто идут искать другую работу. Но что происходит с мотивацией сотрудников, если в компании, где они работают, случается киберинцидент?

Чтобы ответить этот на вопрос, нужно сначала понять, в чем причина большинства подобных инцидентов. На мой взгляд, чаще всего корнем проблемы является либо инфантилизм, разгильдяйство и безответственность сотрудников, либо неэффективное управление. То есть как ни смотри — человеческий фактор. А хакеры и инсайдеры просто пользуются возможностью.

Безответственность сотрудников

Попробуйте опросить сотрудников на тему «какие изменения в рабочем процессе повысили бы вашу продуктивность и удовлетворенность от работы». Проанализировав ответы, вы увидите, что люди хотят работать, как им удобно: чтобы ничего не мешало, чтобы была полная свобода. Например, быть администраторами на своем компьютере, ставить любое ПО, давать доступ к данным и системам своей команды по собственному разумению, без обоснований бизнес-необходимости, приглашать в офис гостей в любое время и так далее.

При этом практически никто не готов реально нести ответственность за свои «хочу», «мне так удобно» или «и так сойдет». Такие сотрудники (а порой и их руководство) верят, что должен существовать какой-то волшебник, который защитит от всего, какими бы ни были условия. И мы, конечно, сделаем все, чтобы защитить корпоративные ресурсы, но, к сожалению, мы не всесильны.

Как ведут себя дети, разбившие телефон, который они взяли без спроса? Если их научили отвечать за свои поступки, то они расстраиваются не только из-за себя. Такие дети переживают и о том, что теперь по их вине родители остались без телефона. Если же ответственности детей не научили, то они переживают из-за страха наказания или чувства досады и «несправедливости», ведь телефончика и подарков какое-то время не будет. Как показывает практика, когда они вырастают, привычки сохраняются. Ответственные дети, повзрослев, гораздо реже становятся причинами инцидентов с безопасностью, чем безответственные. Если же по их вине все-таки происходит утечка, то их мотивация и лояльность к компании не снижаются, потому что они осознают свою вину, а не перекладывают ее на руководство.

Неверные решения

Вторая причина серьезных инцидентов — действия или бездействие ИБ- и ИТ-персонала, а также проблемы с эффективностью управления бизнес-процессами. По факту в компании, которая серьезно относится к кибербезопасности, ущерб в результате инцидента возникает не от действий одного сотрудника, который вставил флешку с зараженным файлом или открыл письмо с темой «I love you». Всегда есть цепочка ошибок, которые случились в нужной комбинации:

  • Бизнес-процесс был выстроен так, что допускал возникновение такой ошибки.
  • Была допущена сама ошибка или нарушение политик ИБ.
  • Информационные системы или инфраструктурные сервисы содержали необнаруженные или вовремя не исправленные уязвимости.
  • Применяемые системы были переусложнены, что привело к недостатку ресурсов на их безопасное конфигурирование, своевременный патч-менеджмент и внедрение мер защиты.
  • Служба безопасности не смогла (или не имела возможности) выявить инцидент прежде, чем он привел к ущербу.

То есть каждый из факторов — следствие чьего-то неудачного решения, но причина инцидента — совокупность этих факторов.

Как инцидент повлияет на мотивацию сотрудников, также во многом зависит от того, какие действия предпримет руководство компании. Иногда случается так, что меры по недопущению повторения подобных инцидентов могут нанести ущерб куда больший, чем сам инцидент.

Вот пример неудачных решений руководства некоего реально существующего банка. В нем периодически случались инциденты, связанные как с внешними атаками, так и с ошибками персонала. В результате системы банка на какое-то время становились недоступны. Руководство в качестве наказания и для «мотивации других» постоянно увольняло сотрудников ИТ- и ИБ-отделов. При этом то же самое руководство не выделяло бюджета ни на создание новой автоматизированной банковской системы, ни на доработку старой, об уязвимостях которой было известно. Старые сотрудники, понимая, что от ошибки никто не застрахован, а компания предпочитает ничего не исправлять, а только менять людей, постепенно нашли себе другую работу. Новые сотрудники, приходящие на место уволенных, понимали в самописной АБС еще меньше, и, как следствие, ошибались еще чаще и тратили больше времени на обслуживание систем. В итоге из банка ушли клиенты, так что из топ-50 он скатился на 200+ место.

Что делать

По-моему, чтобы избежать демотивации сотрудников, нужно повышать их ответственность, прививать им уважение к ценностям компании и работе других людей. Это достигается в том числе и материальной заботой компании о своих сотрудниках, так как уважение должно быть взаимным. Кроме того, нужно иметь четкие правила, описывающие, что допустимо делать, что делать нельзя, а также как нужно поступать, если кто-то все-таки стал причиной киберинцидента (не исправил вовремя уязвимости, не обратил внимания на признаки атаки или даже скрыл их). Если к кому-то придется применить штрафные санкции, то важно не допускать дискриминации и сплетен — руководитель команды должен четко довести до подчиненных информацию о причинах этих санкций и обстоятельствах ошибки. Это позволит не только поддерживать здоровую атмосферу в коллективе, но и избежать повторения ошибок в будущем.

С точки зрения ИБ, чтобы минимизировать влияние инцидентов на мотивацию и обеспечить выживаемость компании, нужно уделять внимание таким факторам, как:

  • Обучение персонала (чтобы не совершать ошибок, человек должен понимать, какие вообще бывают ошибки).
  • Мотивация сотрудников (люди должны хотеть работать в компании).
  • Четкая формулировка правил информационной безопасности в компании и строгий контроль их выполнения.
  • Наличие средств детектирования и реагирования на инциденты.
  • Системы защиты от ошибок, дураков, разгильдяев и злонамеренных действий инсайдеров.
  • Непрерывное совершенствование всего вышеперечисленного, чтобы не наступать на грабли снова и снова.

Другие мысли о взгляде на инциденты в кибербезопасности глазами сотрудника можно почитать в свежем отчете «Лаборатории Касперского» «Taking care of corporate security and employee privacy: Why cyber-protection is vital for both businesses and their staff«.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Утечка Gravy Analytics — как защитить свои данные геолокации | Блог Касперского
      От KL FC Bot
      Наши смартфоны и другие устройства ежедневно собирают и передают десяткам или даже сотням сторонних компаний кучу данных о нас, включая информацию о местоположении. Существует огромный рынок, на котором продают и покупают такую информацию (естественно, без ведома пользователей), тем самым создавая скрытые риски для нашей приватности.
      Недавний взлом одного из брокеров данных геолокации, Gravy Analytics, наглядно демонстрирует последствия такой практики. В этом материале разберем, как работают брокеры данных и к чему может привести утечка собранной ими информации. А также поговорим о том, что можно сделать для защиты данных о вашем местоположении.
      Кто такие брокеры данных геолокации
      Брокеры данных — это компании, которые собирают, обрабатывают и продают информацию о пользователях. Эту информацию они получают из мобильных приложений, сетей интернет-рекламы, систем онлайн-аналитики, от операторов связи, а также из массы других источников — от домашних умных устройств до автомобилей.
      В теории основным предназначением этих данных являются аналитика и таргетированная реклама. Однако на практике каких-то ограничений на использование информации не существует, а купить ее часто может любой желающий. Поэтому в реальности с пользовательскими данными может происходить все что угодно. Например, как выяснилось из прошлогоднего расследования, коммерческие дата-брокеры — напрямую или через фирмы-посредники — обслуживают даже спецслужбы некоторых стран.
      Брокеры данных собирают массу всевозможной информации о пользователях. Но одна из самых важных и чувствительных категорий — это данные об их местоположении. Причем геолокация настолько востребована, что помимо брокеров данных, так сказать, общего характера, существуют также узкопрофильные компании.
      Таким образом, брокеры данных геолокации — это организации, которые специализируются на сборе и продаже информации о местоположения пользователей. Одним из крупных игроков в этом сегменте рынка торговли данными как раз и является американская Gravy Analytics, которая в 2023 году слилась с норвежской Unacast.
       
      View the full article
    • Elly
      Кроссворд о рейтинговой системе мотивации Клуба. Правила
      От Elly
      Друзья!
       
      Рейтинговой системе мотивации посвящён целый раздел на форуме. Мы предлагаем вам поучаствовать в викторине, основанной на кроссворде, чтобы лучше узнать особенности этой системы, её преимущества и основные положения. В ходе викторины участникам необходимо будет предварительно разгадать кроссворд и ответить на вопросы о том, какая буква в правильно разгаданном кроссворде должна находиться на соответствующем месте (обозначенном следующим образом: клетка закрашена красным, на ней в кружке красная цифра), а также составить из этих букв одно слово.

       
      Кроссворд о рейтинговой системе клуба (форумный в Word).docx
      Кроссворд.pdf
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1 000 баллов Одна ошибка — 800 баллов Две ошибки — 600 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 20 февраля 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Mrak(пользователей @Машуня и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Acteon_927
      Kaspersky Plus поиск утечки паролей.
      От Acteon_927
      Завел в офисе Альфа-банка пластиковую карту, мне выдали временные логин и пароль для Альфа-онлай. При первом заходе в личный кабинет сменил эти временные данные, хотя мог использовать их еще месяц. И вот KP сообщил об утечке пароля временного аккаунта. Где могла произойти утечка? Мой ПК защищен KP, браузеры в режиме безопасных платежей. Ранее были сообщения о моих утечках на сайтах Леруа-Мерлен, фото. Указывалось имя почтового ящика яндекс почты. Теперь предупреждение об этом почтовом ящике исчезло. Я поменял для него пароль.
    • MiStr
      Рейтинговая система мотивации участников клуба: публикация рейтинга
      От MiStr
      То, над чем мы так долго работали; то, о чём вы не раз спрашивали; то, что теперь будет постоянно обновляться и публиковаться — текущий рейтинг фан-клубовцев. Наконец мы решили все организационные и технологические вопросы, получили и агрегировали данные по программам, участвующим в рейтинговой системе мотивации фан-клубовцев, и теперь готовы ежемесячно публиковать текущий рейтинг. Всё это для того, чтобы каждый фан-клубовец видел, на каком месте он находится в данный момент, мог оценить свои шансы на попадание в список приглашённых на празднование очередного дня рождения фан-клуба, зарядить себя мотивацией и с новыми силами продолжить участвовать в многочисленных программах, за активность в которых начисляются клабы.
       
      Рейтинг фан-клубовцев по состоянию на 03.02.2019 (Ник / количество клабов):
       
       
      Внимание! Опубликованные данные носят текущий информационный характер и не являются окончательным результатом. Публикация рейтинга не означает, что подсчитаны абсолютно все активности, в которых участвовал фан-клубовец до даты публикации рейтинга, поскольку информация об участии фан-клубовцев в программах поступает к нам с задержкой от нескольких дней до нескольких месяцев.
       
      Напоминаем, что согласно правилам рейтинговой системы, любые вопросы, связанные с начислением клабов, принимаются в течение 30 дней с момента обновления рейтинга участника. По истечении этого срока количество начисленных клабов не пересматривается. Поэтому если у вас возникли вопросы по начислению клабов, то отправьте письмо мне с копией Elly. В письме сообщите, какой размер вашего рейтинга должен быть и приложите соответствующие расчёты. Письма без конкретных расчётов или содержащие неконкретную информацию вида "Мне кажется, у меня должно быть немного больше" рассматриваться не будут.
    • sergei5
      шифровальшик зашировал все данные
      От sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
×
×
  • Создать...