RU EN

Организация Кибербезопасности: На стыке культуры и GDPR

04.07.2018
Организация Кибербезопасности: На стыке культуры и GDPR

GDPR действует с 25 мая 2018 года. GDPR преследует две цели: усилить конфиденциальность информации граждан ЕС и укрепить полномочия учреждений, работающих в сфере защиты информации, а также и регулирующих органов в отношении любой организации, нарушающей новые правила. Но достаточно ли GDPR для борьбы с киберпреступностью и нарушениями конфиденциальности персональных данных?

Состояние кибербезопасности

Статистика киберпреступности пугает: в 2015 году потери составили 5 триллионов долларов. С другой стороны, организации потратили в 2017 году более 87 миллиардов долларов на самые современные технологии, такие как искусственный интеллект, машинное обучение, периферийная безопасность, программное обеспечение защиты и службы, помогающие защититься от киберпреступников. Были ли эти действия успешными?

Очевидно нет. Парадокс с кибербезопасностью. Хотя организации инвестируют огромные суммы денег, пытаясь защитить себя, количество и размер кибератак все еще увеличивается. Например, одна атака на Ransomware каждые 14 секунд. Общие затраты на атаки вымогателей в 2017 году составили более 5 миллиардов долларов. И наконец, еще одним фактором, влияющим на состояние кибербезопасности, является растущие атаки на пользователей, которые, как ожидается, возрастут с 3,8 млрд. в 2017 году до почти 6 млрд. пользователей в 2022 году.

GDPR

GDPR является стратегическим выбором, а не оперативной тактикой. Речь идет о соблюдении конфиденциальности вашего клиента и, конечно же, о уважении к себе, вашей репутации как организации. Отказ от защиты персональных данных может привести к судебному преследованию, штрафам, ущербу в репутации и снижению продаж. Организациям следует сосредоточиться на том, что соблюдение новых правил показывает на сколько серьезно они соблюдают конфиденциальность и защищают личные данные клиентов.

Организации столкнутся с одной большой проблемой: их собственные сотрудники. Статистика и ежегодные отчеты по безопасности показали, что самый простой способ атаковать систему - это атаковать людей. Поэтому можно задаться вопросом: является ли попытка соблюдения GDPR напрасной?

Есть ли культура кибербезопасности

Ответ, нет. Организациям необходимо подойти по другому пути для соблюдения требований GDPR. Соблюсти требования не удастся, если организации не смогут повысить грамотность персонала в области кибербезопасности, где каждый сотрудник организации понимает правила защиты персональных данных.

Бизнес-среда постоянно меняется, поэтому организации должны активно поддерживать актуальную грамотность персонала в сфере кибербезопасности. В противном случае организация обречена. Успешная культура кибербезопасности улучшает устойчивость ко всем кибер-угрозам, особенно когда они инициируются с помощью социальной инженерии, избегая при этом обременительных шагов безопасности, которые мешают персоналу эффективно выполнять свои основные бизнес-функции.

В чем заключается необходимость развития культуры кибербезопасности? Большинство нарушений в сфере безопасности персональных данных в организациях, являются результатом деятельности людей , в то время как политика кибербезопасности является обычным явлением среди организаций, сотрудники могут рассматривать их как руководства, а не требования. Точно так же технологии не смогут защитить организации, если они неправильно интегрированы, настроены и используются. На этом фоне развитие культуры достигает изменения в мышлении, способствует осознанию безопасности, восприятию риска и поддерживает тесную организационную культуру, а не пытается обеспечить безопасное поведение.

Культура кибербезопасности и GDPR: как?

Намечая путь к созданию культуры кибербезопасности, организации должны помнить, что это потребует больших усилий, но они определенно стоят того. Создание культуры безопасности способствует рекламе для самой организации. Чтобы сформировать эффективную культуру кибербезопасности, организациям необходимо учитывать определенные факторы, такие как широкая организационная культура, стратегии кибербезопасности и, наконец, не в последнюю очередь человеческий фактор.

Сотрудничество в рамках организации имеет важное значение, так как открытое общение будет способствовать развитию культуры кибербезопасности. Каждый сотрудник компании должен участвовать в создании областей знаний, определяя, где риски кибербезопасности и другие бизнес-функции пересекаются и потенциально конфликтуют. Руководство организации должно вдохновлять сотрудников, устанавливая четкие и достижимые видения, чтобы в последствии иметь беспроигрышное решение.

Кроме того, эффективная культура кибербезопасности должна быть полностью встроена в организационную культуру, а ценность кибербезопасности должна быть принята всеми членами. Стремление к кибербезопасности должно быть обозначено с помощью соответствующего распределения бюджета и мотивации для достижения большей безопасности, а не простым соблюдением формальных требований. Стремление к качеству кибербезопасности разовьет широкую организационную культуру и даст необходимый передовой опыт в бизнесе.

Еще одним условием для создания эффективной культуры кибербезопасности является разработка и передача, политик и процедур, которые четко определяют обязанности и служат моделью поведения и отношения к безопасности для руководства. Чтобы заинтересовать и получить поддержку сотрудников, все в компании должны поощряться и иметь право участвовать в разработке и внедрении политики информационной безопасности. Это гарантирует, что меры безопасности адаптируются к различным функциям внутри компании и что они не станут слишком обременительными или сложными.

Наконец, развитие эффективной культуры кибербезопасности требует признания и за пределами организации. Понимание влияния человеческих желаний, общества и культуры имеет важное значение для развития успешной культуры кибербезопасности.

Технологии безопасности будут эффективными только в том случае, если сотрудники обладают необходимыми знаниями, навыками, пониманием и согласны использовать их.

Источник: www.tripwire.com

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.