-
Видео
-
Аудио
-
Файлы
-
Тезисы
-
Видео
-
Аудио
-
Файлы


- Описание
- Расшифровка
- Обсуждение
О докладе
Средства корпоративной информационной безопасности почти никогда не работают «сами по себе», а требуют соблюдения пользователями определённых правил, то есть ограничений в поведении. Будут ли такие правила выполняться естественно и автоматически или будут постоянно саботироваться, зависит как от самих правил, так и от методики их внедрения. Правила, выполняющиеся всеми сотрудниками автоматически, снижают стоимость средств контроля, требуют меньше внимания со стороны контролирующих и уменьшают количество нарушений. Курс представляет методику мягкого прививания корпоративных правил персоналу на основе постепенного введения в корпоративную культуру четких и понятных правил, эффективных средств контроля и чёткой и неотвратимой обратной связи с учётом различных психотипов сотрудников.
Одних технических мер для обеспечения информационной безопасности недостаточно, особенно во внутренней безопасности:
- многое нельзя запретить легальным пользователям
- большое количество false positives при попытках вмешиваться в бизнес-процессы
- ограниченные ресурсы на контроль и наказание сотрудников: на каждое наказание надо заполнять кучу бумаг
Основные принципы внедрения корпоративных правил на уровень автоматической «самоцензуры»:
- чёткие и однозначные правила
- независимый инструмент контроля
- понятная и неотвратимая обратная связь
- пошаговое внедрение
Основные ресурсы при внедрении правил:
- «покровитель проекта» из бизнес-руководства
- легализованный инструмент контроля
- публичность обратной связи (обучения, наказания)
Типология нарушителей правил:
- Абсолютно законопослушные (АЗ): выполняют правила всегда и без контроля (5-10%)
- Абсолютно незаконопослушные (АНЗ): принципиально нарушают правила (5-10%)
- Условно законопослушные (УЗ): выполняют «разумные» правила, если их выполняют другие (40-45%)
- Условно незаконопослушные (УНЗ): не нарушают правил из-за угрозы наказания (40-45%)
Условия создания работающих правил:
- Правила одни для всех
- Правило «разбитых окон»
- Неотвратимость наказания
Этапы внедрения новых правил:
- декларация с уведомлением всех подверженных правилу
- введение контроля правила с уведомлением о нарушениях
- введение контроля правила с предупреждением о наказании
- наказание виновных в нарушении
Разные подходы для разных типов «законопослушности»:
- АЗ: используем как пример
- УЗ: вовлекаем, опираясь на АЗ
- АНЗ: избавляемся от них
- УНЗ: демонстрируем им наказанных АНЗ
Роль независимой системы контроля на разных этапах внедрения правила
- выделение АЗ
- демонстрация УЗ, что остальные правила выполняют
- сбор доказательств для наказания УНЗ
- увольнение АНЗ при систематическом нарушении
Изменение правил:
- создание «приемлемого профиля»
- отслеживание аномальных отклонений от профиля
- анализ ложных срабатываний
- адаптация правил и систем контроля
«Убийцы правил»
- частая их смена
- преступление без наказания
- неизолированные исключения
Обработка исключений:
- как объяснить всем, кого касаются правила, что некоторых правила не касаются
- как изолировать одних от других
- адаптация разных правил для разных групп
Сохранение управляемости:
- как управлять «шириной коридора»
- что делать, если инциденты больше не появляются
- ресурсный принцип: так настраивать систему, чтобы
Разбор кейса из реальной практики
На мастер-классе слушатели получат готовую методику пошагового внедрения корпоративных правил информационной безопасности, со временем выполняемых сотрудниками автоматически, на уровне «здесь так принято».
00:12 О теме мастер-класса. План мастер-класса
02:00 Понятие «корпоративная культура»
04:24 Об отличиях и общей черте корпоративных культур
05:30 Как сэкономить на правилах?
06:55 «Не хочу выглядеть идиотом»: а вы задумывались, почему люди выполняют правила?
10:30 Разделение правил по принципу легкости их выполнения
15:13 Недостаточно просто зафиксировать превышение скорости водителем, надо сообщить ему о том, что факт нарушения установлен: как сформировать принципы поведенческих паттернов?
20:22 Идеальное трио: правила, контроль, обратная связь
23:46 О главной ошибке специалиста по информационной безопасности
26:24 «Иногда проще дать человеку ошибиться, чем объяснять, почему этого делать нельзя»: о принципах формирования привычек
28:50 Без поддержки руководства не обойтись: почему проектам по информационной безопасности нужна поддержка руководителей?
30:36 Принцип «разбитых окон» в США и в России: каждый инцидент необходимо рассматривать как угрозу лавинообразного нарушения правил
34:35 Принцип неотвратимости наказания: обрабатывайте каждый инцидент
36:16 «Что русскому хорошо, немцу смерть»: учитывайте национальные особенности
39:46 О методике: типы людей по их отношению к правилам. Кейс №1 и Кейс №2
44:31 Идеальный процесс vs реальный
48:12 О принципе предельного количества инцидентов
49:10 Итоговый слайд с основными концепциями мастер-класса
О спикере
У нас не было возможности влиять на электроне возможность влиять именно на потенциальную и как внедрить корпоративную правила таким образом, чтобы нам приходил с работы выполняли правила на подсознательном уровне. мы получали образование обычного родился
Купить этот доклад
Доступ ко всем записям докладов мероприятия
Интересуетесь тематикой «Информационная безопасность»?
Возможно, вас заинтересуют видеозаписи с этого мероприятия