Human Risk Management или как побороть главную киберугрозу

Компании осознают: банальное повышение осведомленности сотрудников уже недостаточно. Сегодня все более актуальным становится Human Risk Management (HRM), или управление рисками, связанными с поведением людей. Это следующий шаг в развитии корпоративной культуры информационной безопасности.

Почему тренинги больше не спасают?

Многие организации уже проводят ИБ-тренинги, рассылают памятки и даже запускают фишинговые симуляции. Однако реальные показатели устойчивости персонала к угрозам часто остаются низкими. Существует несколько объяснений этого явления.

Во-первых, в абсолютном большинстве случаев обучение персонала одинаково для всех. При этом в современном мире у каждой группы сотрудников разные риски информационной безопасности. Например, специалисты HR-служб и IT-департаментов более подвержены атакам хакеров, чем работники административно-хозяйственной службы или бухгалтерии, так как имеют гораздо больший доступ к информационной инфраструктуре. Обучение для каждого подразделения должно учитывать свои особенности, однако сейчас такой подход встречается крайне редко.

Во-вторых, для сотрудников отсутствует обратная связь. Работники чаще всего не понимают, как их поведение и действия влияют на информационную безопасность компании. От этого они зачастую действуют беспечно, воспринимая тренинги и другую информацию по поводу информационной безопасности как что-то, что их никогда не коснется.

В-третьих, в большинстве случаев нет четких метрик, которые оценивают эффективность тренингов. Из-за этого сложно понять, насколько результативным был тренинг, какой эффект на реальную защищенность компании он оказал.

Human Risk Management призван решить эти проблемы за счёт персонализации программ обучения для каждого направления, оценки рисков поведения пользователей и постоянного мониторинга за их действиями.

Что такое Human Risk Management?

Во-первых, идентификация групп с повышенными рисками. Это позволяет избавиться от унификации процесса обучения основам ИБ и сосредоточиться на том, как обучить каждую отдельную группу сотрудников с учетом специфики их работы.

Во-вторых, Human Risk Management подразумевает постоянный мониторинг и анализ действий работников компании с точки зрения воздействия на информационную безопасность. Обнаружение конкретных специалистов или подразделений, которые систематически нарушают правила кибербезопасности, позволяет вовремя ликвидировать источник угроз и работать над повышением квалификации работников в этих вопросах.

В-третьих, настройка таргетированных мер. Когда собрана вся информация о поведении сотрудниках, специфике их рисков ИБ, угрозах, которые несут их действия, можно разработать программу повышения квалификации, которая позволит научить специалистов защищаться от действий кибермошенников и хакеров в конкретных ситуациях, с которыми они вероятнее всего могут столкнуться.

В-четвертых, внедрение мер и продолжение мониторинга позволяет внедрять четкие метрики эффективности работы с персоналом по вопросам противодействия угрозам информационной безопасности. Это могут быть рейтинговые таблицы лидеров по ИБ-культуре, сбор данных о времени реакции на угрозы, количестве рискованных действий каждого сотрудника и так далее. Это позволит понимать, какие шаги необходимо предпринять, как распределить ресурсы.

Процесс внедрения HRM

Внедрение HRM-системы, как и любого другого масштабного механизма, требует достаточно времени, проверок, аналитики, чтобы добиться действительно эффективного результата. Рассмотрим основные этапы.

Во-первых, подготовка и планирование. Обычно создается группа, которая включается в себя ИБ-специалистов, HR-менеджеров и представителей руководства. Главное – сформулировать цели: какие цели стоят и почему HRM-система может помочь их достигнуть? Важно понимать, что информационная безопасность – это направление, которое не приносит бизнесу денег, поэтому распределение бюджетов здесь должно быть грамотным и помогать реализовывать те задачи, которые действительно актуальны сейчас, а не навязаны внешними факторами.

Во-вторых, не основе данных, которые собираются в ходе аудитов, тренингов, фишинг-тестов, логов безопасности определяются наиболее уязвимые сотрудники и типовые сценарии риска. Это нужно, чтобы эффективно распределить ресурсы и защитить именно те каналы, которые несут больше всего угроз. После этого интегрируются существующие инструменты – EDR, SIEM, DLP и другие для получения контекста поведения сотрудников.

В-третьих, происходит разработка самой платформы, которая будет собирать и анализировать данные, давать обратную связь. HRM-система – это база, информация в которую стекается, а на основе этой информации принимаются решения о том, какие шаги в отношении сотрудников необходимо сделать далее.

Наконец, платформа получает пилотное тестирование, и, в случае успешного функционирования, осуществляется полноценный запуск. Важно – бизнес постоянно меняется, меняются сотрудники, задачи департаментов, их внешние и внутренние коммуникации. HRM-система должна отвечать этим запросам, следовать за этими изменениями для своей эффективности.

HRM в действии

Рассмотрим пример, влияния HRM на кибербезопасность бизнеса. Допустим, в крупной компании запускается HRM-система. Первичная оценка показывает: сотрудники в HR-отделе чаще других открывают подозрительные вложения. Вместо общего тренинга по фишингу запускается короткий курс, заточенный под сценарии, с которыми реально сталкиваются специалисты этого отдела. Параллельно — мягкое уведомление от ИБ-службы и визуализация личного «рейтинг-безопасности». В результате количество инцидентов падает, так как специалисты учатся противодействовать тому, с чем реально сталкиваются, а также имеют понятную обратную связь.

Что получают ЛПР от внедрения HRM? Во-первых, как говорилось выше, снижение числа инцидентов, связанных с человеческим фактором. Во-вторых, прозрачность: можно увидеть, где и кто несёт наибольшие поведенческие риски. В-третьих, осознанность сотрудников — вовлечённость растёт, когда люди понимают, почему им надо проходить курсы и запоминать правила.

Важнейший плюс – растет зрелость ИБ-процессов, что важно для соответствия требованиям регуляторов, партнёров и инвесторов.

HRM в России: тренд с потенциалом

В России интерес к Human Risk Management только растёт. Всё больше ИБ-команд внедряют решения, позволяющие перейти от формального обучения к управлению реальными рисками. Платформы, которые объединяют фишинг-тесты, поведенческую аналитику и отчётность, становятся новым стандартом.

Компании, которые первыми перестроятся на этот подход, получат не только более защищённую инфраструктуру, но и реальное конкурентное преимущество — зрелую культуру безопасности, где каждый сотрудник понимает свою роль в защите бизнеса.