Современные киберугрозы сместили свой фокус с технологических уязвимостей на эксплуатацию человеческого поведения. После двух десятилетий создания зрелых архитектур безопасности стало очевидно, что одних лишь инструментов недостаточно. Данные отчета Verizon "Data Breach Investigations Report" подтверждают этот сдвиг: на протяжении пяти лет подряд человеческий фактор остается главным драйвером утечек данных в глобальном масштабе. Последний отчет за 2024 год показал, что почти 60% всех взломов содержали человеческий элемент, где первоначальным вектором атаки становился человек, а не уязвимость «нулевого дня».
Распространенное убеждение, что сотрудники являются «самым слабым звеном» в цепи безопасности, является ошибочным. Эта фраза несправедливо возлагает вину на работников, в то время как проблема заключается в среде безопасности, которая не оказывает им должной поддержки. Часто вопросы кибербезопасности излагаются сложным техническим языком, а политики безопасности разрабатываются для юристов и аудиторов, а не для практического применения обычными сотрудниками.
Эффективное управление человеческими рисками достигается через формирование сильной организационной культуры безопасности. Такая культура не накладывается поверх рабочих процессов, а встраивается в них, делая безопасное поведение простым и естественным. Культура безопасности — это совокупность общих представлений, убеждений и взглядов на кибербезопасность внутри организации. Поведение сотрудников напрямую зависит от того, что их окружение поощряет, позволяет и ожидает.
Формирование культуры безопасности управляется четырьмя ключевыми рычагами. Первый и самый важный — это сигналы от руководства. Культура начинается сверху. Когда лидеры выделяют бюджет на безопасность, привязывают бонусы к показателям киберзащищенности и повышают статус директора по информационной безопасности (CISO) в организационной структуре, они демонстрируют реальную приверженность делу. Без таких ощутимых действий словесные заверения остаются пустыми.
Второй рычаг — вовлеченность команды безопасности. Ежедневное взаимодействие сотрудников с этим отделом имеет решающее значение. Воспринимается ли команда как помощники или как враждебная сила? Предоставляют ли они ясные инструкции или создают путаницу? Действуют ли они как стимуляторы продуктивности или как ее блокираторы? Ответы на эти вопросы формируют отношение к безопасности во всей компании.
Третьим элементом является дизайн политик безопасности. Политики — это постоянная точка соприкосновения для всех сотрудников. Если они просты, интуитивно понятны и логичны, они укрепляют уверенность в том, что безопасность достижима. В противном случае, когда правила сложны и непрактичны, сотрудники неизбежно выбирают удобство в ущерб безопасности, чтобы выполнить свою основную работу.
Четвертый рычаг — обучение безопасности. Это наиболее заметная, но часто неправильно понимаемая часть программы. Скучное, устаревшее и нерелевантное обучение сигнализирует о том, что безопасность на самом деле не важна. Эффективное обучение, напротив, должно быть увлекательным, применимым к конкретным рабочим ролям и способным укрепить убежденность в необходимости безопасных практик.
Ключевой принцип заключается в согласовании всех четырех рычагов. Руководство, команда безопасности, политики и обучение должны работать в унисон и транслировать единое сообщение. Несоответствие между ними подрывает доверие сотрудников к программе безопасности. Если руководство заявляет о приоритете безопасности, но команда недоступна, политики невыполнимы, а обучение проводится для галочки, культура безопасности не будет создана.
Для руководителей, стремящихся систематизировать этот подход, существуют специализированные программы. Например, курс LDR521: «Культура безопасности для лидеров» от компании SANS предлагает пошаговую методологию для оценки текущей культуры, выявления возможностей для улучшений и построения защищенной среды. Программа, которая будет представлена на мероприятии SANS Orlando Fall 2025, предоставляет практические инструменты, реальные кейсы и готовый план действий для внедрения эффективной культуры безопасности.
Изображение носит иллюстративный характер
Распространенное убеждение, что сотрудники являются «самым слабым звеном» в цепи безопасности, является ошибочным. Эта фраза несправедливо возлагает вину на работников, в то время как проблема заключается в среде безопасности, которая не оказывает им должной поддержки. Часто вопросы кибербезопасности излагаются сложным техническим языком, а политики безопасности разрабатываются для юристов и аудиторов, а не для практического применения обычными сотрудниками.
Эффективное управление человеческими рисками достигается через формирование сильной организационной культуры безопасности. Такая культура не накладывается поверх рабочих процессов, а встраивается в них, делая безопасное поведение простым и естественным. Культура безопасности — это совокупность общих представлений, убеждений и взглядов на кибербезопасность внутри организации. Поведение сотрудников напрямую зависит от того, что их окружение поощряет, позволяет и ожидает.
Формирование культуры безопасности управляется четырьмя ключевыми рычагами. Первый и самый важный — это сигналы от руководства. Культура начинается сверху. Когда лидеры выделяют бюджет на безопасность, привязывают бонусы к показателям киберзащищенности и повышают статус директора по информационной безопасности (CISO) в организационной структуре, они демонстрируют реальную приверженность делу. Без таких ощутимых действий словесные заверения остаются пустыми.
Второй рычаг — вовлеченность команды безопасности. Ежедневное взаимодействие сотрудников с этим отделом имеет решающее значение. Воспринимается ли команда как помощники или как враждебная сила? Предоставляют ли они ясные инструкции или создают путаницу? Действуют ли они как стимуляторы продуктивности или как ее блокираторы? Ответы на эти вопросы формируют отношение к безопасности во всей компании.
Третьим элементом является дизайн политик безопасности. Политики — это постоянная точка соприкосновения для всех сотрудников. Если они просты, интуитивно понятны и логичны, они укрепляют уверенность в том, что безопасность достижима. В противном случае, когда правила сложны и непрактичны, сотрудники неизбежно выбирают удобство в ущерб безопасности, чтобы выполнить свою основную работу.
Четвертый рычаг — обучение безопасности. Это наиболее заметная, но часто неправильно понимаемая часть программы. Скучное, устаревшее и нерелевантное обучение сигнализирует о том, что безопасность на самом деле не важна. Эффективное обучение, напротив, должно быть увлекательным, применимым к конкретным рабочим ролям и способным укрепить убежденность в необходимости безопасных практик.
Ключевой принцип заключается в согласовании всех четырех рычагов. Руководство, команда безопасности, политики и обучение должны работать в унисон и транслировать единое сообщение. Несоответствие между ними подрывает доверие сотрудников к программе безопасности. Если руководство заявляет о приоритете безопасности, но команда недоступна, политики невыполнимы, а обучение проводится для галочки, культура безопасности не будет создана.
Для руководителей, стремящихся систематизировать этот подход, существуют специализированные программы. Например, курс LDR521: «Культура безопасности для лидеров» от компании SANS предлагает пошаговую методологию для оценки текущей культуры, выявления возможностей для улучшений и построения защищенной среды. Программа, которая будет представлена на мероприятии SANS Orlando Fall 2025, предоставляет практические инструменты, реальные кейсы и готовый план действий для внедрения эффективной культуры безопасности.
