Почему в вашей организации никто не озабочен Security Awareness?

Повышение осведомленности Лаборатория Касперского

Библиотека безопасника / Презентации к докладам

255 просмотры

0 0

• Статистика по киберугрозам за 2017 год.
• Основные методы и тактики атак злоумышленников. Чего ждать дальше?
• На что обратить внимание? Адаптивная модель информационной безопасности.
• Новые продукты от Лаборатории Касперского.

13. 13 ОЦЕНКА КУЛЬТУРЫ КИБЕРБЕЗОПАНОСТИ Позволяет проанализировать повседневное поведение сотрудников и их отношение к кибербезопасности Онлайн - исследование на основе кратких кастомизированных опросников для сотрудников и менеджеров. Развитая система отчетов. Для руководителей отделов ИБ

5. 5 ОСНОВНЫЕ ПРИЧИНЫ ОШИБОК СОТРУДНИКОВ “Trends in IT Security”. CompTIA, 2015. 42% Несоблюдение пользователями ИБ - политик и процедур 42% Общая беспечность/ халатность 31% Неосведомленность о новых типах угроз 29% Недостаточное владение программами и навыками безопасного просмотра вебсайтов 26% Несоблюдение ИБ - политик и процедур IT - специалистами

2. ОШИБКИ СОТРУДНИКОВ – КЛЮЧЕВАЯ УГРОЗА БЕЗОПАСНОСТИ КРУПНЫХ КОМПАНИЙ СЕГОДНЯ в сех утечек данных случаются из - за человеческих ошибок * 2015 Global Cyber Impact Report. Ponemon Institute LLC. более 95 % с траховых планов покрывают инциденты, произошедшие из - за человеческих ошибок и небрежности только 25 % * IBM 2015 Cyber Security Intelligence Index

10. 10  Увлекательный и вовлекающий формат  Продолжительность – всего 2 часа  Командная работа, помогающая создавать эффективное сотрудничество  Атмосфера соревнования, способствующая проявлению инициативы и развитию навыков ситуационного анализа  Сценарий разработан таким образом, чтобы способствовать лучшему пониманию мер информационной безопасности  От участников не требуется глубокая экспертиза в области безопасности Kaspersky I nteractive Protection Simulation (KIPS)

9. 9 ТРЕНИНГИ KASPERSKY SECURITY AWARENESS Навыки , а не только знания Тренинги для всех уровней и функций организации Компьютеризированные учебные программы – легко проводить, управлять обучением и измерять эффективность Эффективность через соревнование , обучение на практике ( learning - by - doing ) и использование реальных рабочих ситуаций

3. 3 УЩЕРБ ОТ ОШИБОК СОТРУДНИКОВ п рямые расходы на восстановление от киберинцидента * до $400 н а сотрудника в год $38,000 д ля компаний среднего и малого бизнеса $551,000 для крупных компаний * “Damage Control: the Cost of Cybersecurity Breaches”, Kaspersky Lab and B2B International, October 2015. ** Calculations based on Ponemon Institute, “Cost of Phishing and Value of Employee Training”, August 2015. с редний ущерб от фишинговых атак ** прямые расходы на восстановление от киберинцидента *

11. 11 CYBERSAFETY MANAGEMENT GAMES Для менеджеров ПОНИМАНИЕ ВАЖНОСТИ ИБ Внедрение внутренних мер по кибербезопасности – серьезный процесс , однако в его основе лежит набор простых действий, не требующих больших временных затрат УМЕНИЕ ПРИНИМАТЬ БИЗНЕС - РЕШЕНИЯ С УЧЕТОМ ПРИНЦИПОВ ИБ Кибербезопасность как неотъемлемая часть бизнес - процессов МОНИТОРИНГ Взгляд на повседневные рабочие процессы с точки зрения кибербезопасности УБЕЖДЕНИЕ И ВДОХНОВЕНИЕ Вдумчивое руководство и полезные советы подчиненным

14. 14 Сокращение числа инцидентов Снижение ущерба в денежном выражении до 93% Вероятность применения навыков в повседневной работе не менее 50% до 90 % более чем 30x Окупаемость вложений (ROI) ТРЕНИНГИ, КОТОРЫЕ ДЕЙСТВИТЕЛЬНО РАБОТАЮТ до 86 % Готовность рекомендовать программу

7. ПОДХОДЫ К ОБУЧЕНИЮ КИБЕРБЕЗОПАСНОСТИ Стандартный подход Низкая эффективность Мало возможностей для измерения результата  93% – вероятность применения полученных знаний в повседневной работе  90% – сокращение числа ошибок  50 - 60 % – снижение рисков кибербезопасности в денежном эквиваленте  Более чем 30 - кратная окупаемость вложений ( ROI) Интерактивный подход + инструменты геймификации Инструкции, ежегодные презентации, постеры, тренинги

8. КУЛЬТУРА КИБЕРБЕЗОПАСНОСТИ : ПСИХОЛОГИЯ В ОСНОВЕ ВСЕГО Знания Поведение Мотивация Большинство программ повышения осведомленности работают только со знаниями. Но люди устроены иначе: никто не руководствуется только теорией. Поведение – вот с чем надо работать в ходе таких тренингов. А поведение всегда тесно связано с мотивацией и набором знаний. Предлагаемый нами подход – создание и поддержание Культуры кибербезопасности – эффективен и измерим. На всех трех уровнях – знания, поведения, м отивации. Время Навыки Успех Закрепление Инструменты и навыки Разумная достаточность Пример окружающих Непосредственное руководство Подкрепление Чем чревата ошибка Ценности Привычки

4. 4  Фишинговые атаки  Социальная инженерия  Редко обновляемое ПО  Слабые/ универсальные пароли  Незаблокированные компьютеры и мобильные устройства  Неблагонадежные приложения на корпоративных смартфонах  Удаленная работа с незащищенных личных устройств  Использование публичного Wi - Fi  Кража устройств с незашифрованными данными (PC , смартфоны, флешки ) КИБЕРУГРОЗЫ, НЕПОСРЕДСТВЕННО СВЯЗАННЫЕ С ОШИБКАМИ СОТРУДНИКОВ  Утечка данных  Финансовое мошенничество  Программы - вымогатели  Ботнеты / DDoS  APT  Атаки на промышленные объекты и сбои и работе критической инфраструктуры  Электронный шпионаж  Потери из - за простоя сотрудников и повреждения оборудования

6. 6 УРОВЕНЬ СОТРУДНИКА  Занимают много времени  Мешает исполнять основную работу  Этим должны заниматься IT  Кому я интересен?  С сотрудниками ИБ сложно общаться  Атаки же редко бывают  Слишком сложные  Слишком поверхностные  Слишком технические  Сложные и абстрактные  Быстро забываются  Оторваны от бизнеса  С хакерами все равно ничего не сделаешь  Скучно ! ПОЧЕМУ НЕЭФФЕКТИВНЫ СУЩЕСТВУЮЩИЕ ТРЕНИНГИ? УРОВЕНЬ КОМПАНИИ  Таким обучением сложно управлять  Всех все равно не обучишь  Это не приоритет  Нет поддержки сверху  Плохо поддаются оценке  Тренинги проводятся формально, многие списывают  Результаты обучения не проанализировать  Дорого  Быстро устаревают  Начальник требует не тратить время на то, что не приносит прямого результата  Никак не связаны с реальной работой  Это разовое обучение (хотя даже им управлять сложно)  Неэффективно !

12. 12 ПЛАТФОРМА ОБУЧЕНИЯ НАВЫКАМ КИБЕРБЕЗОПАСНОСТИ Для всех сотрудников Обучающие модули Симулированные фишинговые атаки Оценка знаний (assessment) Аналитика и отчетность 3 типа атак разной сложности. Основаны на реальных случаях фишинга Обучающая страница сразу после совершения пользователем опасных действий Возможна кастомизация шаблонов Включает базовые предустановленные тесты, покрывающие разные темы кибербезопасности Возможность создания тестов по внутренней политики безопасности Авто - назначение обучения сотрудникам с низкими показателями ответов Позволяет отслеживать уровень обучающихся и динамику изменений Анализ как в целом по организации, так и по подразделениям и на индивидуальном уровне Экпорт в PDF, XLS, CSV Короткие и забавные Теория и упражнения с немедленным подкреплением 2 9 модулей на все аспекты ИБ (число модулей растет) Auto - enrollement : автоматически назначаются после плохого прохождения соответствующего задания 30 языков. Cloud и On - premises Комплексное решение: тестирование + атаки + обучение