

Формирование групп риска сотрудников как инструмент для ИБ-специалистов.
Разделение по группам риска — понятный способ категоризации сотрудников компании в интересах ИБ, однако на практике его мало кто использует, поскольку для этого требуется ответить на множество вопросов:
В результате руководители понимают, в чём состоит ценность для бизнес-процессов разных должностей и подразделений, ИБ-специалисты уверенно ранжируют опасность уязвимостей в системах, но остаётся невостребованным огромный пласт важнейшей социально-психологической информации, которую не только можно, но и нужно использовать в интересах ИБ. Чтобы восполнить этот пробел, поговорим о том, как работа с группами риска помогает повысить информационную безопасность компании.
ГРУППЫ РИСКА И ИХ ФУНКЦИИ
Термин «группа риска» чаще всего используют в медицине и социологии для выявления людей, наиболее уязвимых к определённым обстоятельствам или воздействиям окружающей среды. К примеру, в социологии к группам риска относят многодетные, неполные семьи и семьи, имеющие детей-инвалидов, в медицине — группы риска развития диабета, сердечно-сосудистых заболеваний, в криминалистике в группе риска находятся бездомные, нарко- и алкозависимые, а также лица, имеющие раннее и повторное антиобщественное поведение.
ISO 27005 определяет в качестве информационного риска «возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации». И хотя стандарт не выделяет группы риска для категоризации человеческого фактора в качестве критерия уязвимости компании, с большой долей вероятности их официальное появление – лишь вопрос времени. Опытные безопасники уже используют этот инструментарий в повседневной работе, понимая, что информационная безопасность требует учитывать наравне с техническим фактором человеческий.
В качестве инструмента работы с человеческим фактором группы риска могут выполнять следующие функции:
ОСОБЕННОСТИ ФОРМИРОВАНИЯ
Формирование групп риска в компании состоит из четырёх этапов.
Схематично данный процесс можно изобразить следующим образом – рис. 1.
Рисунок 1. Четыре этапа при формировании групп риска в компании
ФАКТОРЫ И КОМПОНЕНТЫ
Основными факторами формирования групп риска являются:
Компонентами поведенческого фактора могут быть зафиксированные небезопасные действия сотрудников, неоднократное нарушение установленных правил ИБ, инциденты ИБ, результаты обучения и имитированных атак, а также отсутствие взаимодействия сотрудника с отделом ИБ. Например, необычным выглядит поведение человека, который работает в компании больше года, но ни разу не пересылал на проверку подозрительные письма, особенно если его коллеги делают это регулярно.
Определение значимых компонентов поведенческого фактора сильно зависит от внутриорганизационных особенностей, политики ИБ и корпоративной культуры. Если в компании нет регулярного обучения основам ИБ и нет налаженного канала взаимодействия с отделом безопасности, данные факторы бессмысленно учитывать в системе групп риска, поскольку они будут присутствовать у всех.
К демографическому фактору относятся: пол, возраст, место жительства и социально-экономическая принадлежность, опыт работы с ПК, интернетом и почтой. Исследовательские данные подтверждают, что к более высокой группе риска можно относить женщин (по половому признаку), людей в возрасте до 25 и старше 50 лет (по возрастному признаку), жителей дальних регионов (по территориальному признаку), с низкой заработной платой (по социально-экономическому признаку), с низким и непрофильным по должности опытом работы с ПК, интернетом и почтой (по признаку опыта).
Психологический фактор включает личностные черты, психологические расстройства, актуальные потребности, ведущий тип мотивации и эмоциональные состояния (если в компании есть средства мониторинга и лингвистического анализа исходящих писем) сотрудников.
Самые опасные из личностных черт: эмоциональная неустойчивость (нейротизм), доброжелательность, импульсивность, открытость опыту, невнимательность, общительность, подчинённость, доверчивость, безответственность, любопытство.
Наиболее опасные расстройства личности — нарциссическое и антисоциальное.
К специализированным факторам относятся:
ГРУППА РИСКА ИНСАЙДЕРСКОЙ УГРОЗЫ
В рамках работы по формированию групп риска можно выделить группы для инсайдерской угрозы, либо совместить их в рамках общей категоризации сотрудников по уязвимости.
В отчёте INSA [1] перечислены виды негативного инсайдерского поведения и психологических состояний, по которым можно выявить угрозу. Они систематизированы относительно актуальных стрессоров.
Используя диагностическую методологию, аналогичную DSM-5, авторы отчёта предлагают соотнести эти специфические формы поведения на индивидуальном и групповом уровне с уровнем угрозы и типом нарушения, исходя из предположения, что большое количество случаев такого поведения может указывать на рост вероятности более серьёзных злонамеренных действий, особенно если стрессовые события накапливаются.
Модель отлично отражает возможность использования подобных данных в формировании инсайдерских групп риска с целью помощи в разработке стратегий исправления ситуации на местах (рис. 2).
Рисунок 2. Виды негативного инсайдерского поведения и психологические состояния, по которым можно выявить угрозу, систематизированные относительно актуальных стрессоров
ЗНАЧИМОСТЬ ФАКТОРОВ РИСКА
Значимость факторов для формирования групп риска назначается через оценку путём распределения веса среди компонентов факторов вручную в зависимости от особенностей компании, существующих актуальных процессов и бизнес-приоритетов.
В качестве системы оценки для определения значимости компонентов факторов, обычно используют десятичную (0-10), дробно-десятичную (0-1,0) или бинарную (0-1).
Бинарная оценка наиболее простая, так как вес распределяется равномерно в рамках двух категорий: значим фактор или нет. Минус такой оценки в том, что невозможно отдать предпочтение какому-либо фактору, то есть выделить более или менее важные факторы. Поэтому в более сложных моделях лучше использовать оценку, которая позволит точнее распределить приоритеты внутри факторов.
Критериями эффективности распределения веса между факторами в сформированных группах риска являются:
Рисунок 3. Нормальное распределение по группам риска соответствует теории вероятности: в самой массовой средней группе оказывается большинство, а в немногочисленных крайних — убеждённые нарушители и устойчивые к угрозам сотрудники
РАСПРЕДЕЛЕНИЕ ФАКТОРОВ И СОТРУДНИКОВ
Распределение факторов по группам риска будет зависеть от выбранной системы классификации. Наиболее простым и понятным является деление на низкий, средний и высокий риск. Категоризация только на низкий и высокий уровень риска, как правило, оказывается неэффективной.
Пример распределения поведенческих факторов по группам риска – на рис. 4.
Рисунок 4. Пример распределения поведенческих факторов по группам риска
Распределение сотрудников по группам риска желательно автоматизировать. Если сделать это по каким-то причинам невозможно, необходимо не реже, чем раз в три месяца проводить ручной пересмотр групп риска, при необходимости добавляя или удаляя сотрудников.
При неполном соответствии работника группе с более низким риском его следует переместить в группу с более высоким риском.
СБОР И СИСТЕМАТИЗАЦИЯ ИНФОРМАЦИИ
Если вопросы с регистрацией поведенческого фактора помогают решить системы мониторинга и контроля защищённости, с психологическими параметрами ситуация сложнее.
Представляется оптимальным вариант получения психологической информации о сотрудниках через взаимодействие с HR-отделом, который может предоставлять данные тестирования, проведённых в процессе собеседования претендентов на вакансию. В качестве возможных затруднений по этому сценарию отметим следующие:
Альтернативный способ работы с психологическим фактором — использование психопрофилей должности. При отсутствии индивидуальных данных о сотрудниках это позволяет разрабатывать групповые характеристики, в соответствии с которыми отбираются кандидаты. Именно такой подход порождает стереотипы о типичных бухгалтерах и айтишниках.
Групповые психологические профили можно позаимствовать у HR-отдела, если он ими располагает, либо воспользоваться открытыми источниками. Уровень риска при этом будет формироваться в соответствии с должностью. Главный минус такого подхода — высокая вероятность ошибки, в результате которой сотрудник распределяется не в ту группу риска.
Для хранения собранных сведений целесообразно использовать электронную базу данных, которая:
ЗАКЛЮЧЕНИЕ
Быстро меняющийся ландшафт угроз информационной безопасности компании требует от ИБ-сотрудников учитывать при построении моделей угроз не только технические, но и психологические факторы. И если для технического анализа риска уже имеется богатый набор методик и программных инструментов, психологическая составляющая этим похвастаться не может.
В этих условиях группы риска могут стать важной частью арсенала эффективного ИБ-специалиста и вывести результативность защиты безопасности компании на принципиально новый уровень.
[1] Assessing the mind of the malicious insider: using a behavioral model and data analytics to improve continuous evaluation, INSA, 2017.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных