Duration 50:59
16+
Play
Video

Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей

The audio is available only after a purchase
To tickets
The files are available only after a purchase
To tickets
Рустем Хайретдинов
Заместитель генерального директора at InfoWatch
  • Video
  • Audio
  • Files
  • Table of contents
  • Video
  • Audio
  • Files
Код ИБ ПРОФИ 2018 | Москва
March 1 2018, Москва, Россия
Код ИБ ПРОФИ 2018 | Москва
Video
Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей
Available
In cart
1 200 ₽
1 200 ₽
$19
$19
€ 18
€ 18
Add to favorites
209
I like 1
I dislike 0
Available
In cart
1 200 ₽
1 200 ₽
$19
$19
€ 18
€ 18
  • Description
  • Discussion

About speaker

About the talk

Topic: IT

Средства корпоративной информационной безопасности почти никогда не работают «сами по себе», а требуют соблюдения пользователями определённых правил, то есть ограничений в поведении. Будут ли такие правила выполняться естественно и автоматически или будут постоянно саботироваться, зависит как от самих правил, так и от методики их внедрения. Правила, выполняющиеся всеми сотрудниками автоматически, снижают стоимость средств контроля, требуют меньше внимания со стороны контролирующих и уменьшают количество нарушений. Курс представляет методику мягкого прививания корпоративных правил персоналу на основе постепенного введения в корпоративную культуру четких и понятных правил, эффективных средств контроля и чёткой и неотвратимой обратной связи с учётом различных психотипов сотрудников.

Одних технических мер для обеспечения информационной безопасности недостаточно, особенно во внутренней безопасности:
- многое нельзя запретить легальным пользователям
- большое количество false positives при попытках вмешиваться в бизнес-процессы
- ограниченные ресурсы на контроль и наказание сотрудников: на каждое наказание надо заполнять кучу бумаг

Основные принципы внедрения корпоративных правил на уровень автоматической «самоцензуры»:
- чёткие и однозначные правила
- независимый инструмент контроля
- понятная и неотвратимая обратная связь
- пошаговое внедрение

Основные ресурсы при внедрении правил:
- «покровитель проекта» из бизнес-руководства
- легализованный инструмент контроля
- публичность обратной связи (обучения, наказания)

Типология нарушителей правил:
- Абсолютно законопослушные (АЗ): выполняют правила всегда и без контроля (5-10%)
- Абсолютно незаконопослушные (АНЗ): принципиально нарушают правила (5-10%)
- Условно законопослушные (УЗ): выполняют «разумные» правила, если их выполняют другие (40-45%)
- Условно незаконопослушные (УНЗ): не нарушают правил из-за угрозы наказания (40-45%)

Условия создания работающих правил:
- Правила одни для всех
- Правило «разбитых окон»
- Неотвратимость наказания

Этапы внедрения новых правил:
- декларация с уведомлением всех подверженных правилу
- введение контроля правила с уведомлением о нарушениях
- введение контроля правила с предупреждением о наказании
- наказание виновных в нарушении

Разные подходы для разных типов «законопослушности»:
- АЗ: используем как пример
- УЗ: вовлекаем, опираясь на АЗ
- АНЗ: избавляемся от них
- УНЗ: демонстрируем им наказанных АНЗ

Роль независимой системы контроля на разных этапах внедрения правила
- выделение АЗ
- демонстрация УЗ, что остальные правила выполняют
- сбор доказательств для наказания УНЗ
- увольнение АНЗ при систематическом нарушении

Изменение правил:
- создание «приемлемого профиля»
- отслеживание аномальных отклонений от профиля
- анализ ложных срабатываний
- адаптация правил и систем контроля

«Убийцы правил»
- частая их смена
- преступление без наказания
- неизолированные исключения

Обработка исключений:
- как объяснить всем, кого касаются правила, что некоторых правила не касаются
- как изолировать одних от других
- адаптация разных правил для разных групп

Сохранение управляемости:
- как управлять «шириной коридора»
- что делать, если инциденты больше не появляются
- ресурсный принцип: так настраивать систему, чтобы

Разбор кейса из реальной практики


На мастер-классе слушатели получат готовую методику пошагового внедрения корпоративных правил информационной безопасности, со временем выполняемых сотрудниками автоматически, на уровне «здесь так принято».

00:12 О теме мастер-класса. План мастер-класса

02:00 Понятие «корпоративная культура»

04:24 Об отличиях и общей черте корпоративных культур

05:30 Как сэкономить на правилах?

06:55 «Не хочу выглядеть идиотом»: а вы задумывались, почему люди выполняют правила?

10:30 Разделение правил по принципу легкости их выполнения

15:13 Недостаточно просто зафиксировать превышение скорости водителем, надо сообщить ему о том, что факт нарушения установлен: как сформировать принципы поведенческих паттернов?

20:22 Идеальное трио: правила, контроль, обратная связь

23:46 О главной ошибке специалиста по информационной безопасности

26:24 «Иногда проще дать человеку ошибиться, чем объяснять, почему этого делать нельзя»: о принципах формирования привычек

28:50 Без поддержки руководства не обойтись: почему проектам по информационной безопасности нужна поддержка руководителей?

30:36 Принцип «разбитых окон» в США и в России: каждый инцидент необходимо рассматривать как угрозу лавинообразного нарушения правил

34:35 Принцип неотвратимости наказания: обрабатывайте каждый инцидент

36:16 «Что русскому хорошо, немцу смерть»: учитывайте национальные особенности

39:46 О методике: типы людей по их отношению к правилам. Кейс №1 и Кейс №2

44:31 Идеальный процесс vs реальный

48:12 О принципе предельного количества инцидентов

49:10 Итоговый слайд с основными концепциями мастер-класса

Share

Cackle comments for the website

Buy this talk

Access to the talk «Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей»
Available
In cart
1 200 ₽
1 200 ₽
$19
$19
€ 18
€ 18

Video

Get access to all videos “Код ИБ ПРОФИ 2018 | Москва”
Available
In cart
9 900 ₽
9 900 ₽
$156
$156
€ 144
€ 144
Ticket

Interested in topic «IT»?

You might be interested in videos from this event

September 28 2018
Moscow
16
103
app store, apps, development, google play, mobile, soft

Buy this video

Video

Access to the talk 'Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей'
Available
In cart
1 200 ₽
1 200 ₽
$19
$19
€ 18
€ 18

Conference Cast

With ConferenceCast.tv, you get access to our library of the world's best conference talks.

Conference Cast
345 conferences
14099 speakers
4946 hours of content