Duration 50:59
16+
Play
Talk video

Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей

The audio is available only after a purchase
To tickets
The files are available only after a purchase
To tickets
Рустем Хайретдинов
Заместитель генерального директора at InfoWatch
  • Video
  • Audio
  • Files
  • Video
  • Audio
  • Files
Код ИБ ПРОФИ 2018 | Москва
March 1 2018, Москва, Россия
Код ИБ ПРОФИ 2018 | Москва
Video
Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей
Purchased
In cart
1 200 ₽
1 200 ₽
$19.19
$19.19
€ 17,20
€ 17,20
To favorites
41
I like 1
I dislike 0
Purchased
In cart
1 200 ₽
1 200 ₽
$19.19
$19.19
€ 17,20
€ 17,20
  • Description
  • Discussion

About speaker

Автор курсов, посвященных различным аспектам взаимодействия информационной безопасности и бизнеса. Преподает на курсах MBA в РАНХиГС при президенте РФ, на курсах повышения квалификации сотрудников информационной безопасности ЦИБИТ, корпоративных университетов. Имеет ряд публикаций в российской прессе по вопросам корпоративных продаж. Свободно владеет английским языком. С 2017 года, Рустэм Хайретдинов — генеральный директор компании Attack Killer.

About talk

Topic: IT

Средства корпоративной информационной безопасности почти никогда не работают «сами по себе», а требуют соблюдения пользователями определённых правил, то есть ограничений в поведении. Будут ли такие правила выполняться естественно и автоматически или будут постоянно саботироваться, зависит как от самих правил, так и от методики их внедрения. Правила, выполняющиеся всеми сотрудниками автоматически, снижают стоимость средств контроля, требуют меньше внимания со стороны контролирующих и уменьшают количество нарушений. Курс представляет методику мягкого прививания корпоративных правил персоналу на основе постепенного введения в корпоративную культуру четких и понятных правил, эффективных средств контроля и чёткой и неотвратимой обратной связи с учётом различных психотипов сотрудников.

Одних технических мер для обеспечения информационной безопасности недостаточно, особенно во внутренней безопасности:
- многое нельзя запретить легальным пользователям
- большое количество false positives при попытках вмешиваться в бизнес-процессы
- ограниченные ресурсы на контроль и наказание сотрудников: на каждое наказание надо заполнять кучу бумаг

Основные принципы внедрения корпоративных правил на уровень автоматической «самоцензуры»:
- чёткие и однозначные правила
- независимый инструмент контроля
- понятная и неотвратимая обратная связь
- пошаговое внедрение

Основные ресурсы при внедрении правил:
- «покровитель проекта» из бизнес-руководства
- легализованный инструмент контроля
- публичность обратной связи (обучения, наказания)

Типология нарушителей правил:
- Абсолютно законопослушные (АЗ): выполняют правила всегда и без контроля (5-10%)
- Абсолютно незаконопослушные (АНЗ): принципиально нарушают правила (5-10%)
- Условно законопослушные (УЗ): выполняют «разумные» правила, если их выполняют другие (40-45%)
- Условно незаконопослушные (УНЗ): не нарушают правил из-за угрозы наказания (40-45%)

Условия создания работающих правил:
- Правила одни для всех
- Правило «разбитых окон»
- Неотвратимость наказания

Этапы внедрения новых правил:
- декларация с уведомлением всех подверженных правилу
- введение контроля правила с уведомлением о нарушениях
- введение контроля правила с предупреждением о наказании
- наказание виновных в нарушении

Разные подходы для разных типов «законопослушности»:
- АЗ: используем как пример
- УЗ: вовлекаем, опираясь на АЗ
- АНЗ: избавляемся от них
- УНЗ: демонстрируем им наказанных АНЗ

Роль независимой системы контроля на разных этапах внедрения правила
- выделение АЗ
- демонстрация УЗ, что остальные правила выполняют
- сбор доказательств для наказания УНЗ
- увольнение АНЗ при систематическом нарушении

Изменение правил:
- создание «приемлемого профиля»
- отслеживание аномальных отклонений от профиля
- анализ ложных срабатываний
- адаптация правил и систем контроля

«Убийцы правил»
- частая их смена
- преступление без наказания
- неизолированные исключения

Обработка исключений:
- как объяснить всем, кого касаются правила, что некоторых правила не касаются
- как изолировать одних от других
- адаптация разных правил для разных групп

Сохранение управляемости:
- как управлять «шириной коридора»
- что делать, если инциденты больше не появляются
- ресурсный принцип: так настраивать систему, чтобы

Разбор кейса из реальной практики


На мастер-классе слушатели получат готовую методику пошагового внедрения корпоративных правил информационной безопасности, со временем выполняемых сотрудниками автоматически, на уровне «здесь так принято».

Share

Cackle comments for the website

Buy this talk

Access to the talk «Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей»
Purchased
In cart
1 200 ₽
1 200 ₽
$19.19
$19.19
€ 17,20
€ 17,20

Video

Access to all videos «Код ИБ ПРОФИ 2018 | Москва»
Purchased
In cart
9 900 ₽
9 900 ₽
$158.30
$158.30
€ 141,94
€ 141,94
Ticket

Interested in topic «IT»?

You might be interested in videos from this event

April 11 2019
Баку
7
0
код иб

Similar talks

Кирилл Ермаков
Разработчик at QIWI
Purchased
In cart
1 200 ₽
1 200 ₽
$19.19
$19.19
€ 17,20
€ 17,20
Олег Кузьмин
Руководитель направления информационной безопасности at АО "Концерн ВКО "Алмаз-Антей"
Purchased
In cart
1 200 ₽
1 200 ₽
$19.19
$19.19
€ 17,20
€ 17,20
Кирилл Мартыненко
Заместитель директора Управления стандартов и процессов ИБ at Сбербанк России
Purchased
In cart
1 200 ₽
1 200 ₽
$19.19
$19.19
€ 17,20
€ 17,20

Buy this video

Video

Access to the talk 'Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей'
Purchased
In cart
1 200 ₽
1 200 ₽
$19.19
$19.19
€ 17,20
€ 17,20

Conference Cast

ConferenceCast.tv — conference video talk archive.

With this service you can find interesting talks especially for you!

Conference Cast
576 conferences
12344 speakers
6145 hours of content