За что нас обманывают? Неприглядная сторона руководств по безопасности

Инструкции по кибербезопасности, которые вы получаете на работе, могут вызвать недоумение? Вы не одни. Согласно недавнему исследованию , в формулировке этих руководств существует ряд проблем. Авторы предлагают простые меры по совершенствованию руководств, что, вероятно, приведет к повышению грамотности сотрудников в компьютерной безопасности.

Основной вопрос касается протоколов кибербезопасности, предоставляемых учреждениями – от бизнеса до госорганов – своим сотрудникам. Цель таких протоколов – помочь сотрудникам защитить личные и корпоративные данные от угроз, таких как вредоносные программы и атаки с использованием социальной инженерии.

Брэд Ривз, соответствующий автор исследования и ассистент профессора компьютерных наук в Университете Северной Каролины, отмечает: “В некоторых случаях я даже не знаю, откуда идет совет или на чем он основан. Кто пишет эти руководства? На чем они основывают свои советы?”

В ходе исследования было проведено 21 глубокое интервью с профессионалами, ответственными за написание руководств по кибербезопасности для крупных корпораций, университетов и государственных органов. Основной вывод: авторы стараются предоставить как можно больше информации, но не выделяют наиболее важные моменты.

Одна из причин, почему инструкции могут быть такими перегруженными, заключается в том, что их авторы стремятся учесть все возможные рекомендации из различных авторитетных источников, а не отбирать наиболее релевантные.

На основе полученных данных исследователи сформулировали два предложения по улучшению будущих инструкций. Во-первых, авторам необходим набор лучших практик по отбору информации. Во-вторых, сообщество кибербезопасности должно разрабатывать ключевые послания, понятные для аудитории с разным уровнем технической подготовки.

Ривз добавляет: “Нам нужно создавать руководства, которые легко понимать и применять”. На заключительной ноте он подчеркивает важность поддержки авторов рекомендаций, так как они играют ключевую роль в превращении открытий в области кибербезопасности в практические советы.

“Я также хочу подчеркнуть, что в случае инцидента с компьютерной безопасностью мы не должны винить сотрудника за то, что он не соблюдает одно из тысяч правил безопасности. Нам нужно лучше работать над созданием руководящих принципов, которые легко понять и реализовать”.

Public Release.