Лидеры в области кибербезопасности партнерского контента ведут невидимую войну не только с участниками угроз, но и внутри своих собственных организаций. Я потратил много времени на размышления об этом конфликте, особенно когда задумался о том, почему некоторые руководители организаций принимают те или иные решения.
Война ведется между технологиями и управлением человеческими рисками (HRM). В то время как руководители служб безопасности настаивают на надежной, многоуровневой защите, руководители часто ставят во главу угла доходы, а технологи предпочитают решения, которые они могут контролировать. Кажется, что все они обходят человеческий фактор стороной.Давайте разберемся, почему лидеры неосознанно саботируют собственные стратегии обеспечения безопасности таким образом. Мы рассмотрим внутренние противоречия между технологами, руководителями служб безопасности и топ-менеджерами, которым приходится балансировать между финансовыми целями и инвестициями в кибербезопасность. Мы рассмотрим, как организации обходят стороной управление персоналом. Затем мы рассмотрим практические способы, с помощью которых руководители могут найти этот важнейший баланс для более эффективной защиты своего бизнеса.
Напряженность в отношениях между технологами и менеджерами по управлению рисками
Технологи и специалисты по управлению персоналом постоянно борются за принятие решений в области кибербезопасности. Технологи специализируются на создании и обслуживании систем, которые они понимают и которым доверяют, в то время как руководители, сосредоточенные на управлении человеческими рисками, стремятся устранить уязвимости, связанные с действиями и поведением сотрудников.
Разница в фокусе внимания существенна. Лидерам в области безопасности, выступающим за изменение поведения и стратегии управления персоналом, часто трудно завоевать доверие коллег. Это особенно сложно, когда команды руководителей сосредоточены на получении прибыли, а технологи предпочитают реальные решения, такие как инструменты и системы.
Управление человеческими рисками: Недооцененная основа истинной безопасности
Будучи управляющим директором компании, входящей в список Fortune 500, я неоднократно сталкивался с недосмотрами со стороны руководства, включая руководителей служб безопасности и руководителей высшего звена. Они не рассматривали управление персоналом как важнейший компонент кибербезопасности, поскольку оно не обеспечивало многомиллионных продаж, которые они получали благодаря передовым технологическим решениям. Руководители высшего звена предпочитали инвестиции, которые они могли представить клиентам как инновационные, в то время как технологи предпочитали инструменты, отражающие их опыт.
Вот факт, который руководители игнорируют на свой страх и риск: большинство утечек данных происходит из-за человеческой ошибки, а не из-за сбоя технологии. Открытие фишинговых писем, повторное использование слабых паролей в разных системах, использование тактики социальной инженерии или просто неправильная настройка систем являются причиной большинства сбоев в системе безопасности. Несмотря на это, руководители по-прежнему обращаются к следующему важному инструменту в сложной, изменяющей культуру работе по устранению уязвимостей человека.
Предвзятость технолога и ее влияние на безопасность
Специалисты в области ИТ и безопасности часто отдают предпочтение тому, с чем они знакомы и чувствуют себя уверенно при внедрении. Например, приобретение передовых инструментов для обнаружения угроз или облачной безопасности дает ощущение контроля.
При таком подходе к технологиям приоритет отдается инструментам, а не результату. Многие технологические лидеры стремятся приобрести эти инструменты не потому, что они являются наиболее эффективными решениями для организации, а потому, что они соответствуют их опыту.
Технологии не остановят изощренную фишинговую атаку, если сотрудники не готовы к этому. Как лидер в области безопасности, вы инвестируете в новейшую платформу, основанную на искусственном интеллекте, или направляете ресурсы на обеспечение поддержки инициатив по управлению персоналом в организациях? Самым простым путем всегда будут технологии, потому что культурные изменения — это сложный процесс. Но, не уделяя приоритетного внимания обоим аспектам, вы оставляете уязвимости без внимания.
Миссия против технологии: правильно ли понимают руководители?
Вот фундаментальный вопрос, который следует задать себе как руководителю или руководителю службы безопасности: если ваша основная миссия заключается в защите организации, относитесь ли вы к управлению персоналом так же безотлагательно, как к внедрению новых инструментов?Целеустремленный лидер понимает, что обе стратегии должны сосуществовать, и сосредоточен на создании сильной культуры кибербезопасности наряду с инвестициями в технологии. Однако, если миссия не является движущей силой принятия решений, будет преобладать путь наименьшего сопротивления, и организация рискует создать ложное чувство безопасности. Руководители должны заставить себя критически задуматься о том, почему они постоянно отказываются от технологий, в то время как человеческий фактор не менее важен для успеха.
Роль консультантов в формировании управленческих решений
Консалтинговые фирмы, работающие с руководителями служб безопасности, часто помогают отделу управления персоналом принимать решения в обход руководства. Они часто предпочитают высокодоходные технологические решения менее эффектным, но более полезным методам управления человеческими рисками. Это закрепляет технологический уклон.
Руководители служб безопасности должны подталкивать партнеров-консультантов к расширению их взглядов на кибербезопасность. Разработал ли ваш консультант «дорожную карту» для устранения человеческих рисков и согласования культурных особенностей, или он слишком сосредоточен на технологиях?
Упрощение интеграции для руководителей служб безопасности и топ-менеджеров
Преодоление разрыва между управлением персоналом и технологиями может показаться непосильным для занятых руководителей, но это не обязательно так. Система кибербезопасности NIST и стандарт ISO 27001 ориентируют руководителей на интеграцию кадрового и технологического контроля. Они указывают на практические пути внедрения управления персоналом в существующие инициативы по кибербезопасности.Лидеры в области безопасности и технологий также могут обратиться к платформам управления персоналом для решения проблем кибербезопасности. Эти платформы дополняют тренинги по повышению осведомленности о безопасности и имитационные фишинговые кампании для повышения вовлеченности сотрудников, оценки прогресса и создания культуры, в которой каждый играет свою роль в обеспечении безопасности.
Отраслевые руководства или методички могут помочь руководителям перейти от долгосрочных стратегий обучения к инициативам по адаптации к культурным традициям. Руководители служб безопасности могут использовать их, чтобы преодолевать сложности и внедрять значимые изменения шаг за шагом.Руководители служб безопасности часто упускают из виду невидимую войну между технологиями и управлением персоналом. Легче отдавать предпочтение решениям, которые являются осязаемыми, востребованными на рынке или быстро внедряемыми. Но настоящая безопасность организации требует сосредоточения внимания на том, что менее заметно, но зачастую более важно: на людях. Задача состоит в том, чтобы найти лидеров, у которых хватит смелости добиваться баланса, даже когда они сталкиваются с конкурирующими приоритетами.
Для технологов, руководителей и специалистов по безопасности вывод прост. Защита организации — это не просто внедрение новейших инструментов, это защита людей, которые в ней работают.
Вклад OutThink.
