Làm thế nào để giảm lỗi của con người trong các sự cố bảo mật thông tin

Theo Đánh giá của Giám đốc An ninh Thông tin IBM năm 2014 , 95% các sự cố bảo mật thông tin liên quan đến lỗi của con người. Lỗi của con người không chỉ là yếu tố quan trọng nhất ảnh hưởng đến an ninh, mà nó còn là yếu tố chính trong các vụ tai nạn hàng không và lỗi y tế. Các nhà quản lý rủi ro bảo mật thông tin và giám đốc an ninh thông tin có thể được hưởng lợi từ những hiểu biết của các nghiên cứu về yếu tố con người trong các ngành này để giảm lỗi của con người liên quan đến an ninh.

Lỗi của con người là gì?

Lỗi của con người thường được định nghĩa là các trường hợp trong đó các hành động, quyết định hoặc hành vi được lên kế hoạch giảm – hoặc có khả năng giảm – chất lượng, an toàn và bảo mật. Ví dụ về lỗi của con người liên quan đến bảo mật thông tin bao gồm:

  • Cấu hình sai hệ thống;
  • Quản lý bản vá kém;
  • Sử dụng tên người dùng và mật khẩu mặc định hoặc mật khẩu dễ đoán;
  • Mất thiết bị;
  • Tiết lộ thông tin qua một địa chỉ email không chính xác;
  • Nhấp đúp vào URL hoặc tệp đính kèm không an toàn;
  • Chia sẻ mật khẩu với người khác;
  • Để máy tính không giám sát khi ở ngoài nơi làm việc;
  • Sử dụng các thiết bị di động thuộc sở hữu cá nhân kết nối với mạng của tổ chức.

Các kỹ sư trong ngành hàng không cho rằng các sự cố nghiêm trọng không phải do một lỗi của con người gây ra, mà là do sự liên kết đáng tiếc của một số sự kiện riêng lẻ. Sự cố xảy ra khi một loạt các sự kiện nhỏ xảy ra liên tiếp và / hoặc đồng thời. Dễ thấy song song với các sự cố bảo mật thông tin, thường xảy ra do sự kết hợp giữa lỗi của con người và sự bất cập về bảo mật.

Chiến lược khắc phục lỗi của con người

Các tổ chức áp dụng nhiều chiến lược để bảo mật thông tin. Nhiều trong số này dựa trên những bài học từ kỷ luật kỹ thuật nhân tố con người. Một số ví dụ nổi tiếng bao gồm:

  1. Loại bỏ các chiến lược khiến người dùng hệ thống có thể mắc lỗi. Ví dụ: bạn có thể sử dụng các biện pháp bảo vệ tự động như mật mã , quản lý mật khẩu, quản lý danh tính và truy cập , quy tắc truy cập mạng và khóa chờ tự động.
  2. Sử dụng phương pháp tiếp cận chiến lược phòng ngừa để hỗ trợ ai đó thực hiện đúng các nhiệm vụ, chẳng hạn như danh sách kiểm tra, chiến dịch nâng cao nhận thức , thủ tục, biện pháp kỷ luật, đe dọa kiện tụng, đào tạo và đào tạo lại.
  3. Sử dụng chiến lược giảm thiểu để giảm thiểu hậu quả của lỗi bằng cách đảm bảo các cơ chế phát hiện được áp dụng để khắc phục các tình huống trước khi chúng trở thành sự cố. Ví dụ bao gồm kiểm toán, kiểm soát nội bộ, giải pháp phát hiện vi phạm , giám sát và giám sát hệ thống.

Phát triển các chương trình hữu ích

Ngoài ra, các ngành công nghiệp hàng không và chăm sóc sức khỏe hỗ trợ cách tiếp cận phòng ngừa lỗi toàn diện để thay đổi các điều kiện trong tổ chức, môi trường và hệ thống mà mọi người làm việc cùng. Những chiến lược mang tính hệ thống (kỹ thuật xã hội) này có thể mang lại lợi ích lớn cho an ninh thông tin.

Crew resource management (CRM) là một chương trình đào tạo được phát triển cho các phi hành đoàn hàng không để học cách quản lý và ứng xử trong một sự cố. Đào tạo CRM bao gồm giao tiếp, nhận thức tình huống, giải quyết vấn đề, ra quyết định và làm việc theo nhóm. Việc áp dụng CRM trong chăm sóc sức khỏe và hàng không đã được chứng minh là giảm đáng kể lỗi. Khi áp dụng phương pháp này vào bảo mật thông tin, điều quan trọng là phải nhận ra rằng con người là mối liên kết mạnh nhất của bạn trong thời kỳ khủng hoảng. Sự cố an ninh sẽ xảy ra, và nhân viên nên được đào tạo để nhận ra và chứa chúng. Diễn tập các tình huống có thể xảy ra với nhóm của bạn và dành thời gian để tưởng tượng các rủi ro khác sẽ chuẩn bị cho nhóm cho các kịch bản có thể xảy ra. Trong trường hợp vi phạm dữ liệu đang diễn ra, nhân viên sẽ được chuẩn bị để sử dụng tốt nhất các thiết bị, quy trình và lẫn nhau.

Hàng thập kỷ dữ liệu từ các hệ thống báo cáo sự cố hàng không đã được sử dụng hiệu quả để thiết kế lại máy bay, hệ thống kiểm soát không lưu, sân bay và đào tạo phi công. Các chuyên gia bảo mật thông tin cũng nên tiếp tục phân tích các sự cố bảo mật và gần bỏ lỡ. Không có phân tích như vậy, không có cách nào để phát hiện ra lỗi lặp lại. Điều tra nên nhắm mục tiêu những người liên quan, nhóm, nơi làm việc, tổ chức, bên thứ ba và hệ thống công nghệ thông tin và truyền thông. Vấn đề quan trọng không phải là ai đã thừa, mà là tại sao và tại sao vụ việc xảy ra.

Từ lâu, người ta đã nhận ra rằng phiền nhiễu, mệt mỏi, khối lượng công việc, điều kiện môi trường kém và hệ thống và thiết kế quy trình kém ảnh hưởng đến số lượng lỗi y tế. Những yếu tố này cũng nên được đưa vào đánh giá rủi ro bảo mật thông tin. Ví dụ, các nhân viên làm việc quá sức có nhiều khả năng đi chệch khỏi hành vi bảo mật dự kiến.

Cuối cùng, lãnh đạo là điều cần thiết để thay đổi các điều kiện mà bạn làm việc. Các nhà vô địch của địa phương cam kết bảo mật thông tin.

Đó là lỗi của con người, và chúng không bao giờ có thể được ngăn chặn 100 phần trăm. Một hỗn hợp các chiến lược có thể giúp ngăn ngừa lỗi của con người biến thành sự cố an ninh. Thành công trong việc giảm lỗi của con người trong ngành hàng không mang lại hy vọng, trong khi các nghiên cứu về lỗi y khoa cung cấp cái nhìn sâu sắc có giá trị. Bảo mật thông tin có thể cải thiện đáng kể khi bạn tiếp tục học hỏi từ các ngành khác và hợp tác để chia sẻ kiến ​​thức.

bình luận

Leave a Comment