"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка

"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности
начало
о компании услуги вопрос-ответ осторожно! информация отдых контакты

 

 







год основания службы безопасности  АМУЛЕТ

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Предвзятости, убивающие программу безопасности


Решения, принимаемые руководителями охранных предприятий и корпоративных служб безопасности, нередко подвергаются воздействию субъективных предубеждений и предвзятостей, многие из которых, отмечает Якумар Виджаян в онлайновом издании Chief Security Officer, 20 July 2021, далеко не очевидны на первый, поверхностный взгляд.

Сунил Ю, директор информационной защиты в компании JupiterOne (провайдер технологий по управлению имуществом, не путать с известной рок-группой Jupiter One), обращает внимание на человеческий фактор как наиболее распространенную причину инцидентов безопасности, особенно в сфере кибербезопасности. Сунил Ю и другие эксперты называют следующие типичные заблуждения, которые следовало бы избегать офицерам корпоративной безопасности:

  1. Заданность восприятия

Речь идет о безапелляционном убеждении, что кажущийся путь решения проблемы  - единственный верный. Заданность восприятия проявляется в тех случаях, когда вы некритично берете на вооружение информацию, подтверждающую вашу раннюю точку зрения, прошлый опыт, говорит Рик Холланд, начальник безопасности Digital Shadows (услуги по управлению цифровыми рисками). При этом отвергается возможность рассмотрения альтернативных суждений и подходов.

  1. Слепое копирование, подверженность моде

Руководители охранных предприятий иногда выбирают облегченный путь, автоматически перенимая чужой  опыт под предлогом, что «так поступают все». Например, вводят определенный контроль по отслеживанию рисков в соответствии с «общепринятой практикой», даже если этот контроль лишь частично работает в вашей компании, либо вообще бесполезен. Важно научиться минимизировать влияние стадного мышления, замечает Холланд. Шаблонные групповые подходы случаются тогда, когда люди стремятся к обязательному консенсусу  и готовы согласиться с любым мнением, которое разделяется большинством.

  1. Склонность к запоздалым решениям

 Сунил Ю характеризует данное заблуждение как «иллюзию понимания происходящего, хотя на самом деле реальное понимание отсутствует». Например, те или иные уязвимости в системах физической охраны или кибербезопасности долгое время остаются незамеченными, пока не случится инцидент безопасности. Разбираясь в нем, вы приходите к выводу, что могли бы обнаружить проблему ранее, не дожидаясь сбоя. При этом у вас может появиться фальшивая уверенность, что полученный урок поможет избежать ошибки в будущем. Это не так. Даже успешный прошлый опыт не дает гарантии обнаружения новых проблем.

  1. «Нам начальство не разрешает»

Руководители корпоративных СБ иногда оправдывают собственные бездействие, безынициативность, апеллируя к факторам вне их контроля. Они твердо уверены, что их предложения не пройдут через правление компании. И часто ошибаются. Джон Пескаторе, директор отдела изучения новых тенденций в охранной индустрии SANS Institute, замечает, что в некоторых организациях руководители давно используют двухфакторную идентификацию, включая биометрию, в работе с персональными онлайновыми финансовыми аккаунтами. А их офицеры по безопасности об этом не догадываются, полагая, что такого рода предложения с их стороны «зарубят на корню».

  1. Эффект привязки

Некоторые менеджеры склонны хвататься за первую порцию новой информации, рассматривая ее как основу для скороспелых решений. Между тем, отмечают эксперты, картина, возникающая в начале исследования (мониторинга), как правило, не полная, может в корне меняться к завершению проекта.  Когда в службе безопасности не хватает собственных ресурсов для отслеживания и определения угроз, бывает, что обращаются к общедоступным источникам, например, к СМИ или социальным сетям, говорит Кристофер Пьерсон, основатель и глава охранного предприятия Blackcloak. Перенос чужого, даже вполне авторитетного мнения на собственную практику редко дает хороший результат. Но таким подходом обычно грешат не специалисты, заседающие в правлении компании.

  1. Излишний акцент на «язык бизнеса»

Якумар Виджаян считает, что в последние годы руководители охраны и корпоративной безопасности чрезмерно большое внимание уделяют т.н. «языку бизнеса» в своих отчетах, докладах и предложениях первым лицам. С ним согласен Ричард Стинон, глава IT-Yarvest (анализ и публицистика в сфере кибербезопасности): «Офицерам по безопасности часто рекомендуют обращаться к руководителям организации на  языке, характерном для финансового директора. Такой прием может привести бизнесменов, топ-менеджеров к неверным решениям, поскольку порождают иллюзию, что они сами могут легко управлять рисками».

  1. Разработчики интернет приложений не заботятся о безопасности

Так считают большинство специалистов по кибербезопасности. «Подобная ситуация действительно была несколько лет назад, но сегодня она меняется к лучшему», утверждает Пескаторе. Большинство архитекторов софта рассматривают приватность персональных данных, безопасность как необходимое функциональное требование к их продукции.

  1. «Cлепая» самоуверенность

Кристофер Пьерсон так характеризует данный недостаток: «Начальник безопасности убежден, что он менее подвержен влиянию субъективных предубеждений и предвзятостей, чем все, кто его окружает. Такое самомнение чревато грубыми просчетами и ошибками в выстраивании и осуществлении программ безопасности».


вернуться назад версия для печати
карта сайта




 
  

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru