След повече от две десетилетия на изграждане на все по-зрели архитектури за киберсигурност организациите се изправят пред едно твърдо заключение: технологиите сами по себе си не са достатъчни за ефективно намаляване на риска. Докато инструментите стават по-сложни и способни, атакуващите все по-често се насочват към човешкия фактор, а не само към инфраструктурните уязвимости.

Данните ясно показват тенденцията – пет поредни години Verizon Data Breach Investigations Report сочи, че именно човешкото поведение е основният двигател на пробивите. Последното издание отчита, че близо 60% от всички инциденти през 2024 г. включват „човешки елемент“. Въпреки това, често срещаната фраза „хората са най-слабото звено“ подвежда. Проблемът не е в служителите, а в средата, в която те работят – сложни политики, прекалено техничен език и правила, създадени повече за одитори, отколкото за реалните потребители.

Истинското решение не е внедряване на още технологии или по-строги правила, а изграждане на организационна култура на сигурност, която подкрепя и насърчава правилното поведение. Докато тази култура не бъде приоритизирана наравно с технологиите, човешкият риск ще продължи да подкопава дори най-добрите програми за защита.

Какво е култура на сигурност?

Всяка организация вече има определена култура на сигурност, но въпросът е дали това е културата, която тя наистина иска. Тя представлява споделените възприятия, нагласи и вярвания относно киберсигурността. Дали служителите вярват, че сигурността е важна? Чувстват ли се отговорни? Виждат ли себе си като потенциална цел?

Ако отговорът е положителен, поведението естествено следва тези убеждения. Ако обаче сигурността се възприема като чужда отговорност или пречка за продуктивността, рисковете нарастват значително. За да се променят навиците на хората, е необходимо средата да бъде изградена така, че да насърчава и улеснява правилното поведение.

Четирите основни лоста на културата на сигурност

1. Лидерски пример – културата започва от върха. Ако ръководството отделя ресурси, свързва резултатите със сигурността и ясно подкрепя ролята на CISO, посланието е силно.

2. Работа на екипа по сигурност – ежедневният контакт със служителите оформя отношението им. Екипът може да бъде партньор или пречка – това директно влияе върху доверието.

3. Дизайн на политики – когато правилата са прекалено сложни и технически, те отблъскват. Когато са ясни и приложими, укрепват доверието.

4. Обучение по сигурност – ако е остаряло и скучно, то създава впечатление, че темата не е важна. Ако е актуално и свързано с ежедневната работа, изгражда отговорно поведение.

Значението на синхронизацията

Истинската стойност идва от съгласуваността между тези четири елемента. Ако лидерите заявяват, че сигурността е приоритет, но служителите се сблъскват с непрактични политики или неглижиращи екипи по сигурност, доверието се разпада. Обратното – когато посланията, действията и ежедневните практики са в синхрон, културата на сигурност се превръща в естествена част от организационния живот и значително намалява риска.