Analitycy ds. bezpieczeństwa firmy Jadee Hanson zawsze zwracają uwagę na ryzykowne zachowania, nic więc dziwnego, że zauważają, iż ich koledzy z jednostki biznesowej zachowują się czasem w sposób niepokojący, np. publicznie udostępniają dokument, który może zawierać wrażliwe dane.

Kiedy tak się dzieje, analityk kontaktuje się ze współpracownikiem, aby ustalić, czy naruszył on jakieś zasady bezpieczeństwa i potwierdzić, że rozumie najlepsze praktyki firmy w zakresie bezpieczeństwa cybernetycznego.

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• 9 cech wielkich liderów IT

Jadee Hanson, CISO i CIO w Code42, firmie produkującej oprogramowanie do ochrony cybernetycznej, dostrzega wartość takich kontaktów. Mówi, że może ona wychwycić i skorygować problematyczne zachowania, zapewnić możliwość szkolenia w zakresie świadomości bezpieczeństwa i zidentyfikować potencjalne naruszenie zasad na wczesnym etapie. Dodaje jednak, że zauważyła również, że liczba incydentów wymagających uwagi działu bezpieczeństwa wpływa na jego organizację pracy.

Na przykład w 2021 roku zespół bezpieczeństwa zajął się 235 incydentami, w których wykorzystano wrażliwe dane uwierzytelniające na poziomie administratora. Zajęcie się każdym incydentem zajmowało około 10 minut - czasami więcej, co w sumie dało około 20 godzin czasu zespołu w ciągu roku; co więcej, każdy incydent przerywał istniejącą pracę analityków bezpieczeństwa i odciągał ich uwagę od ich zadań.

Jednocześnie pracownicy czasami czuli się niespokojnie, jakby ochrona obserwowała i monitorowała każdy ich ruch; to z kolei prowadziło do napiętych interakcji i wzmacniało negatywne stereotypy o tym, że ochrona jest departamentem nastawionym na „nie”. Zdeterminowani, aby znaleźć lepszy sposób, Hanson i jej zespół zwrócili się w stronę automatyzacji. Zaprojektowali i wdrożyli chatboty do reagowania na incydenty bezpieczeństwa związane z ryzykiem związanym z informacjami poufnymi. Przeszkolili boty z wykorzystaniem empatycznego podejścia do badania, aby zapewnić pozytywne relacje botów (a tym samym ochrony) z ich współpracownikami.

Cel: wykorzystanie automatyzacji i chatbotów do skuteczniejszej obsługi incydentów, a jednocześnie zapewnienie pozytywnych punktów kontaktowych między zespołem bezpieczeństwa a pracownikami oraz umożliwienie analitykom bezpieczeństwa skupienia się na bardziej strategicznych pracach związanych z cyberbezpieczeństwem. Ostatecznie projekt przyniósł Hanson i jej zespołowi nagrodę CSO50 z 2022 roku za innowacje w dziedzinie bezpieczeństwa. „Myślę, że w branży bezpieczeństwa dość mocno zmagamy się z tym, aby nadążyć, a to prowadzi do tego, że wielu z nas wypala się, próbując nadążyć za alertami i wszystkimi innymi codziennymi sprawami” - mówi Hanson. „Więc mój zespół stworzył roboty dla czegoś, co robimy na bardzo spójnej podstawie, zachowując ten sam ton i kulturę, którą chcemy przenieść do organizacji".

Postęp w wykorzystaniu automatyzacji

Dział bezpieczeństwa Code 42 wykorzystywał automatyzację do usprawnienia zadań w ramach swojej pracy operacyjnej przed wdrożeniem botów do zarządzania reagowaniem na incydenty związane z informacjami poufnymi, więc Hanson mówi, że wykorzystanie technologii do łączenia się z pracownikami firmy było naturalnym rozszerzeniem jej bieżącej pracy w zakresie automatyzacji.

Hanson chciała jednak zachować ludzki kontakt z tymi chatbotami. Hanson wyjaśnia, że ona i jej zespół chcieli, aby boty przybrały koleżeński ton, który naśladowałby życzliwość, jaką pracownicy ochrony starają się wzbudzić podczas pracy ze swoimi kolegami z biznesu.

„Chcę mieć pewność, że interakcje między botami a pracownikami mają ten sam ton i kulturę, którą ochrona stara się wnieść do organizacji. Jestem więc bardzo wybredna, jeśli chodzi o komunikację, ponieważ chcę mieć pewność, że będzie ona miała właściwy ton” - mówi Hanson.

"Słowa, których zespół bezpieczeństwa używa w rozmowach z pracownikami, są krytyczne i czasami się je pomija. Ale są one naprawdę bardzo ważne. Chcę, aby mój zespół ochrony był postrzegany jako pomocny, więc musimy myśleć o tym, jak chcemy, aby firma o nas myślała, zwłaszcza gdy docieramy do niej w ramach komunikacji”. Hanson mówi, że zwrócenie uwagi na ten temat procentuje w przypadku bezpieczeństwa.

„Przez długi czas organizacje zajmujące się bezpieczeństwem niejako obwiniały użytkownika końcowego, a my często mówimy „nie”. Myślę, że mamy dobre intencje - naszym zadaniem jest ochrona organizacji, więc musimy mówić "nie" i denerwujemy się, gdy użytkownicy końcowi robią coś, czego nie powinni robić. Ale nie wiem, czy wzięliśmy na siebie wystarczająco dużo odpowiedzialności. Naszym obowiązkiem jest edukowanie reszty organizacji na temat właściwego sposobu robienia czegoś. Naszym zadaniem jest również dowiedzieć się, jak powiedzieć „tak””, mówi. Warto najpierw założyć pozytywne intencje'

Aby zapewnić pozytywną interakcję między pracownikami a botami, zespół bezpieczeństwa Hanson oparł się na czymś, co nazywa ramami empatycznego dochodzenia, stworzonymi na podstawie kluczowych spostrzeżeń z własnego produktu Incydr.

„Podchodząc do użytkowników podczas dochodzenia w sprawie ryzyka związanego z informacjami poufnymi, analitycy bezpieczeństwa powinni zapewnić, że w interakcjach zastosują takt, empatię i ostrożność” - wyjaśnia. „Prowadzenie śledztwa w ten sposób to zmiana w stosunku do sposobu prowadzenia tradycyjnych dochodzeń w sprawie złośliwego oprogramowania. To nowe podejście zostało opracowane z czasem przez analityków zarządzających ryzykiem insiderów przy użyciu Code42 Incydr. Jest ono oparte na zasadzie, że pracownicy są zaufanymi ekspertami, którym umożliwia się wykonywanie pracy. Nie traktowałbyś kolegi z pracy tak samo jak zewnętrznego napastnika. W przypadku współpracownika najpierw zakładasz, że działał z pozytywnym zamiarem - być może przypadkowo udostępnił ten dokument zbyt szeroko lub nie znał naszych zasad dotyczących własności danych, ponieważ jest jeszcze nowy”. Hanson mówi, że zespół ds. bezpieczeństwa odkrył, że ich koledzy z jednostek biznesowych w rzeczywistości zwykle nie są świadomi, że podjęli ryzykowne działanie. „Przyjazna wiadomość lub rozmowa telefoniczna z pytaniem, czy dana osoba miała na myśli podjęcie tego działania, często wyjaśniała sprawę i działanie było szybko korygowane. Korzystaliśmy wtedy z okazji, aby przypomnieć im o protokole, przeszkolić lub udostępnić materiały źródłowe w danej chwili, co w dłuższej perspektywie znacznie przyczyniło się do zwiększenia świadomości bezpieczeństwa w kulturze naszej firmy”.

Biorąc pod uwagę, jak dobrze działa to podejście, Hanson mówi, że chciała, aby boty działały w ten sam empatyczny sposób.

„Wiadomość [automatyczna] wygląda tak, jakby pochodziła od mojego analityka ds. ryzyka związanego z informacjami poufnymi; mimo że bot wykonuje pracę, używa jego tonu, a ludzie mają poczucie, że to on wysłał tę notatkę i jest w niej naprawdę miły” - mówi.

Hanson twierdzi, że automatyzacja reakcji na incydenty związane z ryzykiem związanym z wykorzystaniem informacji poufnych pozwala zaoszczędzić czas zarówno analitykom ds. bezpieczeństwa, jak i pracownikom wykonującym czynności związane z wysokim poziomem bezpieczeństwa, a dzięki otwartemu i spójnemu dialogowi wspiera pozytywne relacje między pracownikami działu bezpieczeństwa a innymi pracownikami.

Dodaje również, że dotychczasowa automatyzacja napędza dalszą automatyzację w ramach programu bezpieczeństwa.

Hanson i jej zespół dzielą się informacjami na temat empatycznej struktury dochodzeniowej, a także swoim technicznym podręcznikiem do wykorzystania w szczególności z Palo Alto Cortex XSOAR i Slack, aby zachęcić do rozwoju otwartego źródła i wkładu w społeczność bezpieczeństwa.

Źródło: CSO