Об авторе Дэйве Верме, MSc.
Дэйв Верма признан в Великобритании корпоративным консультантом по борьбе с мошенничеством, он читал лекции по всем связанным темам, включая борьбу с коррупцией, оценку рисков мошенничества и мошенничество при закупках. Дэйв также является основателем MARA COMBAT SYSTEM, которую он основал в 2012 году. Он основал эту боевую систему после 30 лет в боевых искусствах и получил черные пояса в корейской, китайской и японской системах.
Ссылка на первую часть статьи здесь.
Введение:
В первой статье мы предложили, чтобы для развития и поддержания эффективной корпоративной безопасности и мастерства в боевых искусствах требовались три основных фундаментальных атрибута, а именно УВАЖЕНИЕ, ДИСЦИПЛИНА и ЭТИЧЕСКОЕ ПОВЕДЕНИЕ.
Мы расширили обсуждение, подробно объяснив десять общих черт между корпоративной безопасностью и боевыми искусствами:
- Общие угрозы изнутри и извне.
- Угрозы социальной инженерии растут.
- «Видоизменение» угроз — основная цель.
- «Блокирование» как основная линия защиты не является эффективной стратегией.
- Упреждающие, превентивные и часто упреждающие стратегии — лучшая стратегия.
- Ключевым моментом является получение практического осознания угроз.
- Общие угрозы информационной безопасности.
- Мошенничество при закупках — обычное дело.
- Похищение сотрудника, похищение детей, вымогательство — основные угрозы.
- Эффективное обучение высочайшего качества — очень желательное решение в борьбе с этими угрозами.
Выявив основные общие проблемы выше, мы поняли некоторые ключевые общие стратегии, которые можно было бы использовать для борьбы с этими угрозами:
- Включение оценки рисков
- Приверженность высшего уровня к выявлению, предупреждению и преследованию правонарушителей.
- Использование упреждающих методов атаки.
- Внедрение «культуры» безопасности и этики.
- Взаимодействие с более широким сообществом правоохранительных органов.
- Обеспечение эффективного использования периметров, установление «доверия» и разработка надежной методологии реагирования на стихийные бедствия.
- Приверженность использованию контролируемой агрессии вместе с технологиями для отслеживания подозрительной деятельности, ведения наблюдения, а также контр-наблюдения, шпионажа и контрразведки.
- Внедрение осведомленности о безопасности информационных технологий и стратегий реагирования.
- Разработка эффективных стратегий реагирования на стихийные бедствия.
- Обеспечение четких ролей, обязанностей и ответственности для всего вышеперечисленного.
Как указывалось ранее, цель данной статьи — сосредоточить внимание на конкретных и важных общих чертах обучения для обеих дисциплин.
В этой статье мы выбрали следующие три основных типа обучения:
- Тренинг по борьбе с инфильтрацией
- Обучение безопасности информационных технологий
- Превентивные методы нападения
Очевидно, что существуют и другие распространенные методы обучения, однако их изучение в этой статье может оказаться громоздким. Возможно, появятся возможности для дальнейших работ по их изучению позже.
Вышеупомянутые три распространенных метода обучения потенциально могут принести наибольший результат с точки зрения «окупаемости инвестиций».
Цель обучения — перейти от «бессознательной некомпетентности» к «сознательной некомпетентности», стать «сознательно компетентным» и, наконец, стать бессознательно компетентным. Именно здесь наши навыки становятся наиболее эффективными, потому что они укоренились и, следовательно, стали рефлексивными.
Ниже представлена учебная программа высокого уровня, которую я использовал при проведении обучения по этим трем темам.
Обучение антиинфильтрации корпоративной безопасности
Основные задачи обучения
Основными задачами корпоративного обучения по борьбе с проникновением являются информирование корпоративного подразделения сверху вниз о значительных рисках с точки зрения преступников, желающих проникнуть в организацию. Без методов борьбы с проникновением, используемых в организации, возможности для преступной деятельности варьируются от различных видов преступных действий, связанных с мошенничеством, взяточничеством, коррупцией, конфликтами интересов и кражей интеллектуальной собственности, до крупномасштабного промышленного саботажа и шпионажа на местном, конкурентном или международный уровень.
На более детальном уровне обучение должно расширять возможности конкретных и ключевых сотрудников. Это расширение прав и возможностей должно помочь им выполнять свои конкретные роли с большей добавленной стоимостью иным образом, получив необходимую осведомленность о том, как использовать как мягкие, так и жесткие навыки, с помощью которых можно сдерживать и обнаруживать преступников, пытающихся проникнуть.
Основные обязанности
Обучение не должно оставлять у организации никаких сомнений в том, что ключевая подотчетность лежит на высших должностных лицах / членах правления корпоративного юридического лица. Они должны должным образом выполнять эту обязанность через назначенных директоров, которые выполняют свои обязанности через менеджеров, которые, в свою очередь, распространяют информацию о конкретных задачах и подотчетности конкретному персоналу, штату или младшим должностным лицам. Все это следует измерять с помощью строгих процессов управления эффективностью, чтобы гарантировать, что ответственность действительно происходит, а не просто на словах или написано в правилах, которые на практике никогда не соблюдаются.
Критерии успеха / результаты
Ключевым критерием успеха этого обучения является то, что преступное сообщество инстинктивно интуитивно интуитивно понимает, что конкретные организации не являются теми, на кого они хотят нацеливаться в целях проникновения. Более измеримым результатом будет то, что попытки проникновения будут обнаружены, помечены для расследования, а преступники будут преследоваться как внутри страны, так и в сотрудничестве с более широким сообществом правоохранительных органов.
Хотя может потребоваться первоначальная деятельность по перемещению на местном уровне, более широкая цель состоит в том, чтобы сдерживать деятельность целых отраслей, географических регионов и стран в целом.
Это то место, где могут пострадать целые национальные инфраструктуры, если проникновение не будет устранено. В этом тренинге мы фокусируемся на физическом проникновении, а не только на проникновении информационных технологий, которые, несомненно, столь же опасны, если не больше, с точки зрения их широкого охвата.
Тренинг по борьбе с инфильтрацией личной безопасности
Основные задачи обучения
Основная цель личного обучения по борьбе с проникновением — дать мастерам боевых искусств осознание и реакцию, чтобы понять и нейтрализовать угрозы, существующие для них самих и их семейных единиц.
Преступники часто стремятся к социальной инженерии членов семьи, чтобы получить доступ к людям, детям, имуществу и предметам, имеющим денежную ценность. Эти угрозы проникновения могут исходить изнутри, то есть от известных лиц, или извне, то есть от неизвестных лиц. В этом тренинге мы сосредоточимся на проникновении враждебных сторон вне семьи.
Обычно эти люди сосредотачиваются на более уязвимых членах семьи, но не обязательно. Поэтому их намерение может заключаться в том, чтобы получить доступ к дому, выдавая себя за водителя-доставщика, техника, газового инженера или другого ключевого работника, утверждая, что доступ к собственности необходим в срочном порядке.
Преступники также стремятся проникнуть к детям, когда они ходят в школу, в школе или в молодежных клубах / на молодежных мероприятиях. Таким образом, основные цели этого тренинга — ознакомить членов семьи с этими рисками.
Как только это будет сделано, мастера боевых искусств научат, как реагировать на эти угрозы, используя либо физическое сдерживание, либо физическую силу, когда это необходимо, либо направление в правоохранительные органы.
Основные обязанности
Однако основная ответственность будет возложена на взрослых мастеров боевых искусств в семье, которые смогут узнать то, что им нужно знать, а затем могут дать другим членам семьи возможность понять, как они могут стать целью и каковы их роли с точки зрения быть первой линией защиты в отсутствие взрослых.
Также очень важно научить уязвимых членов семьи, как в первую очередь противодействовать продвижению преступников и как повлиять на физическое насилие и обратиться за поддержкой со стороны правоохранительных органов.
Критерии успеха / результаты
Главный критерий успеха этого типа обучения заключается в том, чтобы дать членам семьи возможность инстинктивно обретать способность обнаруживать потенциальных проникновений в семейный дом и использовать заранее подготовленные методы, приемы и системы вызова для получения помощи и предотвращения нападений в кратчайшие возможные сроки. .
Все члены семьи должны знать, как открыть дверь с помощью цепочки и как просто не принять посылку на пороге от постороннего человека.
Точно так же дети никогда не должны открывать двери, а вместо этого должны иметь возможность с помощью электронных микрофонов и систем камер разговаривать на людей удаленно и соответствующим образом предупреждать родителей.
Пожилые люди подвергаются особому риску этого вида деятельности и поэтому должны быть максимально защищены.
С точки зрения боевых искусств и самообороны защита личного пространства на улице и понимание того, как вести себя с людьми, спрашивающими время, направление или приближающимися к их транспортному средству, — все это необходимые навыки. Это навыки избегания социальной инженерии, создания напористости, уверенности и устойчивости под давлением, а также чистая боевая способность.
Если все вышеперечисленное не удается и члены семьи находятся в сценарии атаки — они должны быть уполномочены знать, где нанести удар, как нанести удар и каким ударом подавить атакующего / атакующих. Поэтому ключевым результатом этого обучения является использование адаптированного оружия всеми членами семьи и умение быстро и легко вызвать правоохранительные органы.
Тренинг по безопасности информационных технологий — корпоративный
Основные задачи обучения
Основные цели этого тренинга — дать высшему руководству организации понять, что одна из ключевых угроз для их организации исходит из киберсферы. Эти угрозы относятся к интеллектуальной собственности, образцам и патентам, исследованиям и разработкам, базам данных клиентов, финансовой жизнеспособности в целом и совершению различных видов мошенничества.
Только если эти угрозы будут поняты на высшем уровне, организация сможет применить необходимые ресурсы для найма высокопрофессионального и высококвалифицированного технического персонала и другого персонала корпоративной безопасности для предотвращения, обнаружения и расследования этих угроз.
Некоторые навыки борьбы с этой угрозой являются высокотехнологичными, а другие — более традиционными навыками расследования и охраны правопорядка. Эффективная безопасность информационных технологий также во многом зависит от эффективных методов защиты от проникновения.
Ключевая цель — дать организации понять, что для борьбы с этой угрозой необходим целостный подход. Целостный означает мультидисциплинарный подход, включающий высшее руководство, директоров и различные специалисты в рамках корпоративного подразделения, включая человеческие ресурсы, юриспруденцию, финансы, аудит, расследования и физическую безопасность.
Чтобы эффективно бороться с технологическими угрозами, организация должна будет эффективно взаимодействовать со специализированными правоохранительными органами, а также с национальными инфраструктурными агентствами, только так они смогут справиться с непосредственными угрозами, а также со всей международной преступностью на национальном уровне.
Традиционно в области безопасности информационных технологий существуют три основных угрозы: это угрозы конфиденциальности данных, угрозы целостности данных и угрозы доступности данных (это часто называют моделью CIA). Хотя это несколько упрощенная и шаблонная модель — использование модели ЦРУ в качестве основы корпоративного обучения информационной безопасности — это испытанная методология.
Основные обязанности
Основная ответственность за это лежит на высшем уровне организации, который выполняет свои обязанности через все управления внутри организации. Также подотчетны все сотрудники, соблюдающие строгие корпоративные стандарты и стандарты информационных технологий. Особенно подотчетны специалисты с ключевыми обязанностями.
Другие обязанности также связаны с партнерством, работающим с более широким сообществом правоохранительных органов и национальными инфраструктурными агентствами.
Критерии успеха / результаты
Помимо того, что офисы высшего уровня и другой специализированный персонал, упомянутый выше, осведомлены о своей ответственности и обучены быть компетентными и мотивированными для реализации этих компетенций, более широкому кругу сотрудников необходимо понимать некоторые другие ключевые риски. Обычно они связаны с рисками, связанными с необходимым и желательным использованием мобильных технологий, включая ноутбуки, телефоны и планшеты в общественных зонах Wi-Fi.
Очевидно, что усиление защиты устройств до невозможности их использования или обнаружения / распознавания в общедоступных зонах Wi-Fi или Bluetooth — это легкая победа.
Точно так же шифрование всех устройств компании и обеспечение того, чтобы персональные устройства использовались в корпоративных сетях, чтобы они были согласованно усилены и следовали определенным правилам — также удачные шаги к победе.
Обучение безопасности информационных технологий — персональное
Основные задачи обучения
Основные цели обучения безопасности личной информации — дать людям возможность понять основные слабые стороны и риски их собственной жизни, связанные с информационными технологиями.
Очевидно, что некоторые основные риски связаны с тем, чем мы делимся в социальных сетях, как мы общаемся с помощью электронной почты и как мы храним наши данные.
В дополнение к этому, люди особенно подвержены рискам социальной инженерии из-за фишингового мошенничества и других мошеннических схем, очевидных в Интернете, как правило, поддельных инвестиционных схем, криптоинвестиций, других схем Понци или пирамид, которые распространяются через электронную почту / социальные сети и которые получены на добровольной основе.
Особые риски существуют для более уязвимых членов семьи, включая молодых людей и детей, которые могут быть социально спроектированы для организации встреч с людьми, которые не являются теми, кем они себя называют. Риск совершения различных незаконных действий, связанных с педофилией, уходом за телом и другими непристойными действиями, резко возрос с точки зрения использования ими технических средств.
Основные обязанности
Мастер боевых искусств в семье, т. е. ответственные взрослые, несут основную ответственность за повышение осведомленности, как и различные органы образования, школы, университеты и компании социальных сетей в целом. Сайты знакомств в Интернете также несут ключевую ответственность за обеспечение безопасности своих посетителей.
Критерии успеха / результаты
Ключевым критерием успеха является то, что мастера боевых искусств, то есть ответственные взрослые в своем доме, знают, как использовать технологии с точки зрения безопасности Wi-Fi, безопасности устройств, антивирусного программного обеспечения и учат всех в семье не иметь легко угадываемых паролей и использовать двухэтапная аутентификация. Мастер боевых искусств также должен знать, как повлиять на надлежащий родительский контроль на различных устройствах.
Точно так же все члены семьи должны знать, что в Интернете существуют значительные риски в целом и что большинству подходов в Интернете, по электронной почте или в социальных сетях нельзя доверять. Ключевым критерием успеха является подозрительность к любому общению, даже если оно исходит от людей, которые якобы известны членам семьи. Маскировка — это ключевая преступная уловка, которая может использоваться для мошенничества, похищения и причинения различных физических повреждений.
Освоив методы предотвращения и обнаружения, мастера боевых искусств и члены их семей должны знать, что делать в случае совершения преступления, связанного с информацией, данными, социальной инженерией или попыткой установить контакт с ребенком в семье. Очень важно знать, какие правоохранительные органы этим занимаются и как направлять их.
Ключевым критерием успеха является понимание ответственных взрослых и других членов семьи, как лучше всего использовать и эксплуатировать технологии для собственной безопасности. Это означает понимание того, как использовать авторизацию на основе географических карт на мобильных устройствах, чтобы члены семьи могли отслеживать друг друга согласованно. Наилучшее использование кодовых слов, заранее заданных текстовых сообщений, а также использование определенных приложений, которые могут использоваться для обеспечения безопасности и могут очень просто предупреждать о помощи нажатием определенных клавиш на мобильном телефоне.
Окончательный критерий успеха, аналогичный приведенному выше, заключается в том, чтобы мастера боевых искусств и их семьи знали о скрытом мониторинге, скрытом видеонаблюдении, устройствах прослушивания и устройствах слежения, которые могут быть использованы преступниками против них. Особую инстинктивную осторожность необходимо проявлять в отелях, общественных туалетах, спортзалах и т.е., где преступники часто устанавливают незаконные видеоустройства.
Вот кислотный тест на успех — мастер боевых искусств видит одного и того же человека в трех разных местах в течение двух дней, это должно указывать на непосредственную угрозу преследования. Обычно это означает, что осведомленность о борьбе с слежкой не удалась или, что более вероятно, преступники установили нелегальный трекер на автомобиль, которым пользуется семья. Ясно, что теперь мастеру боевых искусств предлагается несколько интересных вариантов — должен ли он / она раскрыть свои знания? должен ли он / она оставаться в секрете? должен ли он / она предупредить правоохранительные органы? Должен ли он / она создать собственный сценарий засады?
Методология упреждающей атаки в корпоративной безопасности
Основные задачи обучения
Основная цель упреждающей методологии атак для юридических лиц состоит в том, чтобы они использовали свои отделы корпоративной безопасности для обнаружения угроз до того, как они возникнут, пока они планируются, и для борьбы с злоумышленниками. Атака всегда лучше защиты.
Упреждающая атака со стороны корпоративных организаций может осуществляться в ответ на угрозы кражи интеллектуальной собственности, угрозы проникновения, мошенничество, взяточничество, коррупцию, конфликты интересов и т. д.
В этом отношении поможет разработка и внедрение конкретных упреждающих мер, основанных на строгой и структурированной методологии управления рисками. Методология управления рисками — это самостоятельный курс, но по сути — он означает анализ вероятности возникновения нежелательного события (оценка от 1 до 5), умноженную на предполагаемое влияние происходящего события (также оценка от 1 до 5). Этот результирующий балл, если он высокий, например 20-25 означает, что необходим проактивный подход.
Например, сопоставление различных типов данных и участие в профессиональной комплексной проверке и деятельности по бизнес-анализу может создать информацию, на основе которой можно будет действовать упреждающе.
Комплексная проверка означает — знание своего сотрудника, знание своего поставщика, знание своего клиента, знание своего инвестора и тех, с кем вы собираетесь работать в партнерстве в целом. «Знание» означает проведение ряда проверок бизнес-аналитики, чтобы действительно создать базу доверия — проверки кредитоспособности, рекомендации, учетные записи, идентификационные данные, присутствие в социальных сетях, разведывательные проверки с открытым исходным кодом и многие другие независимые запросы могут быть установлены для создания целостной картины. Людей и компаний, с которыми мы хотим работать. Различные уровни проверки правительством Великобритании «Допуск безопасности» для рабочих мест, которые влияют на национальную безопасность, являются превосходным примером того, как это осуществляется, проверки объединяют ссылки, проверки адресов, проверки истории (часто восходящие к детству) и различные проверки. Другие проверки — все в сочетании с физическими собеседованиями с рефери, чтобы действительно понять истинное происхождение, характер, интересы, политические взгляды и образ жизни заявителя.
Закон Великобритании о мошенничестве 2006 г. — прекратил совершение множества новых преступлений. Этот акт привел к новым преступлениям, при которых попытка мошенничества или даже хранение документов или предметов, которые могут быть использованы для мошенничества (например, поддельные документы, удостоверяющие личность, поддельные банковские выписки, поддельные платежные ведомости, поддельные счета компании и т. Д.), представляют собой возможные уголовные преступления. Это позволяет правоохранительным органам (в партнерстве с промышленностью) быть чрезвычайно упреждающими в нападении на потенциальных преступников до того, как они фактически совершат какое-либо преступление.
Такой же подход применялся и в отношении преступлений, связанных с отмыванием денег и накоплением преступных доходов в целом. Закон о доходах от преступной деятельности 2002 г. по существу позволяет правоохранительным органам конфисковать средства, если не может быть предоставлено надлежащего объяснения законного происхождения указанных средств. Это интересно, поскольку преступник по сути виновен до тех пор, пока он не сможет доказать свою невиновность — это противоречит нормальному правовому положению — что предлагает противоположный сценарий (для тех, кто заинтересован, пожалуйста, также ознакомьтесь с новым Законом Великобритании о национальной безопасности и инвестициях. 2021, который по существу вводит в действие законодательство, касающееся операций с высоким риском, по которому определенные секторы будут обязаны получать разрешение путем официального уведомления государственного секретаря).
Основные обязанности
Ключевые лица, ответственные за упреждающие действия в рамках корпорации, — это высшее руководство / члены совета директоров / главный исполнительный директор. Затем это будет выписано через отдел корпоративной безопасности, главу антимошенничества и другой ключевой персонал. Предварительно согласованные отношения и ответные меры с местными правоохранительными органами также будут необходимой подотчетностью.
Критерии успеха / результаты
Ключевым критерием успеха этого упреждающего подхода является то, что преступники обнаруживаются до или в то время, когда они планируют преступления против юридического лица. Дисциплинарные меры для внутренних нарушителей на этапе покушения и преследование внешних нарушителей на этапе планирования будут ключевыми критериями успеха.
Методология упреждающей атаки личная безопасность
Основные задачи обучения
Основные цели любой персональной тренировки в упреждающей атаке — обрести уверенность в том, чтобы ударить первым, сильно ударить и подавить потенциальных нападающих. Это может означать методы с пустыми руками, методы самодельного оружия или традиционное оружие, где это разрешено законом.
Упреждающая атака в сочетании с активным обучением контролю над страхом часто является недооцененной областью обучения боевым искусствам, которые часто имеют тенденцию сосредотачиваться на методологии блок-удара или защите от кого-то, когда он действительно начал свою атаку.
Использование «анималистического» упреждающего подхода даст возможность добиться лучшего результата, особенно когда во внезапной неспровоцированной атаке задействовано несколько назначений или оружия. В большинстве западных стран такое упреждение разрешено в рамках закона, т. е. Нанесение ударов до того, как вас ударили — до тех пор, пока можно оправдать свои действия разумным убеждением в том, что нападение неминуемо.
Методика упреждающих ударов, будь то с пустыми руками или с применением оружия, может быть успешной только при использовании полной отдачи, вышеупомянутого анималистического подхода, взрывоопасности и элемента скрытой неожиданности.
Обычно это означает использование взрывного удара, нанесенного скрытно нападающим — с максимальным намерением — во время крика (с использованием голоса также для шока) — и при нанесении ударов по наиболее уязвимым участкам атакующего (обычно шея, горло, пах, колено, висок, плавающие ребра и глаза).
Использование нескольких ударов в близкой взрывной последовательности и не доведение до конца, пока работа не будет сделана — может вызвать страх у любых других нападающих, которые могут внезапно пересмотреть свои намерения. Это также называется «шоком и трепетом» против врага.
Основные обязанности
Основная ответственность за обучение этому будет лежать на членах семьи, которые уже являются мастерами боевых искусств. Может быть легче изучить эту методологию, если у вас будет прочная база для ведения боя, то есть стойка, движение, структура, выработка силы и уклонений. В рамках моего собственного обучения боевым искусствам мы обучаем методам превентивных ударов с первого урока для новичков, а затем и до продвинутого уровня.
Я обнаружил, что тренировка ума, позволяющая упреждать с самого начала тренировки, важна — в отличие от негативной подготовки ума только к «реактивности».
Поэтому для реального применения и успеха, хотя и с упреждением, мастера боевых искусств получают огромную выгоду от принятия менее спортивного и более милитаристского подхода к бою.
Критерии успеха / результаты
Ключевым критерием успеха является то, что человек чувствует себя способным нанести удар первым, и это происходит из-за изменения мышления, изменения тренировок и тренировок по-другому. Это также исходит из того, что потенциальные агрессоры рассматриваются как непосредственная угроза, которую необходимо нейтрализовать (в рамках закона для гражданских лиц), как только начинается контакт, с точки зрения планирования и организации достаточно жесткой упреждающей атаки при первой же возможности. .
При обучении чтению людей в целом важно знать их намерения (язык тела, движения, поза, глаза, поза и другие признаки, свидетельствующие о том, что они планируют реализовать неминуемую враждебность). Как и знание того, как использовать методологию активной деэскалации, методика упреждающего удара, по крайней мере, не уступает этому по важности. Часто упускаемое из виду обучение также относится к знанию того, что делать сразу после сценария упреждающей атаки, лучше ли бежать? Оказывать первую помощь нападающему? Позвонить в полицию? Поддерживать связь со свидетелями? Справиться с реакцией собственного тела на шок? Все это ключевые выводы и результаты успеха.
Люди должны чувствовать, что они обладают осознанием, способностями и что их «внутреннее мышление» изменилось после надлежащей тренировки. Обычно это происходит только после достаточного практического обучения / тестирования давления / ознакомительного обучения.
В третьем документе будут более практичны примеры методов обучения, но при этом будут изучены специальные инструменты и методы, доступные корпоративному субъекту, например, фактические методы противодействия слежке.
В третьем документе будут рассмотрены аналогичные методы, доступные частным лицам / мастерам боевых искусств, например, фактическое использование самодельного оружия.