Повысить осведомленность и не умереть
Сегодня поговорим о повышении осведомленности в сфере информационной безопасности. Хотя мне, честно говоря, больше нравится слово «аварнес»: значит то же самое, но звучит симпатичнее и короче.
Бизнес пренебрегает аварнесом очень часто. И очень зря, ибо последствия могут быть печальны. Случается инцидент безопасности, деньги или данные улетают в трубу, потом (если ничего не делать) они улетают в ту же трубу второй раз, третий, четвертый — а там, глядишь, клиенты и партнеры потихоньку перестают доверять компании. Особенно если истории об утечках попадают в СМИ.
Основываясь на опыте Infosecurity a Softline company, я расскажу, что такое аварнес и как грамотно выстроить обучение в своей компании.
Человек — это звучит небезопасно
Что делать, чтобы ценная информация осталась при вас? Во-первых, разработать политики ее хранения и обработки. Во-вторых, позаботиться о том, чтобы сотрудники соблюдали требования, описанные в этих политиках.
Тут-то и вступает в дело аварнес. С умом подобранные обучающие материалы не просто помогут о чем-то рассказать — с их помощью в компании сформируется культура работы с информацией. Сотрудники начнут соблюдать правила ИБ на рефлекторном уровне, и вам уже не придется со страхом думать о том, что кто-то из них не заблокирует экран компьютера, потеряет токен или забудет отчет в лотке принтера.
Выбираем дистанционку
По опыту Infosecurity, большинство российских компаний доносит до своих сотрудников требования информационной безопасности по старинке, в очном формате. Чтение регламентов при приеме на работу, инструктажи раз в полгода — и план, можно сказать, выполнен.
Увы, такой подход больше не работает. Во всем мире очное корпоративное обучение уступает место обучению дистанционному. Причин несколько. Самая приятная для бизнеса — уменьшение затрат: электронные материалы разрабатываются и покупаются один раз, а используются сколько угодно для любого количества сотрудников, в любом регионе страны. E-learning гораздо удобнее для самих сотрудников. Они могут просматривать интерактивные курсы, видеоролики и браузерные игры на компьютере, смартфоне или планшете — и для этого совсем не обязательно выезжать в офис учебного центра или дружно отрываться от работы в 12.00 (или, скажем, в 14.30).
Есть у дистанционки и такое преимущество: все давно знают, чего можно ожидать от очного обучения. А e-learningкаждый год подкидывает новые методы и технологии — онлайн-тренажеры, симуляторы бизнес-процессов, VR-кейсы, многопользовательские игры. Удивляет, в общем.
Начинаем с целевой аудитории
Итак, вы решились на аварнес. Для начала мысленно разделите сотрудников на группы и определите, какие темы им нужны больше всего. Топ-менеджерам вряд ли будет интересно изучать уязвимости софта, а для разработчиков это самое оно.
Разобрались с темами? Отлично: переходите к форматам обучающих материалов. Их тоже придется персонализировать. Например, у сотрудников front-офиса не особенно много свободного времени и часто нет личного рабочего компьютера. Значит, им подойдут короткие видеоролики и яркие плакаты — их можно показывать и вешать и в рабочих зонах, и в местах отдыха. А вот на жителей back-офиса стоит двинуть тяжелую артиллерию — электронные курсы с почтовыми рассылками.
Еще одна практика, которую рекомендует своим заказчикам команда Infosecurity, — перед тем, как проводить обучение, проверить, что сотрудники уже знают. Скажем, провести небольшой тест и разослать письма, имитирующие фишинговые (то есть, вредоносные). По итогам собираете статистику — и вуаля, понимаете, на каких темах нужно сделать акцент.
Остаемся в тренде
Один из трендов дистанционного обучения здесь уже засветился — персонализация, разработка материалов под целевую аудиторию. Это не только подбор разных форматов, но и вариативность внутри одного из них. Допустим, в электронном курсе можно идти по разным траекториям, выбирать темы и сложность практических заданий, повторять разделы и уроки. Если сотрудник понимает, что он свободен (не словно птица в небесах, а так, слегка), он меньше переживает во время обучения, а значит, лучше усваивает информацию.
Следующий тренд e-learning — геймификация. Игровые элементы — персонажи, анимация, сюжеты, ачивки — давно перекочевали в те же электронные курсы. Главное здесь — не заиграться, совместить приятное с полезным в правильной пропорции.
За геймификацией спешит микрообучение. Теория пакуется в небольшие блоки, каждый блок закрепляется практикой. Например, после пяти-шести слайдов курса сотрудник отвечает на тестовый вопрос или выполняет простое упражнение. Для видеороликов тренд особенно актуален: их лучше делать не длиннее двух минут. Хотя и дробить обучение до бесконечности не стоит — так потеряется и логика повествования, и интерес аудитории.
Проверяем знания
Обычно проверка знаний — это тесты и упражнения, вшитые в электронные курсы, а если надо отработать последовательность действий — тренажеры и бизнес-симуляторы. В любом случае они работают тогда, когда вы можете отслеживать, как сотрудники их проходят. Это значит, что вам очень желательно обзавестись системой дистанционного обучения (СДО) и загружать материалы уже в нее. Рынок предлагает достаточно вариантов — подбираем нужный и наслаждаемся.
Я тут упоминала о рассылках, имитирующих вредоносные письма. Учебный фишинг хорошо использовать и для периодической проверки знаний. Письма направляются разным сотрудникам, по разным сценариям и в разных шаблонах — и идут в тесной связке с основным обучением. Например, если наша жертва поддалась на провокацию и открыла email, ее можно по второму разу направить на изучение курса о социальной инженерии. Кстати, в некоторые СДО входит учебный фишинговый модуль — тоже повод задуматься о приобретении такой системы.
Не забываем о реальности
Учиться вдвойне приятно, когда свои результаты можно сравнивать с результатами коллег, а еще лучше — перенести в реальную жизнь. С первым поможет создание рейтингов, с визуализацией и лидерами. В парочке СДО есть такая возможность, а если нет — рейтинг можно разместить на корпоративном портале. Главное — регулярно его обновлять, иначе КПД этого начинания будет равно нулю.
Насчет реальной жизни: команда Infosecurity советует вспомнить о геймификации с ее ачивками — медалями, кубками, звездочками и так далее. Создайте систему премирования за лучшие достижения, и мотивация резко подскочит вверх. Платить сотрудникам деньги никто не заставляет, но выделить дополнительный день отпуска или предложить скидки на фирменную продукцию — почему бы и нет.
Берем печать в помощь
Электронное обучение принято дополнять печатными материалами — памятками, буклетами, плакатами, стикерами. Они делают обучение еще более «реальным», разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов: экономить на внешнем виде здесь не стоит.
Кстати, именно памятки и буклеты хорошо запускать в обучение первыми. Если они понравятся и запомнятся сотрудникам, основные материалы вполне можно делать в таком же стиле.
Саммари (наконец-то!)
Вот вам что-то неинтересно или непонятно — будете вы это изучать, а потом еще и соблюдать? Конечно, нет. Поэтому в аварнес придется по-настоящему вложиться: создать комплексную программу обучения, изложить материал простым и доступным языком, облечь его в игровую форму и позаботиться о том, чтобы сотрудники видели результат своих стараний. Сделаете все по науке — эти вложения непременно окупятся. Чего мы вам от души желаем и в чем, определенно, сможем помочь.