Повысить осведомленность и не умереть

Сегодня поговорим о повышении осведомленности в сфере информационной безопасности. Хотя мне, честно говоря, больше нравится слово «аварнес»: значит то же самое, но звучит симпатичнее и короче.

Бизнес пренебрегает аварнесом очень часто. И очень зря, ибо последствия могут быть печальны. Случается инцидент безопасности, деньги или данные улетают в трубу, потом (если ничего не делать) они улетают в ту же трубу второй раз, третий, четвертый — а там, глядишь, клиенты и партнеры потихоньку перестают доверять компании. Особенно если истории об утечках попадают в СМИ.

Основываясь на опыте Infosecurity a Softline company, я расскажу, что такое аварнес и как грамотно выстроить обучение в своей компании.

Человек — это звучит небезопасно

Что делать, чтобы ценная информация осталась при вас? Во-первых, разработать политики ее хранения и обработки. Во-вторых, позаботиться о том, чтобы сотрудники соблюдали требования, описанные в этих политиках.

Тут-то и вступает в дело аварнес. С умом подобранные обучающие материалы не просто помогут о чем-то рассказать — с их помощью в компании сформируется культура работы с информацией. Сотрудники начнут соблюдать правила ИБ на рефлекторном уровне, и вам уже не придется со страхом думать о том, что кто-то из них не заблокирует экран компьютера, потеряет токен или забудет отчет в лотке принтера.

Выбираем дистанционку

По опыту Infosecurity, большинство российских компаний доносит до своих сотрудников требования информационной безопасности по старинке, в очном формате. Чтение регламентов при приеме на работу, инструктажи раз в полгода — и план, можно сказать, выполнен.

Увы, такой подход больше не работает. Во всем мире очное корпоративное обучение уступает место обучению дистанционному. Причин несколько. Самая приятная для бизнеса — уменьшение затрат: электронные материалы разрабатываются и покупаются один раз, а используются сколько угодно для любого количества сотрудников, в любом регионе страны. E-learning гораздо удобнее для самих сотрудников. Они могут просматривать интерактивные курсы, видеоролики и браузерные игры на компьютере, смартфоне или планшете — и для этого совсем не обязательно выезжать в офис учебного центра или дружно отрываться от работы в 12.00 (или, скажем, в 14.30).

Есть у дистанционки и такое преимущество: все давно знают, чего можно ожидать от очного обучения. А e-learningкаждый год подкидывает новые методы и технологии — онлайн-тренажеры, симуляторы бизнес-процессов, VR-кейсы, многопользовательские игры. Удивляет, в общем.

Infosecurity a Softline Company
Infosecurity a Softline Company

Начинаем с целевой аудитории

Итак, вы решились на аварнес. Для начала мысленно разделите сотрудников на группы и определите, какие темы им нужны больше всего. Топ-менеджерам вряд ли будет интересно изучать уязвимости софта, а для разработчиков это самое оно.

Разобрались с темами? Отлично: переходите к форматам обучающих материалов. Их тоже придется персонализировать. Например, у сотрудников front-офиса не особенно много свободного времени и часто нет личного рабочего компьютера. Значит, им подойдут короткие видеоролики и яркие плакаты — их можно показывать и вешать и в рабочих зонах, и в местах отдыха. А вот на жителей back-офиса стоит двинуть тяжелую артиллерию — электронные курсы с почтовыми рассылками.

Еще одна практика, которую рекомендует своим заказчикам команда Infosecurity, — перед тем, как проводить обучение, проверить, что сотрудники уже знают. Скажем, провести небольшой тест и разослать письма, имитирующие фишинговые (то есть, вредоносные). По итогам собираете статистику — и вуаля, понимаете, на каких темах нужно сделать акцент.

Остаемся в тренде

Один из трендов дистанционного обучения здесь уже засветился — персонализация, разработка материалов под целевую аудиторию. Это не только подбор разных форматов, но и вариативность внутри одного из них. Допустим, в электронном курсе можно идти по разным траекториям, выбирать темы и сложность практических заданий, повторять разделы и уроки. Если сотрудник понимает, что он свободен (не словно птица в небесах, а так, слегка), он меньше переживает во время обучения, а значит, лучше усваивает информацию.

Следующий тренд e-learning — геймификация. Игровые элементы — персонажи, анимация, сюжеты, ачивки — давно перекочевали в те же электронные курсы. Главное здесь — не заиграться, совместить приятное с полезным в правильной пропорции.

За геймификацией спешит микрообучение. Теория пакуется в небольшие блоки, каждый блок закрепляется практикой. Например, после пяти-шести слайдов курса сотрудник отвечает на тестовый вопрос или выполняет простое упражнение. Для видеороликов тренд особенно актуален: их лучше делать не длиннее двух минут. Хотя и дробить обучение до бесконечности не стоит — так потеряется и логика повествования, и интерес аудитории.

Infosecurity a Softline Company
Infosecurity a Softline Company

Проверяем знания

Обычно проверка знаний — это тесты и упражнения, вшитые в электронные курсы, а если надо отработать последовательность действий — тренажеры и бизнес-симуляторы. В любом случае они работают тогда, когда вы можете отслеживать, как сотрудники их проходят. Это значит, что вам очень желательно обзавестись системой дистанционного обучения (СДО) и загружать материалы уже в нее. Рынок предлагает достаточно вариантов — подбираем нужный и наслаждаемся.

Я тут упоминала о рассылках, имитирующих вредоносные письма. Учебный фишинг хорошо использовать и для периодической проверки знаний. Письма направляются разным сотрудникам, по разным сценариям и в разных шаблонах — и идут в тесной связке с основным обучением. Например, если наша жертва поддалась на провокацию и открыла email, ее можно по второму разу направить на изучение курса о социальной инженерии. Кстати, в некоторые СДО входит учебный фишинговый модуль — тоже повод задуматься о приобретении такой системы.

Не забываем о реальности

Учиться вдвойне приятно, когда свои результаты можно сравнивать с результатами коллег, а еще лучше — перенести в реальную жизнь. С первым поможет создание рейтингов, с визуализацией и лидерами. В парочке СДО есть такая возможность, а если нет — рейтинг можно разместить на корпоративном портале. Главное — регулярно его обновлять, иначе КПД этого начинания будет равно нулю.

Насчет реальной жизни: команда Infosecurity советует вспомнить о геймификации с ее ачивками — медалями, кубками, звездочками и так далее. Создайте систему премирования за лучшие достижения, и мотивация резко подскочит вверх. Платить сотрудникам деньги никто не заставляет, но выделить дополнительный день отпуска или предложить скидки на фирменную продукцию — почему бы и нет.

Берем печать в помощь

Электронное обучение принято дополнять печатными материалами — памятками, буклетами, плакатами, стикерами. Они делают обучение еще более «реальным», разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов: экономить на внешнем виде здесь не стоит.

Кстати, именно памятки и буклеты хорошо запускать в обучение первыми. Если они понравятся и запомнятся сотрудникам, основные материалы вполне можно делать в таком же стиле.

Саммари (наконец-то!)

Вот вам что-то неинтересно или непонятно — будете вы это изучать, а потом еще и соблюдать? Конечно, нет. Поэтому в аварнес придется по-настоящему вложиться: создать комплексную программу обучения, изложить материал простым и доступным языком, облечь его в игровую форму и позаботиться о том, чтобы сотрудники видели результат своих стараний. Сделаете все по науке — эти вложения непременно окупятся. Чего мы вам от души желаем и в чем, определенно, сможем помочь.

11
3 комментария

Для меня фундаментом информационной безопасности являются:
Человек
Техника
Процессы

Человек – это основной или центральный компонент. До сих пор мы ещё не научились обходиться без человеческого фактора. Это очень хорошо, но именно поэтому его нельзя не учитывать. Слово «аварнес» мне тоже очень нравится, как то сразу становиться ясно о чем идёт разговор.
На основе различных исследований, утечка информации происходит в первую очередь не через технику, а благодаря человеческому фактору. Результаты студии проведенной BSI (Bundesamt für Sicherheit in der Informationstechnik) Бонн показали, что каждый шестой работник готов ответить на имитированное (фишинговое) письмо от начальства и при этом раскрыть конфиденциальную информацию компании. Таким образом, шесть из десяти пострадавших компаний (62 % ) впервые узнали о нападениях. Более половины компаний (54 % ) получили информацию о нападениях со стороны технических систем безопасности.
Результаты этих исследований показывают, что хорошо обученные сотрудники являются самой эффективной защитой.
 Очень верно, что любой компании необходима собственная культура работы с информацией.
Визуальный подход обучения очень эффективен. Если работники ежедневно видят важные правила для соблюдения кибербезопасности и периодически просматривают короткие ролики, то это обязательно останется в памяти. Человек начинает применять правила информационной безопасности не только в своей профессиональной, а ещё и в своей личной жизни.Правильно построенное обучение пробуждает интерес узнать больше. Большинство работников готовы соблюдать такие правила, но во многих компаниях к сожалению не проводят таких мероприятий. Как говорится "пока петух не клюнет")

Анатолий, благодарю за интерес к теме и развернутый комментарий.
Без человека действительно никуда, и будет никуда еще по крайней мере лет сто. Поэтому обучение — хотя оно и кажется этаким необязательным приложением к общей системе безопасности компании — должно быть! А лучше — быть комплексным, современным и по-настоящему вовлекающим))

1

Юлия Вы правы! Вот пример 16 июля Твиттер, целенаправленная атака на сотрудника компании посредством социальной инженерии. Результат потеря репутации, последствия могут печально сказаться на финансовом рынке. Конечно многие скажут мы же не Твиттер, кому до нас дело. Но профессионалы которые умеют работать с разного рада информацией смогут извлечь выгоды.