Учебный портал ИБ для сотрудников: оn-prem VS облако

Учебный портал – это инструмент, который помогает систематизировать и автоматизировать задачу обучения персонала принципам и навыкам защиты информационной безопасности. Осведомленность – ключевой аспект для уменьшения рисков проникновения злоумышленников в инфраструктуру компании и потери чувствительных данных. Учебный портал дает возможность познакомиться с современными методами атак и способами защиты от них, а также позволяет контролировать процесс обучения и оценивать результаты проводимой работы.

Для соблюдения регламентов

Существуют достаточное количество нормативных актов, обязующих компании проводить обучение сотрудников. Правда, в них часто не указано, что это обучение должно из себя представлять. Иногда происходит так, что офицер безопасности компании приходит к каждому сотруднику и проводит краткий инструктаж, например, о том, что можно делать, а чего лучше избегать. Но мы в Infosecurity считаем, что эффективнее использовать учебный портал, где есть программа обучения, теория и практическая часть.

Для защиты инфраструктуры

Зачем обучать, помимо соблюдения нормативных регламентов? Чтобы сотрудники не поставили крест на существующих в компании средствах защиты информации (СЗИ). Дело в том, что на СЗИ можно выделять большой бюджет, использовать сложный софт, но все эти меры не будут эффективны без обучения персонала. Так, порой сложного софта недостаточно для блокировки фишинговых писем, особенно если домен ссылки и отправитель письма не были ранее скомпрометированы в какой-то подозрительной деятельности. Заблокировать все письма со ссылками на разного рода формы для ввода, конечно, можно, но это гарантировано приведёт к серьезным нарушениям бизнес-процессов. К тому же надо учитывать тот факт, что большинство подобных писем абсолютно легально. Именно поэтому наряду с использованием защитного софта, необходимо проводить обучение пользователей основам киберграмотности, чтобы они могли определять потенциальные угрозы и не попадаться на уловки злоумышленников.

Массово обучать всех сотрудников компании абсолютно всем курсам учебного портала мы бы не рекомендовали. Во-первых, пользователям будет сложно отвлекаться от своих основных задач. Во-вторых, они просто устанут, будут мало сосредоточены на обучении, а эффективность курсов значительно снизится. Именно поэтому имеет смысл разделить сотрудников на группы по конкретным признакам, например, по тому, какие задачи они закрывают в компании и с какой информацией они работают. Для каждой из групп определяются риски, свойственные именно им, а потом назначается учебный план из соответствующих курсов.

По результатам теоретической части, юзерам назначают тестирования для определения того, усвоились ли знания. Следующим этапом, довольно часто, идет проверка прокачки сотрудника на практике: ему приходит псевдофишинговое письмо, которое подготовлено по определенным критериям при помощи инструментария специального модуля учебного портала. Чаще всего шаблон письма максимально приближен к тому, что пользователю знакомо, вызовет у него определенные ассоциации и заставит без особых раздумий кликнуть по «опасной» ссылке или заполнить форму для ввода данных. К счастью, в случае учебной тревоги, отправленная конфиденциальная информация не уйдет к третьим лицам, в том числе к специалистам учебного портала. Зато эксперты по ИБ получат детальную статистику по всем потенциально опасным действиям с такими письмами. На основании полученных данных они смогут сформировать аналитический отчет, показав уязвимые места компании и вероятность доступа злоумышленника к инфраструктуре организации.

Для того, чтобы оценить эффективность обучения, мы рекомендуем проводить проверочные фишинговые рассылки для сотрудников минимум два раза – до и после обучения. Так проще увидеть динамику результатов и сделать эти самые результаты исчисляемыми. По результатам рассылок можно увидеть, как пользователи реагировали на них – открывали ли файлы, переходили ли по ссылкам, заполняли ли формы. Стоит подчеркнуть, что для каждой организации желательно подбирать индивидуальные сценарии курсов, исходя из задач. Некоторые компании даже проводят проверку «со звездочкой», когда, например, пользователи должны не только распознать угрозу, но и сообщить о ней в департамент по безопасности компании.

Вопрос, который часто задают заказчики: «Если проверочные письма отправляются с домена заказчика или домена провайдера, то в чем же элемент скрытности? И почему вообще в таком случае сотрудник должен заподозрить что-то неладное?». Ответ прост: письма отправляются с подменой отправителя, поэтому обычный сотрудник увидит либо незнакомый адрес и имя отправителя, либо адрес, который очень похож на корпоративный или партнерский, но им не является (изменены некоторые символы, чтобы сделать письмо похожим на фишинг). И тут уже задачей сотрудника станет распознать фишинг и не повестись на уловку злоумышленника.

Функционал системы по обучению иногда позволяет отследить ещё одну весьма ценную метрику, а именно, с какой скоростью пользователи взаимодействовали с фейковым письмом. Резонно будет предположить, что ровно столько времени будет у компании, чтобы отреагировать на реальную фишинговую атаку. В случае, если все СЗИ компании автоматизированы и верно настроены, то опасность минимизируется. Если же на одном из этапов задействованы люди, скорость реакции которых значительно ниже автоматизированной системы, то риск ущерба значительно увеличивается. Во втором случае ценность повышения осведомленности пользователей возрастает многократно.

On-prem

Чтобы развернуть собственный учебный портал необходимо выделить виртуальный или физический сервер. Он не обязан быть очень мощным, так как учебный портал не обрабатывает огромного количества информации. Далее нужно подготовить сервер к установке софта – выбрать, какая операционная система будет управлять сервером, установить приложения учебного портала. Работы можно провести самостоятельно, а можно позвать интегратора, который проведет эти работы за заказчика.

После подготовки ОС и установки приложений, нужно состыковать учебный портал с парой сервисов. Во-первых, речь идет об интеграции с Active Directory или другим контроллером домена. Дело в том, что команда сотрудников может меняться – кто-то уходит, кто-то приходит, а подобная интеграция позволяет иметь оперативную и актуальную информацию о реестре сотрудников и не править эти списки вручную. Во-вторых, требуется интеграция с почтовым сервером, так как рассылка фейковых фишинговых писем является частью обучения основам информационной гигиены (да и уведомления о назначении курсов – вещь нужная).

Важной составляющей внедрения является написание документации о решении, о том, как оно внедрено, как его обслуживать и сопровождать. Такие документы будут полезны, когда через полгода потребуется вспомнить, например, на каком сервере располагается учебный портал.

Важно позаботиться об отказоустойчивости системы и настроить, например, бэкапирование данных. Понятно, что учебный портал – не самая критически важная часть системы, и даже если в какой-то момент она станет недоступной, это вряд ли кардинально скажется на бизнес-процессах. Однако не стоит давать сотрудникам повода сказать: «Обучение ваше проходить невозможно, потому что портал вечно не доступен. А результаты прошлого теста вы вообще потеряли – я его уже проходил».

Облако

Здесь система учебных курсов располагается в инфраструктуре сервис-провайдера и все работы по подключению и сопровождению ложатся на его плечи. Конкретно в Infosecurity предлагаем несколько вариантов внедрения:1. Построение VPN-туннеля до инфраструктуры заказчика, и уже внутри происходит интеграция с контроллером домена и почтовым сервером.2. Периодическая выгрузка данных заказчиком (например, из Active Directory) без интеграции систем. Этот вариант проще для запуска и подойдет для тех, кто с неохотой пускает подрядчиков к контроллеру домена. Для этого варианта также можно использовать почтовый сервер провайдера, однако со стороны заказчика потребуется настроить исключения на средствах защиты таким образом, чтобы учебные рассылки псевдофишинговых писем нашли своих адресатов и не были отсеяны «песочницами» заказчика.

On-prem

Платежей может быть несколько. Так, нужно заплатить вендору за лицензию на использование софта. Лицензия может быть бессрочная или рассчитанная на определенный период: во втором случае ее нужно будет продлевать с определенной частотой, например, ежегодно. Следующая статья затрат: покупка сервера, его обслуживание и поддержка работоспособности. Не стоит забывать и про обучение и оплату времени специалистов, которые будут заниматься работой с системой (настройкой атак, разработкой и назначением курсов, выгрузкой отчетов и т.д.). Еще одна не самая очевидная статья расходов – это контент, который будет размещаться на портале. Для этого необходимо создать или закупить информационный продукт – учебники, курсы, лекции, тесты, видеоматериалы и т.п.

В итоге, стоимость внедрения учебного портала может достигать значительной суммы и зависеть от множества факторов, таких как количество пользователей, сложность портала и его функциональность, использование стороннего контента, необходимость интеграции с другими системами и т.д. Однако, инвестиции в создание учебного портала окупаются за счет улучшения процессов обучения и повышения качества подготовки персонала.

Облако

В случае выбора облачной модели учебного портала заказчик с определенной периодичностью просто платит за услугу. Все нюансы остаются на стороне провайдера и уже не влияют на стоимость. Мы в Infosecurity выделяем также и период подключения. Он оплачивается лишь один раз и уже не увеличивает стоимость последующих периодов обслуживания.

Каждый формат учебного портала имеет свои плюсы и минусы. Кратко перечислим их далее.

On-prem

Преимущества

- Полная контролируемость данных и настроек доступа со стороны заказчика;

- Высокий уровень безопасности при хранении чувствительных персональных данных;

- Независимость от интернет-соединения;

- Возможность настройки собственных инструментов и функций со стороны заказчика.

Недостатки

- Все задачи по управлению приобретенным инструментарием ложатся на заказчика:

- Все задачи по доступности сервиса и сохранности данных ложатся на заказчика

- Стоимость внедрения портала с нуля как правило выше подключения к облачной платформе

- Ограниченный доступ к данным вне локальной сети

Облако

Преимущества

- Сравнительно низкая стоимость подключения и обслуживания

- Высокая масштабируемость и гибкость в настройке функций со стороны провайдера

- Возможность легко добавить аналитика, который будет заниматься эксплуатацией решения за заказчика

- Удобство доступа к данным с любого устройства и в любой точке мира

Недостатки

- Ограниченный выбор функций и настроек, которые можно изменять заказчику

- Потенциальные проблемы с защитой персональных данных в случае нарушения безопасности облачного хранилища

- Ограниченный доступ к данным в том случае, если доступ к интернету затруднен

При выборе между On-prem и облачным учебным порталом по информационной безопасности необходимо учитывать ряд факторов: бюджет компании, наличие профильных специалистов и времени у них, наличие вычислительных мощностей. Облачные порталы, в большинстве случаев, предлагают достаточно высокий уровень безопасности, не требуют выделения дополнительных ресурсов на обслуживание и обновление ПО, а также позволяют быстрее и эффективнее обучать работников. On-prem порталы, в свою очередь, имеют большую гибкость настроек и контроль за системой со стороны заказчика, что может быть необходимо для крупных организаций с большими объемами чувствительной информации. В итоге, выбор между On-prem и облачным учебными порталами зависит от индивидуальных нужд и особенностей организации.

Автор: Николай Постнов, менеджер по развитию сервиса INFOSECURITY TRAINING CENTER