25 декабря, 2020

Цифровая грамотность сотрудников: от нормативных актов до тренировок

То, что человек – самое слабое звено в информационной безопасности, давно является догмой. Большинство компаний понимают эту проблему и ставят перед собой цель повысить культуру информационной безопасности среди сотрудников.

Как именно они пытаются достичь этой цели, с каким трудностями приходится сталкиваться на пути к ней и какая основная проблема в повышении осведомленности – все эти вопросы постараемся разобрать в рамках данной статьи.

Начнем с основ – большинство компаний, выстраивая процесс повышения осведомленности, используют общепринятый подход, который можно уже с уверенностью называть типовым. Типовой подход в своей основе лежит на трех китах – это локально-нормативные акты по информационной безопасности (далее – ЛНА), вводный инструктаж и коммуникации с сотрудниками.

Если говорить про ЛНА, то в целом с ними все ясно – это документы, часть из которых продиктована российской нормативной базой (защита персональных данных, коммерческая тайна), и эти документы, в большинстве случаев, не помогают реально повысить уровень безопасности, то есть предотвратить инцидент или нарушение – они в большей мере помогут отстоять компании свои интересы в случае разбирательств с нерадивым сотрудником уже после свершившегося факта нарушения.

Вводному инструктажу хочется уделить особое внимание – именно на этом этапе новому сотруднику можно придать импульс с точки зрения отношения к информационной безопасности в компании. Если ваш вводный инструктаж похож на предполетную речь бортпроводника самолета, то можно с уверенностью сказать, что далеко вы на этом не уедете. Важными аспектами в данном случае являются как материал, который демонстрируется сотруднику, так и навыки коммуникаций со стороны выступающего. При формировании инструктажа должна доноситься информация о том, к кому в блоке безопасности необходимо обратиться за консультацией, на каких ресурсах или в каких документах сотрудник может найти информацию, как ему следует поступать в тех или иных случаях, а также материал подается без привязки к конкретным бизнес-процессам компании.

Коммуникации с сотрудниками также являются важным фактором успеха, они могут быть реализованы посредством корпоративного портала, рассылок по электронной почте, установки скринсейверов на рабочих местах и т.п. В коммуникациях главное найти золотую середину – не превратить сообщения в повторяющийся спам для сотрудников или редкие напоминания о себе.

Начиная внедрять вышеописанные способы и постепенно повышать уровень зрелости процесса повышения осведомленности, мы неизбежно обращаемся к теоретической части, которую зачастую ищем в нормативной базе (ГОСТ, требования Банка России, приказы ФСТЭК и т.д.) и в конечном итоге приходим к пониманию, что российские требования в части повышения осведомленности – это в основном общие требования. Здесь мы подошли к одному из моментов, которые влияют на конечную цель – каждый пытается сделать что-то свое, часто делая идентичные ошибки. В данном случае можно говорить об отсутствии «best practice» – понятных и формализованных рекомендаций по повышению уровня осведомленности. Одним из важнейших негативных факторов также является отсутствие выделенного сотрудника для реализации данного процесса – повышение осведомленности до сих пор часто воспринимается как работа с частичной занятостью, которой дополнительно нагружают текущих сотрудников.

Ниже приводится статистика SANS Institute, опубликованная в отчете «Security Awareness Report» за 2019 год, которая демонстрирует, что свыше 50% специалистов уделяют не более четверти своего времени на вопросы, связанные с повышением осведомленности пользователей.

Рисунок 1. Время, которое тратит специалист на процесс повышения осведомленности пользователей

 

Отсутствие постоянной поддержки со стороны руководства и ключевых направлений (HR, внутренние коммуникации, финансы) также не способствует достижению цели. В своем большинстве даже те организации, которые считают повышение осведомленности важным процессом, не уделяют должного внимания анализу результатов данной деятельности.

Здесь мы подходим, пожалуй, к ахиллесовой пяте типового подхода – все, о чем мы говорили ранее, можно смело отнести к теоретической части, а что же с практикой? Именно здесь и присутствует основная проблема – сотрудникам не прививают навыки безопасной работы, когда они реально сталкиваются с событием, которое может нанести вред, то зачастую принимают неверные решения. Так, например, сегодня фишинг ориентирован не только на электронную почту, в его арсенал могут входить SMS (смсинг), телефонные звонки (вишинг), мессенджеры, социальные сети, поддельные домены, а также инструменты для имитации голоса – вещи, с которыми сотрудник сталкивается неоднократно. Даже если сотрудник знает о них, то в большинстве случаев к ним не готов, так как навык противодействия этим угрозам не развит.

С развитием технологий социальной инженерии должны развиваться и инструменты для повышения осведомленности пользователей. Можно смело говорить, что типового подхода уже недостаточно. Если вы хотите реально повысить безопасность и максимально снизить риски человеческого фактора, то без тренировки сотрудников уже не обойтись. Отличной аналогией в данном случае является вождение автомобиля: в рамках обучения вам не только рассказывают теорию, но и прививают навыки вождения, чтобы в дальнейшем можно было ездить не только на учебной площадке.

Делать это можно различными способами – внедрить специализированное программное обеспечение, имитирующее действия злоумышленников, которое позволяет на периодической основе тренировать и отслеживать динамику формирования навыков у сотрудников. Результат достигается за счет периодичности тренировок, а также проведения последующего обучения по результатам тренировки. Также возможно воспользоваться услугами сервис-провайдеров в области информационной безопасности, которые оказывают такие услуги по модели подписки. В случае использования услуги компания также решает все вопросы, связанные с персонализацией и периодическим обновлением контента, так как злоумышленники не стоят на месте. Вне зависимости от того, какой способ выбирает компания, залогом успеха в данном случае будет периодическая проверка навыков ваших сотрудников, которая поможет держать их «в тонусе».

 

Коротко резюмируем написанное выше:

  1. Типовой подход дает знания, но не формирует навыки.
  2. Необходимость формирования навыков безопасной работы у сотрудников – реальность наших дней.
  3. Тренировка навыков является ключевым фактором, формирующим у сотрудников компании навыки безопасной работы.
  4. Инструменты для тренировки навыков могут быть разные, но для их эффективной работы лучше использовать специализированные решения или услуги.
  5. Отчетность и аналитика являются одним из важнейших факторов для отслеживания прогресса.
  6. Отслеживание прогресса позволяет реально повышать уровень осведомленности сотрудников за счет устранения пробелов в их знаниях и навыках.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных