Осведомить и гендира, и уборщицу или Как построить Security Awareness в компании

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.774
Репутация
11.595
Реакции
61.687
RUB
50
В эпоху постоянно растущих киберугроз, повышение осведомленности о безопасности стало критически важным для организаций всех размеров.


Обучая сотрудников распознавать и реагировать на угрозы безопасности, компании могут значительно снизить риск кибератак и защитить свои ценные активы. В статье рассказываем, как проходит разработка и реализации эффективных мероприятий по повышению осведомленности о безопасности.

k6s7b795p3mfrngla8on59ji13j3yuqr.jpg


Разработка стратегии и плана мероприятий по повышению осведомленности

Сразу надо сказать, что стремление к повышению осведомленности сотрудников — не модный тренд, а требование законодательства. В Федеральном законе РФ «О персональных данных», а также некоторых Приказах ФСТЭК четко прописаны требования по обучению и осведомленности.

Раньше вопрос обучения находился в самом низу списка мер информационной безопасности. Сейчас же его приоритет ощутимо возрос. Компании все больше и больше осознают необходимость обучения сотрудников навыкам кибербезопасности. Начинается формирование культуры информационной безопасности, в рамках которой процесс ИБ тесно интегрирован в ежедневную работу – сотрудники не только получают знания об информационной безопасности, но и активно применяют их на практике. Очень важно, что применение таких навыков поощряется руководством, которое понимает риски и потенциальный ущерб от инцидентов ИБ.

Поэтому внедрение Security Awareness — это целый комплекс действий, которые требуют тщательной предварительной проработки, а также определенного количества кадровых и финансовых ресурсов на реализацию.

Внедрение Security Awareness включает несколько этапов, каждый из которых играет важную роль в успешной реализации программы:

  1. Оценка текущего состояния безопасности: первым шагом является оценка текущего уровня осведомленности сотрудников и уязвимостей в системах компании.
  2. Разработка стратегии повышения осведомленности: на основе результатов оценки формируется стратегия повышения осведомленности, которая включает в себя выбор методов обучения, определение целей и планов реализации Security Awareness.
  3. Обучение сотрудников на основе выбранных программ, а затем тестирование усвоенного материала с помощью имитации атак.
  4. Постоянное обновление и улучшение Security Awareness в соответствии с тенденциями киберугроз.

И первое, что должны сделать компании, стремящиеся к повышению осведомленности в коллективе — определить круг сотрудников и оценить их текущий уровень знаний по ИБ, чтобы понять, какие аспекты нуждаются в улучшении.

Следующий этап — определение основных методов и инструментов, а также тем для обучения. Глобально можно выделить несколько тем обучения, которые будут полезны в любой компании или организации:
  • информирование о рисках, угрозах и их влиянии на бизнес;
  • изменение законодательства по информационной безопасности;
  • актуальные тренды киберугроз и тенденции безопасности;
  • защита паролей и управление доступом;
  • инцидент-менеджмент и т. д.
Далее определяются конкретные шаги и активности, которые будут проведены для достижения поставленных целей, сроки, бюджет и ответственные за реализацию каждого этапа.

Какие форматы обучения наиболее эффективны

Обучение, направленное на повышение уровня осведомленности об информационной безопасности, проводится в разных форматах.

Например:
  • тренинги и семинары;
  • вебинары;
  • онлайн-курсы;
  • информационные бюллетени и брошюры;
  • подкасты и видео и т. д.
Обычно организации используют комбинацию этих форматов для охвата различных стилей обучения и обеспечения непрерывного внедрения сообщений о безопасности.

Набирают популярность классы решений Security Awareness — специальные продукты, предназначенные для обучения и тестирования сотрудников компаний по основным вопросам кибербезопасности. Обучение, как правило, состоит из нескольких модулей и дает разносторонний взгляд на потенциальные киберугрозы организации.

Отдельно стоит отметить фокус на повышение осведомленности через практическое обучение по противодействию киберугрозам в рамках внутренних проектов по атакам с использованием методов социальной инженерии. Данные проекты покрывают либо всех сотрудников компании, либо происходит целевая выборка по специалистам, которые имеют повышенные привилегии в бизнес-критичных системах и конфиденциальных данных. Большинство учений проводится в формате фишинговой рассылки и звонков, однако иногда организации прибегают и к несанкционированному физическому проникновению.

Но есть несколько форматов, которые наиболее эффективны для достижения поставленных целей.

Игры, симуляции, геймификация​

Увлекательные форматы, которые позволяют сотрудникам применять свои знания безопасности в практических ситуациях. А также использование игровых элементов, таких как очки, награды и таблицы лидеров, для повышения мотивации и вовлеченности.

Платформы Security Awareness​

Обучающие платформы для повышения осведомленности сотрудников о правилах информационной безопасности и для проверки готовности персонала к реальным кибератакам. При обучении используются практические занятия, игровой подход, организуется имитация атак. Это формирует у обучающихся устойчивые привычки и помогает укреплять кибербезопасность в долгосрочной перспективе. Вот примеры платформ Security Awareness:
  • Kaspersky Automated Security Awareness Platform;
  • Phishman Awareness Center;
  • UBS Security Awareness Platform;
  • Syssoft Security Awareness;
  • Deteact Awareness;
  • МегаФон Security Awareness.
Использование подобных сервисов существенно облегчает жизнь руководства компаний. Можно воспользоваться готовыми программами обучения, а не выдумывать все с нуля самостоятельно.

В настоящее время меняется сам подход компаний к осведомленности о кибербезопасности. Раньше по большей части это был реактивный подход — когда уже случался какой-либо инцидент, проводили разбор на своем примере. Сейчас компании действуют проактивно. Проводят различные обучения сотрудников, пишут регламенты и пр.

Также стали появляться комплексные услуги по повышению осведомленности сотрудников в сфере ИБ, когда программа по повышению осведомленности разрабатывается индивидуально для компании/отрасли, исходя из типовых отраслевых угроз.

Обычно презентационные материалы, видеоролики и прочие материалы разрабатываются отдельными модулями для разных категорий сотрудников: руководителей, звена управления, технического персонала и т. д. После ознакомления с материалами для обучающихся предусмотрено тестирование.

Мониторинг и оценка эффективности обучения​

Мониторинг, оценка и корректировка мероприятий по повышению осведомленности — это процесс анализа эффективности проведенного обучения и внесения необходимых изменений для достижения желаемых результатов. Важно следить за реакцией аудитории, изучать обратную связь и проводить оценку результатов, чтобы определить, что было полезным и что можно улучшить.

Для оценки эффективности мероприятий по повышению осведомленности используют различные методы: опросы, анкетирование, анализ статистики посещаемости веб-сайта или социальных сетей, сравнение с показателями до проведения мероприятий и т. д.

Важным показателем эффективности мероприятий по повышению осведомленности является количество неудачных фишинг-атак, которое позволяет определить бдительность сотрудников. В настоящее время фишинг стал самой распространенной угрозой в интернете, и его масштабы постоянно растут. Только в России ежедневно отправляется более 1 миллиона вредоносных сообщений. Этот вид атак популярен из-за своей относительной дешевизны — более 80% писем мошенники отправляют с использованием софта, стоимость которого начинается от 299 рублей. Опасные сообщения могут получать как частные лица, так и компании, но именно компании — основная цель хакеров. Сотрудники организаций чаще всего становятся жертвами атак, поэтому все компании должны обращать внимание на цифровую безопасность сотрудников.

Также уровень участия в тренингах оценивается по проценту сотрудников, прошедших обучение по безопасности, и их активности в тренинге. Важным аспектом является также анализ изменения поведения сотрудников, их готовности к принятию новых мер безопасности и изменению поведения в рабочей среде.

После анализа результатов оценки возможна корректировка мероприятий. Например, изменение формата мероприятий, обновление информационных материалов, улучшение коммуникационных стратегий, изменение целевой аудитории и т. д.

Важно быть гибкими и открытыми к изменениям, чтобы создавать эффективные мероприятия по повышению осведомленности, которые будут приносить долгосрочный положительный результат.

Заключение

Внедрение мероприятий по повышению осведомленности о безопасности имеет решающее значение для создания проактивной и устойчивой к киберугрозам культуры в организации. При правильном планировании и реализации эти мероприятия могут стать мощным средством защиты ценных активов и репутации организации.


 
  • Теги
    security awareness киберугрозы персональные данные
  • Сверху Снизу