Контакты
Подписка 2025
Статьи по информационной безопасности

Повышение осведомленности сотрудников: We Can Do It

Александр Дворянский, 29/05/20

Повышение осведомленности сотрудников в сфере ИБ – один из вечных трендов информационной безопасности. И, к сожалению, один из тех, которым зачастую пренебрегают, согласно ежегодно публикуемой статистике.  Надежды на “русский авось" или убеждение в том, что защитить ценные данные получится с помощью одних только технических средств и систем, способны привести к серьезным последствиям. Финансовые потери, операционные сбои, утрата партнеров и клиентов и, как следствие, ухудшение делового имиджа случаются гораздо чаще, чем это можно себе представить. Если я вас достаточно напугал, значит мы можем переходить к основной части статьи.

Автор: Александр Дворянский, директор по маркетингу компании “Инфосекьюрити" (ГК “Софтлайн")

Скажу об отрасли, в которой я долгое время работаю, чтобы вы поняли, почему мне интересна эта тема. Компания "Инфосекьюрити" оказывает услуги в сфере информационной безопасности, системной интеграции и консалтинга. Нам важно показать, что мы можем защитить не только данные, которые нам доверяют клиенты, но и свои собственные активы. И здесь повышение осведомленности играет весьма и весьма значительную роль.

Почти во всех инцидентах информационной безопасности присутствует человеческий фактор. Конечно, причиной бывают и неосторожность, и злой умысел, и действия мошенников. Но в большинстве случаев дело в том, что сотрудники компаний попросту не знают – а потому не соблюдают – правила ИБ.

Зачем это нужно

В любой уважающей себя компании существуют внутренние регламенты, политики и методики, посвященные правилам хранения и обработки конфиденциальной информации. Увы, само по себе наличие этих документов не дает ровным счетом ничего. Реальную защиту обеспечивают сотрудники, которые точно следуют прописанным в документах требованиям. Но где найти таких идеальных защитников?

Хитрость в том, что их нужно не искать, а, скажем так, выращивать. Комплекс мероприятий и материалов, направленных на повышение осведомленности в сфере ИБ, позволяет сформировать в компании культуру работы с ценными данными. Если все подобрано верно, сотрудники начинают соблюдать правила информационной безопасности на рефлекторном уровне, и вам уже не придется заботиться о том, что кто-то из них не заблокирует экран компьютера, потеряет токен или забудет квартальный отчет в лотке принтера.

Очное vs дистанционное

Не секрет, что большинство российских компаний предпочитает проводить обучение своих сотрудников – если вообще его проводит– по старинке, в очном формате. Чаще всего это вводные инструктажи по информационной безопасности для новичков. Реже инструктажи дополняются почтовыми рассылками с выдержками из уже упомянутых регламентов и политик конфиденциальной информации.

Та же статистика показывает, что такой подход больше не работает. Во всем мире очное обучение достаточно быстро уступает место обучению дистанционному. И на это есть ряд причин. Самая приятная – снижение затрат: электронные материалы разрабатываются и покупаются один раз, а используются столько, сколько необходимо. Еще одна причина выбрать e-learning – удобство: интерактивные курсы, видеоролики и браузерные игры можно просматривать на разных видах устройств – компьютере, планшете или смартфоне – в любое время. Немаловажно и то, что при выборе дистанционного обучения мероприятия проводятся для любого количества сотрудников, в разных регионах страны – без затрат на выезд тренеров и решение организационных вопросов.

Есть и такое, неочевидное на первый взгляд, преимущество: все давно знают, чего можно ожидать от очного обучения. Грубо говоря, оно не способно удивить сотрудника, по-настоящему вовлечь его в процесс повышения осведомленности. В то же время дистанционное обучение каждый год демонстрирует появление новых методов и технологий. Онлайн-тренажеры, симуляторы бизнес-процессов, VR-кейсы, многопользовательские игры – все эти форматы доказывают, что своего "потолка" e-learning достигнет еще очень нескоро.

С чего начать

Конечно, с целевой аудитории. Проще говоря, разделите ваших сотрудников на группы и определите темы, актуальные для каждой группы. Топ-менеджерам вряд ли будет интересно изучать актуальные уязвимости программного обеспечения, а для разработчиков это один из главных аспектов ИБ.

Когда темы определены, подумайте о форматах обучающих материалов – их тоже нужно персонализировать. Например, у сотрудников front-офиса не так много свободного времени, а иногда и нет личного рабочего компьютера. Им подойдут короткие анимационные видеоролики и яркие плакаты, иллюстрирующие главные правила информационной безопасности. Их можно размещать и демонстрировать и в рабочих помещениях, и в комнатах отдыха. Сотрудники back-офиса могут уделить обучению больше внимания, поэтому им лучше адресовать электронные курсы с включенной проверкой знаний и периодические почтовые рассылки.

Еще одна хорошая практика – перед тем, как проводить обучение по информационной безопасности, проверить, что ваши сотрудники уже знают. Самый простой способ это сделать – провести тестирование, даже небольшое, и разослать письма, имитирующие настоящие вредоносные послания. Так вы поймете, на каких темах нужно сделать основной акцент.

Тренды дистанционного обучения

Собственно, об одном из трендов я уже упомянул – это персонализация, разработка материалов с учетом потребностей целевой аудитории. Если сотрудник понимает, что обучение создано именно для него, процесс становится более приятным и менее стрессовым, а значит приносит лучшие результаты. Кстати, персонализации можно достигнуть не только за счет подбора разных форматов, но и с помощью вариативности внутри одного формата, например, создавая несколько траекторий прохождения электронного курса или давая возможность повторить пройденный материал.

Следующий тренд e-learning – геймификация. Помимо собственно игр, геймификация также активно используется в электронных курсах. Она предполагает добавление игровых элементов – персонажей, анимацию, увлекательный сюжет, постепенное усложнение заданий. Геймификация – это вообще интересная история, потому что она может быть полностью электронной, а может "перетекать" в реальную жизнь. Допустим, за успешное прохождение курсов по информационной безопасности сотрудника можно наградить одним дополнительным днем отпуска. Такие вещи, конечно, согласовываются с HR.

Наконец, еще один тренд – микро-обучение. Оно предполагает подачу теоретического материала небольшими блоками и закрепление каждого блока практическими заданиями. Например, посмотрел пять слайдов курса – ответь на тестовый вопрос или выполни простое упражнение. Если речь идет о видеороликах, то они должны быть длиной не более двух минут. Лучше сделать серию коротких роликов (их можно объединить одним забавным сюжетом), чем заставлять сотрудника смотреть тягомотную, пусть и крайне полезную, 7-минутную проповедь. Но и дробить обучение до бесконечности не стоит – так легко потерять логику повествования.

Проверка знаний

В качестве проверки знаний чаще всего выступают тестирования, упражнения и кейсы в рамках электронных курсов, а также тренажеры и бизнес-симуляторы, направленные на отработку четкой последовательности действий. В любом случае они эффективны главным образом тогда, когда вы можете отслеживать, насколько успешно сотрудники компании их проходят. А это значит, что вам очень желательно обзавестись системой дистанционного обучения (СДО) и загружать материалы уже в нее. Рынок предлагает достаточно вариантов, подобрать нужный не составит труда.

Ранее я упоминал о рассылках, имитирующих вредоносные письма. Учебные фишинговые рассылки хорошо использовать и для периодической проверки знаний. Например, если ваш сотрудник "поддался на провокацию" и открыл такое письмо, его можно повторно направить на изучение курса, посвященного социальной инженерии. В некоторые СДО входит учебный фишинговый модуль, с их помощью вы совместите приятное с полезным. 

Печать в помощь

Электронные обучающие материалы принято дополнять печатными материалами – памятками, буклетами, плакатами, стикерами. Они отлично справляются с задачей сделать обучение разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов, экономить на внешнем виде в данном случае не стоит.

Кстати, именно памятки и буклеты имеет смысл "внедрять" в обучающий процесс первыми. Если разработанные для них концепции и персонажи понравятся и запомнятся сотрудникам, их вполне можно будет применять и в других материалах.

Подведем итоги

Заставить человека учить то, что ему неинтересно, и соблюдать то, что ему непонятно, невозможно. Создавая для сотрудников комплексные программы повышения осведомленности, излагая материал простым и доступным языком и облекая его в игровую форму, вы делаете вклад в безопасность – вашу, вашей компании и ваших клиентов. И если все сделано "по науке", эти вложения непременно окупятся.
Темы:УправлениеЖурнал "Информационная безопасность" #2, 2020обучение

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Стратегия аудита информационной безопасности в пяти шагах
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.
  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"