Контакты
Подписка 2024

Повышение осведомленности сотрудников: We Can Do It

Александр Дворянский, 29/05/20

Повышение осведомленности сотрудников в сфере ИБ – один из вечных трендов информационной безопасности. И, к сожалению, один из тех, которым зачастую пренебрегают, согласно ежегодно публикуемой статистике.  Надежды на “русский авось" или убеждение в том, что защитить ценные данные получится с помощью одних только технических средств и систем, способны привести к серьезным последствиям. Финансовые потери, операционные сбои, утрата партнеров и клиентов и, как следствие, ухудшение делового имиджа случаются гораздо чаще, чем это можно себе представить. Если я вас достаточно напугал, значит мы можем переходить к основной части статьи.

Автор: Александр Дворянский, директор по маркетингу компании “Инфосекьюрити" (ГК “Софтлайн")

Скажу об отрасли, в которой я долгое время работаю, чтобы вы поняли, почему мне интересна эта тема. Компания "Инфосекьюрити" оказывает услуги в сфере информационной безопасности, системной интеграции и консалтинга. Нам важно показать, что мы можем защитить не только данные, которые нам доверяют клиенты, но и свои собственные активы. И здесь повышение осведомленности играет весьма и весьма значительную роль.

Почти во всех инцидентах информационной безопасности присутствует человеческий фактор. Конечно, причиной бывают и неосторожность, и злой умысел, и действия мошенников. Но в большинстве случаев дело в том, что сотрудники компаний попросту не знают – а потому не соблюдают – правила ИБ.

Зачем это нужно

В любой уважающей себя компании существуют внутренние регламенты, политики и методики, посвященные правилам хранения и обработки конфиденциальной информации. Увы, само по себе наличие этих документов не дает ровным счетом ничего. Реальную защиту обеспечивают сотрудники, которые точно следуют прописанным в документах требованиям. Но где найти таких идеальных защитников?

Хитрость в том, что их нужно не искать, а, скажем так, выращивать. Комплекс мероприятий и материалов, направленных на повышение осведомленности в сфере ИБ, позволяет сформировать в компании культуру работы с ценными данными. Если все подобрано верно, сотрудники начинают соблюдать правила информационной безопасности на рефлекторном уровне, и вам уже не придется заботиться о том, что кто-то из них не заблокирует экран компьютера, потеряет токен или забудет квартальный отчет в лотке принтера.

Очное vs дистанционное

Не секрет, что большинство российских компаний предпочитает проводить обучение своих сотрудников – если вообще его проводит– по старинке, в очном формате. Чаще всего это вводные инструктажи по информационной безопасности для новичков. Реже инструктажи дополняются почтовыми рассылками с выдержками из уже упомянутых регламентов и политик конфиденциальной информации.

Та же статистика показывает, что такой подход больше не работает. Во всем мире очное обучение достаточно быстро уступает место обучению дистанционному. И на это есть ряд причин. Самая приятная – снижение затрат: электронные материалы разрабатываются и покупаются один раз, а используются столько, сколько необходимо. Еще одна причина выбрать e-learning – удобство: интерактивные курсы, видеоролики и браузерные игры можно просматривать на разных видах устройств – компьютере, планшете или смартфоне – в любое время. Немаловажно и то, что при выборе дистанционного обучения мероприятия проводятся для любого количества сотрудников, в разных регионах страны – без затрат на выезд тренеров и решение организационных вопросов.

Есть и такое, неочевидное на первый взгляд, преимущество: все давно знают, чего можно ожидать от очного обучения. Грубо говоря, оно не способно удивить сотрудника, по-настоящему вовлечь его в процесс повышения осведомленности. В то же время дистанционное обучение каждый год демонстрирует появление новых методов и технологий. Онлайн-тренажеры, симуляторы бизнес-процессов, VR-кейсы, многопользовательские игры – все эти форматы доказывают, что своего "потолка" e-learning достигнет еще очень нескоро.

С чего начать

Конечно, с целевой аудитории. Проще говоря, разделите ваших сотрудников на группы и определите темы, актуальные для каждой группы. Топ-менеджерам вряд ли будет интересно изучать актуальные уязвимости программного обеспечения, а для разработчиков это один из главных аспектов ИБ.

Когда темы определены, подумайте о форматах обучающих материалов – их тоже нужно персонализировать. Например, у сотрудников front-офиса не так много свободного времени, а иногда и нет личного рабочего компьютера. Им подойдут короткие анимационные видеоролики и яркие плакаты, иллюстрирующие главные правила информационной безопасности. Их можно размещать и демонстрировать и в рабочих помещениях, и в комнатах отдыха. Сотрудники back-офиса могут уделить обучению больше внимания, поэтому им лучше адресовать электронные курсы с включенной проверкой знаний и периодические почтовые рассылки.

Еще одна хорошая практика – перед тем, как проводить обучение по информационной безопасности, проверить, что ваши сотрудники уже знают. Самый простой способ это сделать – провести тестирование, даже небольшое, и разослать письма, имитирующие настоящие вредоносные послания. Так вы поймете, на каких темах нужно сделать основной акцент.

Тренды дистанционного обучения

Собственно, об одном из трендов я уже упомянул – это персонализация, разработка материалов с учетом потребностей целевой аудитории. Если сотрудник понимает, что обучение создано именно для него, процесс становится более приятным и менее стрессовым, а значит приносит лучшие результаты. Кстати, персонализации можно достигнуть не только за счет подбора разных форматов, но и с помощью вариативности внутри одного формата, например, создавая несколько траекторий прохождения электронного курса или давая возможность повторить пройденный материал.

Следующий тренд e-learning – геймификация. Помимо собственно игр, геймификация также активно используется в электронных курсах. Она предполагает добавление игровых элементов – персонажей, анимацию, увлекательный сюжет, постепенное усложнение заданий. Геймификация – это вообще интересная история, потому что она может быть полностью электронной, а может "перетекать" в реальную жизнь. Допустим, за успешное прохождение курсов по информационной безопасности сотрудника можно наградить одним дополнительным днем отпуска. Такие вещи, конечно, согласовываются с HR.

Наконец, еще один тренд – микро-обучение. Оно предполагает подачу теоретического материала небольшими блоками и закрепление каждого блока практическими заданиями. Например, посмотрел пять слайдов курса – ответь на тестовый вопрос или выполни простое упражнение. Если речь идет о видеороликах, то они должны быть длиной не более двух минут. Лучше сделать серию коротких роликов (их можно объединить одним забавным сюжетом), чем заставлять сотрудника смотреть тягомотную, пусть и крайне полезную, 7-минутную проповедь. Но и дробить обучение до бесконечности не стоит – так легко потерять логику повествования.

Проверка знаний

В качестве проверки знаний чаще всего выступают тестирования, упражнения и кейсы в рамках электронных курсов, а также тренажеры и бизнес-симуляторы, направленные на отработку четкой последовательности действий. В любом случае они эффективны главным образом тогда, когда вы можете отслеживать, насколько успешно сотрудники компании их проходят. А это значит, что вам очень желательно обзавестись системой дистанционного обучения (СДО) и загружать материалы уже в нее. Рынок предлагает достаточно вариантов, подобрать нужный не составит труда.

Ранее я упоминал о рассылках, имитирующих вредоносные письма. Учебные фишинговые рассылки хорошо использовать и для периодической проверки знаний. Например, если ваш сотрудник "поддался на провокацию" и открыл такое письмо, его можно повторно направить на изучение курса, посвященного социальной инженерии. В некоторые СДО входит учебный фишинговый модуль, с их помощью вы совместите приятное с полезным. 

Печать в помощь

Электронные обучающие материалы принято дополнять печатными материалами – памятками, буклетами, плакатами, стикерами. Они отлично справляются с задачей сделать обучение разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов, экономить на внешнем виде в данном случае не стоит.

Кстати, именно памятки и буклеты имеет смысл "внедрять" в обучающий процесс первыми. Если разработанные для них концепции и персонажи понравятся и запомнятся сотрудникам, их вполне можно будет применять и в других материалах.

Подведем итоги

Заставить человека учить то, что ему неинтересно, и соблюдать то, что ему непонятно, невозможно. Создавая для сотрудников комплексные программы повышения осведомленности, излагая материал простым и доступным языком и облекая его в игровую форму, вы делаете вклад в безопасность – вашу, вашей компании и ваших клиентов. И если все сделано "по науке", эти вложения непременно окупятся.

Темы:УправлениеЖурнал "Информационная безопасность" #2, 2020обучение

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Отечественные ИT-платформы
3 апреля. Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • Как оценить эффективность системы управления операционным риском? (чек-лист)
    Валерия Окорокова, младший консультант по ИБ RTM Group
    Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками и минимизации соответствующих расходов
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • SECURITY AWARENESS: разработка мероприятий по повышению осведомленности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
  • ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ
    Чтобы решить задачу по организации/модернизации системы реагирования на инциденты, задайте себе несколько следующих вопросов.
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать