25 декабря, 2020

Цифровая грамотность сотрудников: от нормативных актов до тренировок

То, что человек – самое слабое звено в информационной безопасности, давно является догмой. Большинство компаний понимают эту проблему и ставят перед собой цель повысить культуру информационной безопасности среди сотрудников.

Как именно они пытаются достичь этой цели, с каким трудностями приходится сталкиваться на пути к ней и какая основная проблема в повышении осведомленности – все эти вопросы постараемся разобрать в рамках данной статьи.

Начнем с основ – большинство компаний, выстраивая процесс повышения осведомленности, используют общепринятый подход, который можно уже с уверенностью называть типовым. Типовой подход в своей основе лежит на трех китах – это локально-нормативные акты по информационной безопасности (далее – ЛНА), вводный инструктаж и коммуникации с сотрудниками.

Если говорить про ЛНА, то в целом с ними все ясно – это документы, часть из которых продиктована российской нормативной базой (защита персональных данных, коммерческая тайна), и эти документы, в большинстве случаев, не помогают реально повысить уровень безопасности, то есть предотвратить инцидент или нарушение – они в большей мере помогут отстоять компании свои интересы в случае разбирательств с нерадивым сотрудником уже после свершившегося факта нарушения.

Вводному инструктажу хочется уделить особое внимание – именно на этом этапе новому сотруднику можно придать импульс с точки зрения отношения к информационной безопасности в компании. Если ваш вводный инструктаж похож на предполетную речь бортпроводника самолета, то можно с уверенностью сказать, что далеко вы на этом не уедете. Важными аспектами в данном случае являются как материал, который демонстрируется сотруднику, так и навыки коммуникаций со стороны выступающего. При формировании инструктажа должна доноситься информация о том, к кому в блоке безопасности необходимо обратиться за консультацией, на каких ресурсах или в каких документах сотрудник может найти информацию, как ему следует поступать в тех или иных случаях, а также материал подается без привязки к конкретным бизнес-процессам компании.

Коммуникации с сотрудниками также являются важным фактором успеха, они могут быть реализованы посредством корпоративного портала, рассылок по электронной почте, установки скринсейверов на рабочих местах и т.п. В коммуникациях главное найти золотую середину – не превратить сообщения в повторяющийся спам для сотрудников или редкие напоминания о себе.

Начиная внедрять вышеописанные способы и постепенно повышать уровень зрелости процесса повышения осведомленности, мы неизбежно обращаемся к теоретической части, которую зачастую ищем в нормативной базе (ГОСТ, требования Банка России, приказы ФСТЭК и т.д.) и в конечном итоге приходим к пониманию, что российские требования в части повышения осведомленности – это в основном общие требования. Здесь мы подошли к одному из моментов, которые влияют на конечную цель – каждый пытается сделать что-то свое, часто делая идентичные ошибки. В данном случае можно говорить об отсутствии «best practice» – понятных и формализованных рекомендаций по повышению уровня осведомленности. Одним из важнейших негативных факторов также является отсутствие выделенного сотрудника для реализации данного процесса – повышение осведомленности до сих пор часто воспринимается как работа с частичной занятостью, которой дополнительно нагружают текущих сотрудников.

Ниже приводится статистика SANS Institute, опубликованная в отчете «Security Awareness Report» за 2019 год, которая демонстрирует, что свыше 50% специалистов уделяют не более четверти своего времени на вопросы, связанные с повышением осведомленности пользователей.

Рисунок 1. Время, которое тратит специалист на процесс повышения осведомленности пользователей

 

Отсутствие постоянной поддержки со стороны руководства и ключевых направлений (HR, внутренние коммуникации, финансы) также не способствует достижению цели. В своем большинстве даже те организации, которые считают повышение осведомленности важным процессом, не уделяют должного внимания анализу результатов данной деятельности.

Здесь мы подходим, пожалуй, к ахиллесовой пяте типового подхода – все, о чем мы говорили ранее, можно смело отнести к теоретической части, а что же с практикой? Именно здесь и присутствует основная проблема – сотрудникам не прививают навыки безопасной работы, когда они реально сталкиваются с событием, которое может нанести вред, то зачастую принимают неверные решения. Так, например, сегодня фишинг ориентирован не только на электронную почту, в его арсенал могут входить SMS (смсинг), телефонные звонки (вишинг), мессенджеры, социальные сети, поддельные домены, а также инструменты для имитации голоса – вещи, с которыми сотрудник сталкивается неоднократно. Даже если сотрудник знает о них, то в большинстве случаев к ним не готов, так как навык противодействия этим угрозам не развит.

С развитием технологий социальной инженерии должны развиваться и инструменты для повышения осведомленности пользователей. Можно смело говорить, что типового подхода уже недостаточно. Если вы хотите реально повысить безопасность и максимально снизить риски человеческого фактора, то без тренировки сотрудников уже не обойтись. Отличной аналогией в данном случае является вождение автомобиля: в рамках обучения вам не только рассказывают теорию, но и прививают навыки вождения, чтобы в дальнейшем можно было ездить не только на учебной площадке.

Делать это можно различными способами – внедрить специализированное программное обеспечение, имитирующее действия злоумышленников, которое позволяет на периодической основе тренировать и отслеживать динамику формирования навыков у сотрудников. Результат достигается за счет периодичности тренировок, а также проведения последующего обучения по результатам тренировки. Также возможно воспользоваться услугами сервис-провайдеров в области информационной безопасности, которые оказывают такие услуги по модели подписки. В случае использования услуги компания также решает все вопросы, связанные с персонализацией и периодическим обновлением контента, так как злоумышленники не стоят на месте. Вне зависимости от того, какой способ выбирает компания, залогом успеха в данном случае будет периодическая проверка навыков ваших сотрудников, которая поможет держать их «в тонусе».

 

Коротко резюмируем написанное выше:

  1. Типовой подход дает знания, но не формирует навыки.
  2. Необходимость формирования навыков безопасной работы у сотрудников – реальность наших дней.
  3. Тренировка навыков является ключевым фактором, формирующим у сотрудников компании навыки безопасной работы.
  4. Инструменты для тренировки навыков могут быть разные, но для их эффективной работы лучше использовать специализированные решения или услуги.
  5. Отчетность и аналитика являются одним из важнейших факторов для отслеживания прогресса.
  6. Отслеживание прогресса позволяет реально повышать уровень осведомленности сотрудников за счет устранения пробелов в их знаниях и навыках.

Смотрите также

15.08.2022
Agile-подход: «культура семьи» VS «культура армии»
15.08.2022
«Банки надо обязать предоставить клиенту возможности настройки профиля безопасности»
15.08.2022
Первая массовая волна кибератак немного стихает
15.08.2022
«Новый институт должен способствовать доверительной атмосфере на рынке»
15.08.2022
Китайский бигтех показал, что у него в карманах
12.08.2022
Dragos: Число кибератак на промсектор снизилось
12.08.2022
Корпоративные данные Lockheed Martin были опубликованы хакерами из Killnet
12.08.2022
VK Видео или Rutube — кто придёт на место YouTube?
12.08.2022
«Расширение возможностей телемедицинских технологий». «Сколково» и «Ростех» держат руку на пульсе
11.08.2022
«У нас есть рабочая группа по финансам между двумя государствами»