29 мая, 2017, BIS Journal №2(25)/2017

Осведомленный сотрудник – защищённая компания


Голубев Александр

директор дирекции по информационной безопасности (ПАО «ВымпелКом»)

Опыт создания корпоративной культуры в сфере информационной безопасности на примере телекоммуникационной компании «ВымпелКом»

Как показывает практика, какая бы мощная система защиты ни стояла по периметру, всегда найдется слабое место. Чаще всего этим слабым местом оказывается человек. По статистике, больше 80% инцидентов в области информационной безопасности связаны именно с человеческим фактором. Причем угрозы возникают не из злого умысла сотрудников, а по причине их невнимательности, расслабленности, а чаще всего, банальной неосведомленности.
 
Корпоративная культура, как и театр, начинается с вешалки, то есть с отдела кадров. Поделюсь наблюдениями за практикой трудоустройства рядовых сотрудников. Традиционно при устройстве на работу человек получает в отделе кадров пачку бумаг, которую надо изучить, заполнить и подписать. Новички подписывают, не глядя, соглашение о неразглашении информации, дают согласие на обработку персональных данных, подмахивают, не вникая в содержание, еще кучу бумаг. Дальше идёт обустройство на новом месте: получение компьютера, знакомство с обязанностями, соседями... О том, что следовало бы изучить некие положения, все успешно забывают.
 
В крупных компаниях на испытательный срок у новичка есть куратор. Он вводит в курс дела, в том числе знакомит с темой информационной безопасности – вне зависимости от того, в каком подразделении начал работать человек. Но и такой подход, оказывается, не является решением проблемы осведомленности в сфере ИБ. Эту проблему нужно решать постоянно.  
 
Под повышением осведомленности в вопросах информационной безопасности обычно понимается:
  • обучение сотрудников компании вопросам обеспечения ИБ;
  • повышение осведомленности об актуальных угрозах ИБ, мерах и способах реализации атак и средствах защиты;
  • фокусировка внимания сотрудников на важности обеспечения ИБ и пр. 
Какова программа повышения осведомленности? В нашей компании мы используем Цикл Деминга – PDCA (англ. Plan-Do-Check-Act – планирование – действие – проверка - корректировка) - циклически повторяющийся процесс принятия решения, который используется в управлении качеством. Мы применили этот цикл к системе обучения и тестирования персонала в области ИБ.
 
Все необходимые требования, действующие в компании, должны быть представлены сотруднику в доступной, понятной форме. Например, в силу специфики ВымпелКома у нас во всех помещениях расставлены мониторы, на которых в режиме нон-стоп крутится реклама бренда. Периодически реклама прерывается, и очаровательная девушка строго спрашивает: «А ты не забыл сменить пароль?», «А ты помнишь, что он должен быть не менее 8 буквенно-цифровых символов?» и т.д. Такая практика напоминания приносит свои практические плоды.
 
Процесс повышения осведомленности в области ИБ не должен быть разовой акцией: провели, отчитались и забыли. Это рутинная, порой монотонная работа, которую нужно проводить регулярно. Основной вопрос при внедрении программы повышения осведомленности – найти поддержку у руководителей компании, отвечающих за финансовую сторону процесса. Для этого необходимо представить бизнес-план, в котором определены основные моменты программы, целевая аудитория, исполнители и заказчик.
 
При составлении плана работ мы выделили ответственных за создание и реализацию программы, определили цели и задачи проекта. Сложный момент – определение целевых аудиторий. В зависимости от занимаемых должностей и служебных обязанностей сотрудникам требуется разное обучение в разном объеме. Можно выделить финансовый блок, IT-персонал, менеджмент, внешних исполнителей и т.п.
 
Поскольку базовый стандарт квалификационных требований к подготовке специалистов ИБ для телекоммуникационных компаний отсутствует, за основу мы взяли стандарт Банка России СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», стандарты безопасности индустрии платежных карт PCI Security Standards Council, пакет международных стандартов COBIT 5, наработки в области тренингов Национального института стандартов и технологий США, Европейского агентства по IT-безопасности ENISA. Также полезно было изучить материалы вендоров, интеграторов, программы отечественных и зарубежных учебных центров.
 
При ближайшем рассмотрении оказалось, что банковские стандарты отлично подходят для телекоммуникационной корпорации, поскольку через нее проходит примерно такое же число транзакций как через банк, входящий в топ-30. Только лицензии на банковскую деятельность у сотового оператора нет.
 
Далее для каждой целевой аудитории определяется актуальный набор мероприятий. Способы донесения информации разные: семинары, тренинги, мультимедиа-курсы, рассылки, бюллетени безопасности, постеры и пр. У нас отличным источником информации по ИБ стало внутреннее Билайн-радио. Сотрудники на рабочих местах слушают легкую музыку, производственные объявления и периодически – без излишнего напряжения – знакомятся с вопросами, связанными с информационной безопасностью.
 
Чтобы оценить результат мы заранее подготовили метрики для анализа эффективности программы и подготовили мероприятия по проверке и тестированию полученных сотрудниками знаний.
 
Очень важен вопрос обратной связи. Какой бы замечательный лектор или именитый эксперт в области ИБ ни выступил перед вашей целевой аудиторией, вы не сможете оценить эффективность его выступления, если не имеете обратной связи. Отзывы сотрудников помогают понять, насколько им интересно и полезно то или иное мероприятие. Часто приглашенный эксперт, будучи отличным специалистом, оказывается плохим оратором, не способным донести свои знания до аудитории. А часто аудитории и не требуются глубокие знания в специфических областях ИБ – достаточно общего обзора, но изложенного понятно и увлекательно.
 
Важно также поддерживать связь с руководством – от его вовлеченности в процесс повышения корпоративной культуры зачастую зависит финансирование и дальнейшее развитие этого проекта.
 
Поскольку программа повышения осведомленности носит непрерывный, циклический характер, необходимо завершать каждый её этап полноценной проверкой знаний сотрудников и сбором их мнений о качестве проведенной работы. Иначе весь проект превратится в пустую формальность. Кроме того, необходимо постоянно анализировать ландшафт угроз, отслеживать новые требования регуляторов и дополнять программу обучения новыми материалами, учитывая стоящие перед компанией как оперативные, так и долгосрочные цели.
 
Среди тенденций в работе с персоналом стоит отметить свободный график и отсутствие жесткой привязки к рабочему месту. ВымпелКом активно практикует модель работы «би фри». У нее есть и плюсы, и минусы, но в любом случае удаленная работа – хороший повод провести тестирование на практике.
 
Основные угрозы для рядовых сотрудников - фишинговые письма. Поэтому заручившись поддержкой руководства, мы провели собственную рассылку таких писем. Сотрудникам отдела маркетинга мы разослали послания с предложением необычного продукта, HR-службе – резюме и т.д. Большинство писем содержали просьбу перейти по ссылке и ввести свою учетную запись.
 
Результат оказался ошеломляющим. Большинство сотрудников ничтоже сумняшеся перешли по этим зловредным ссылкам и поделились своей учетной записью. Но еще большее потрясение мы испытали после подведения итогов тестирования сотрудников штаб-квартиры компании, которая расположена в Амстердаме. Там перешли по зловредной ссылке почти все. Появился повод как минимум задуматься о повышении роли ИБ в компании, а как максимум – организовать финансирование программы образования сотрудников в области ИБ на постоянной основе.
 
Заручившись финансовой поддержкой, мы разработали программы обучения ИБ, которые были включены в общую программу обучения «Билайн-университет». Обучение и тестирование теперь будут проходить на регулярной основе. Положение об ежемесячных проверках бдительности персонала в ближайшее время будет внесено отдельным пунктом в «Политику информационной безопасности компании».
 
Каждый месяц, готовя отчет, мы отмечаем сотрудников и структурные подразделения, которые попадаются на те или иные уловки, и проводим с ними дополнительное обучение. Человека отправляют на курсы и тренинги в автоматизированном режиме. Сдал тест, набрал определенное количество баллов – иди дальше. Не набрал – учись по второму кругу. Если после нескольких попыток проблема не решается, то стоит, как минимум, присмотреться к сотруднику.
 
Как сделать обучение интересным? Можно использовать геймификацию и интерактивные техники, хорошо работают методы стимуляции и поощрения за высокие результаты в программе, привлечение успешных сотрудников к обучению коллег. Стоит обращать внимание персонала на то, что полученные знания и навыки полезно применять не только на работе, но и в личной жизни, дома.
 
Программа повышения осведомленности достаточно быстро принесла свои плоды. После проведенной рассылки «фишинговых» писем многие сотрудники стали задумываться, прежде чем открыть какое-то письмо. Первое время моему структурному подразделению пришлось особенно трудно – на нас обрушился шквал вопросов: стоит ли открывать то или иное письмо, фишинговое оно или это только повод попасть на обучение? Со временем такие наивные обращения сошли на нет, что говорит о пользе проведенного обучения.
 
Аналогичную программу повышения осведомленности в вопросах информационной безопасности можно реализовать на базе учебных центров, у которых есть своя методика преподавания, аккредитации и лицензии регуляторов. Часто готовы обучать сотрудников организации вендоры, поставляющее оборудование и заинтересованные в его грамотной эксплуатации. Однако гораздо надежнее, спокойнее и проще собрать и подготовить специалистов в своей компании.

И тогда можно перевести самое слабое звено в цепи защиты от разного рода кибератак в надежный элемент ИБ.

 

Смотрите также

Игра на опережение

5 декабря, 2016

Логика победы

5 декабря, 2016
Подпишись на новости!
Подписаться