(499) 50 44 111 контакты

Security Awareness Печать

 

Сколько не внедряй средства защиты, а любому специалисту в области информационной безопасности хорошо известно, что самое слабое звено в любой системе защиты информации это люди. Необученные должным образом пользователи, которые не знают и не выполняют простейших правил работы с компьютерной техникой, либо думают, что правила к ним не относятся, могут свести на нет эффективность работы всей системы защиты. Поэтому пользователей нужно, как минимум, информировать о правилах, принятых в организации в области информационной безопасности, а как максимум, проводить с ними постоянные тренинги.

В области знаний специалиста по информационной безопасности есть специальный раздел, называющийся программа повышения осведомленности персонала (security awareness programme). Рассмотрим несколько определений, что же это такое:

SANS: - это процесс, который позволяет проинформировать всех пользователей компьютерной сети, каковы требования политик в области информационной безопасности, каковы принятые правила, что ожидается от пользователей и как следует обращаться с информацией.

ISF: - это степень, в которой каждый работник понимает:

  • Важность информационной безопасности

  • Уровень информационной безопасности, подходящий для организации

  • Собственные обязанности в отношении информационной безопасности

  • и действует правильно.

Сотрудников можно и нужно должным образом обучить. В целом, выполнение правил информационной безопасности, должно быть для каждого сотрудника неотъемлемой частью повседневной работы и корпоративной культуры. Сотрудники должны осознавать, что они играют важную роль в обеспечении информационной безопасности. Политики и процедуры должны пониматься и выполняться на всех уровнях организации.

Сложность ИТ инфраструктуры значительно увеличивает риски информационной безопасности. При этом, реалии современного бизнеса требуют от компаний подключения к сети Интернет, через которую чаще всего и проводятся атаки злоумышленников. Современные вредоносные программы бывают настолько просты, что могут быть использованы даже детьми, зачастую не понимающими не механизма работы этих программ ни возможных последствий использования. Периметр организации размывается в связи с использованием облачных или мобильных технологий, старые методы защиты уже не годятся. Именно поэтому сотрудники должны быть хорошо обучены, чтобы знать основные угрозы и уметь правильно и своевременно на них отреагировать.

Конечно, специалисты по информационной безопасности прекрасно знают о важности программ повышения осведомленности. Почему же во многих организациях эти программы не столь эффективны? Основные проблемы следующие:

  • Обучение проводится один раз (только для новых сотрудников). Программа не меняется годами.

  • Людей сложно изменить. Вместе со сменой поколений данная проблема становится менее острой, так как современная молодежь знает азы компьютерной грамонтности.

  • Недостаток поддержки высшего руководства. Это может проявляться как в нежелании тратить рабочее время сотрудников на обучение по информационной безопасности, в отказе предоставить необходимые ресурсы, так и  в том, что вечно занятое руководство само отказывается участвовать в программе.

  • Недостатки самой программы. Программа может быть перегружена техническими подробностями или не учитывать специфику компании. Последнее обычно случается, когда программу без изменений «заимствуют» у другой организации. Наконец программа может быть просто скучной.

Какой же должна быть программа, чтобы быть успешной?

  • При составлении программы следует учитывать, что людей сложно изменить, поэтому программа должна концентрироваться на том, чтобы вызвать необходимые изменения.

  • Компания должна мотивировать сотрудников к выполнению правил ИБ.

  • Сотрудники должны чувствовать свою ответственность и свой вклад в общее дело по обеспечению информационной безопасности.

  • Программа должна легко усваиваться и подходить всем уровням сотрудников в организации. Подаваться данная программа должна в том виде и теми способами, как это принято в вашей организации.

Чтобы эти условия выполнились, программа должна преподаваться легко и быть интересной, даже «забавной», но при этом сохранять серьезную основу. Очень важно, чтобы программа имела реальные цели и не отвлекала сотрудников от работы надолго. Лучше всего проводить обучение по графику, согласованному с начальниками соответствующих подразделений.

Конечно, во-многом успешность программы зависит от преподавателя. В идеале, это должен быть человек с яркой харизмой, который понимает природу требуемых изменений в поведении сотрудников и умеет вознаграждать, пусть даже просто словами.

Основные цели программы - в доступной форме рассказать персоналу компании об:

  • Обязанностях и ответственности сотрудников по выполнению требований компании и законодательства в области информационной безопасности

  • Существующих угрозах и рисках для информации

  • Преимуществах выполнения правил по информационной безопасности

  • Ответственности сотрудников по защите информации компании и ее клиентов.

Обычно программа освещает основные риски информационной безопасности – режим охраны, контроль физического доступа, доступ к компьютерным программам, использование паролей и удаленного доступа, вирусы и вредоносные программы, воровство мобильных устройств и накопителей данных, лицензионную политику и процедуру создания резервных копий.

Сотрудники, которые понимают необходимость обеспечения безопасности информации и знают свои обязанности в этом отношении– лучшая защита, которую только может получить компания.

Работающая программа повышения осведомленности позволяет значительно снизить риски информационной безопасности. Прежде всего потому, что сотрудники начинают понимать ценность информации, степень ее критичности, конфиденциальности и т.п. Кроме того, прошедшие обучение лучше представляют цели компании в области информационной безопасности и соответствующую защитную архитектуру. Кроме того, постепенное обучение всех сотрудников, повышение их осведомленности меняет корпоративную культуру организации. В частности, персонал начинает более серьезно относиться к правилам информационной безопасности:

  • Использованию паролей

  • Режиму конфиденциальности

  • Защите персональных данных

  • Резервному копированию важной информации

  • Вирусным заражениям

  • Атакам злоумышленников

Кроме того, программа осведомленности повзоляет повысить операционную эффективность. На первый взгляд, это вещи совершенно не связанные, однако сотрудники, прошедшие обучение, значительно сокращают работу службы технической поддержки, или по крайней мере ее упрощают. Процесс предоставления доступа к информационным ресурсам также протекает более эффективно. В компании может улучшиться ситуация в области, связанной с разделением обязанностей. Количество «случайных» инцидентов, вызванных неосторожными действиями пользователей снижается. В дальнейшем пользователи легче воспринимают новые политики и правила по информационной безопасности.

Какой бы подход к разработке программы повышения осведомленности вы не выбрали, не стоит забывать о следующих вопросах:

  • Обучать следует не только новых сотрудников, но и уже работающих.

  • Необходимо решить, какие специалисты должны разрабатывать и внедрять программу – по информационной безопасности, по обучению, по маркетингу, по психологии или другие.

  • Как поддерживать программу в актуальном состоянии, реагируя на новые угрозы.

Хорошо зарекомендовали себя визуальные средства коммуникации программы повышения осведомленности – такие как видеофильмы, плакаты, обучающие презентации, хранители экрана и т.п. Наверняка многим из вас приходилось коротать время, рассматривая плакаты на стенах компаний. Так, незаметно, можно заставить сотрудников задуматься об информационной безопасности. Если же сотрудников привлечь к участию в разработке подобных средств коммуникации, успех может превзойти все ожидания. Например, фотографии сотрудников на плакате, либо участие сотрудников в обучающем видеофильме обеспечит стопроцентное внимание к данным материалам. Приведем несколько примеров из жизни. Один крупный российский банк организовал среди своих сотрудников конкурс на лучший слоган к плакату по информационной безопасности. Победителей премировали небольшими денежными призами. Количество поступивших от сотрудников заявок было огромным, таким же было и количество удачных слоганов. Поэтому банку удалось напечатать целую серию плакатов по информационной безопасности.

Хорошо также работают еженедельные почтовые рассылки на заданную тему в виде полезных советов. Каждый желающий при этом, может предложить новую тему для рассылки следующей недели. Сначала это могут быть просто полезные ИТ советы, облегчающие жизнь обычным пользователям, а затем уже более сложные, концептуальные вещи.

Самый главный залог успешности программы – чтобы ее поддерживали и выполняли на всех уровнях организации.