Блог ИТ-компании "Синто"

Осведомлен - значит защищен

22 июня 2017
Алексей Горелкин
Компания: Kaspersky
Расскзать – не значит научить...  
По данным IBM Security Intelligence Index более 95 % всех internal incidents (внутренних инцидентов) в сфере информационной безопасности вызваны ошибками пользователей. При этом большинство организаций даже не задумываются о том, что пользователи являются очень уязвимой частью информационной безопасности (ИБ). 
2014-ETCM-Nissan-Safety-Campaign-2.jpg

В то время как департамент ИБ планирует вложить средства в защиту периметра компьютерной сети, покупку нового оборудования и программного обеспечения, вопросы обучения пользователей остаются за пределами его внимания. 
Как можно заметить, проблема не нова и ещё в далёком (по меркам IT) 2015 году она была освещена. Но что же было сделано с тех пор? К сожалению, ничего или что-то, но не эффективное. Это связано, в первую очередь, с тем, что подход к обучению сотрудников всё-ещё не изменён.

А какую же сторону необходимо произвести изменение? Для успешного обучения пользователей можно подойти к повышению культуры информационной безопасности с использованием психологии. В первую очередь, нужно изменить алгоритм обучения: сначала необходимо привлечь внимание обучаемого, затем, используя «яркую обложку» и игровые методики, выработать у сотрудников правильное поведение (а не пичкать их новыми знаниями), в конце обучения «закрепить» знания, а после обучения проверить полученные навыки.

Ring-Racing-770x336.jpg

Почему же необходимо использовать именно такой алгоритм? 

Внимание и мотивация – важный момент в любом обучении, но большинство материалов, которое делается для этой цели, откровенно скучны и выглядят в стиле «10 лет назад». Я имею в виду, естественно, приёмы подачи информации и дизайн. 
Грамотное поведение – не надо пичкать сотрудников информацией, которая им, мало того, не нужна, так ещё они не знаю где именно её применить! Поэтому давайте им готовые шаблоны поведения! А лучше всего давать эту информацию/шаблоны в интересной форме, чтобы материал был «приятнее» для восприятия. 
Закрепление. Обучить это хорошо, но также необходимо поддерживать уровень заинтересованности и осведомлённости. Именно на этом этапе можно начать применять уже привычные всем плакаты, видеоролики, информационные рассылки. 
Проверка – проведения различного рода мероприятий для проверки успешного закрепления информации. Как пример подобного мероприятия, – рассылка тестового фишинга. 
222M52179_D333913.jpg

Справедливо заметить, что не стоит изолировать сотрудников от информации, но стоит предоставлять её после выработки безопасного поведения, и давать более глубокие знания в области ИБ — для тех сотрудников, для которых это интересно и имеет смысл. 
Подытожим. Огромная ошибка ИТ и ИБ департаментов в подходе к обучению заключается в том, что, предоставляя информацию (возможно интересную и полезную с точки зрения ИТ и ИБ) они надеются на то, что у получивших эту информации сотрудников в голове что-то изменится, что они начнут себя иначе вести. Подход же необходимо строить не на предоставлении информации, а именно на том, чтобы выработать правильное поведение в информационной среде. 

Развитие темы в следующей публикации…
2746