Расскзать – не значит научить...
По данным IBM Security Intelligence Index более 95 % всех internal incidents (внутренних инцидентов) в сфере информационной безопасности вызваны ошибками пользователей. При этом большинство организаций даже не задумываются о том, что пользователи являются очень уязвимой частью информационной безопасности (ИБ).
В то время как департамент ИБ планирует вложить средства в защиту периметра компьютерной сети, покупку нового оборудования и программного обеспечения, вопросы обучения пользователей остаются за пределами его внимания.
Как можно заметить, проблема не нова и ещё в далёком (по меркам IT) 2015 году она была освещена. Но что же было сделано с тех пор? К сожалению, ничего или что-то, но не эффективное. Это связано, в первую очередь, с тем, что подход к обучению сотрудников всё-ещё не изменён.
А какую же сторону необходимо произвести изменение? Для успешного обучения пользователей можно подойти к повышению культуры информационной безопасности с использованием психологии. В первую очередь, нужно изменить алгоритм обучения: сначала необходимо привлечь внимание обучаемого, затем, используя «яркую обложку» и игровые методики, выработать у сотрудников правильное поведение (а не пичкать их новыми знаниями), в конце обучения «закрепить» знания, а после обучения проверить полученные навыки.
Почему же необходимо использовать именно такой алгоритм?
Внимание и мотивация – важный момент в любом обучении, но большинство материалов, которое делается для этой цели, откровенно скучны и выглядят в стиле «10 лет назад». Я имею в виду, естественно, приёмы подачи информации и дизайн.
Грамотное поведение – не надо пичкать сотрудников информацией, которая им, мало того, не нужна, так ещё они не знаю где именно её применить! Поэтому давайте им готовые шаблоны поведения! А лучше всего давать эту информацию/шаблоны в интересной форме, чтобы материал был «приятнее» для восприятия.
Закрепление. Обучить это хорошо, но также необходимо поддерживать уровень заинтересованности и осведомлённости. Именно на этом этапе можно начать применять уже привычные всем плакаты, видеоролики, информационные рассылки.
Проверка – проведения различного рода мероприятий для проверки успешного закрепления информации. Как пример подобного мероприятия, – рассылка тестового фишинга.
Справедливо заметить, что не стоит изолировать сотрудников от информации, но стоит предоставлять её после выработки безопасного поведения, и давать более глубокие знания в области ИБ — для тех сотрудников, для которых это интересно и имеет смысл.
Подытожим. Огромная ошибка ИТ и ИБ департаментов в подходе к обучению заключается в том, что, предоставляя информацию (возможно интересную и полезную с точки зрения ИТ и ИБ) они надеются на то, что у получивших эту информации сотрудников в голове что-то изменится, что они начнут себя иначе вести. Подход же необходимо строить не на предоставлении информации, а именно на том, чтобы выработать правильное поведение в информационной среде.
Развитие темы в следующей публикации…