Журнал "Information Security/ Информационная безопасность" #2, 2020

Почти во всех инциден- тах информационной без- опасности присутствует человеческий фактор. Конечно, причиной бывают и неосторожность, и злой умысел, и действия мошен- ников. Но в большинстве случаев дело в том, что сотрудники компаний попро- сту не знают – а потому не соблюдают – правила ИБ. Скажу об отрасли, в которой я долгое время работаю, чтобы вы поняли, почему мне интересна эта тема. Компания "Инфосекью- рити" оказывает услуги в сфере информационной без- опасности, системной интег- рации и консалтинга. Нам важно показать, что мы можем защитить не только данные, которые нам доверяют клиен- ты, но и свои собственные активы. И здесь повышение осведомленности играет весь- ма и весьма значительную роль. Зачем это нужно В любой уважающей себя компании существуют внут- ренние регламенты, политики и методики, посвященные пра- вилам хранения и обработки конфиденциальной информа- ции. Увы, само по себе нали- чие этих документов не дает ровным счетом ничего. Реаль- ную защиту обеспечивают сотрудники, которые точно следуют прописанным в доку- ментах требованиям. Но где найти таких идеальных защит- ников? Хитрость в том, что их нужно не искать, а, скажем так, выра- щивать. Комплекс мероприятий и материалов, направленных на повышение осведомленности в сфере ИБ, позволяет сфор- мировать в компании культуру работы с ценными данными. Если все подобрано верно, сотрудники начинают соблю- дать правила информационной безопасности на рефлекторном уровне, и вам уже не придется заботиться о том, что кто-то из них не заблокирует экран ком- пьютера, потеряет токен или забудет квартальный отчет в лотке принтера. Очное vs дистанционное Не секрет, что большинство российских компаний предпочи- тает проводить обучение своих сотрудников – если вообще его проводит– по старинке, в очном формате. Чаще всего это ввод- ные инструктажи по информа- ционной безопасности для новичков. Реже инструктажи дополняются почтовыми рас- сылками с выдержками из уже упомянутых регламентов и политик конфиденциальной информации. Та же статистика показывает, что такой подход больше не работает. Во всем мире очное обучение достаточно быстро уступает место обучению дис- танционному. И на это есть ряд причин. Самая приятная – сни- жение затрат: электронные материалы разрабатываются и покупаются один раз, а исполь- зуются столько, сколько необхо- димо. Еще одна причина выбрать e-learning – удобство: интерактивные курсы, видеоро- лики и браузерные игры можно просматривать на разных видах устройств – компьютере, план- шете или смартфоне – в любое время. Немаловажно и то, что при выборе дистанционного обучения мероприятия прово- дятся для любого количества сотрудников, в разных регионах страны – без затрат на выезд тренеров и решение организа- ционных вопросов. Есть и такое, неочевидное на первый взгляд, преимуще- ство: все давно знают, чего можно ожидать от очного обучения. Грубо говоря, оно не способно удивить сотрудника, по-настоящему вовлечь его в процесс повышения осведом- ленности. В то же время дис- танционное обучение каждый год демонстрирует появление новых методов и технологий. Онлайн-тренажеры, симулято- ры бизнес-процессов, VR- кейсы, многопользовательские игры – все эти форматы дока- зывают, что своего "потолка" e-learning достигнет еще очень нескоро. С чего начать Конечно, с целевой аудито- рии. Проще говоря, разделите ваших сотрудников на группы и определите темы, актуальные для каждой группы. Топ-менед- жерам вряд ли будет интересно изучать актуальные уязвимости программного обеспечения, а для разработчиков это один из главных аспектов ИБ. Когда темы определены, подумайте о форматах обучаю- щих материалов – их тоже нужно персонализировать. Например, у сотрудников front- офиса не так много свободного времени, а иногда и нет личного 32 • ТЕХНОЛОГИИ Повышение осведомленности сотрудников: We Can Do It овышение осведомленности сотрудников в сфере ИБ – один из вечных трендов информационной безопасности. И, к сожалению, один из тех, которым зачастую пренебрегают, согласно ежегодно публикуемой статистике. Надежды на “русский авось" или убеждение в том, что защитить ценные данные получится с помощью одних только технических средств и систем, способны привести к серьезным последствиям. Финансовые потери, операционные сбои, утрата партнеров и клиентов и, как следствие, ухудшение делового имиджа случаются гораздо чаще, чем это можно себе представить. Если я вас достаточно напугал, значит мы можем переходить к основной части статьи. П Александр Дворянский, директор по маркетингу компании “Инфосекьюрити" (ГК “Софтлайн")