К содержанию

блог Дорофеева

Единственное верное мерило вашего успеха — это то, что вы делаете, в сравнении с вашим действительным потенциалом (Пол Мейер)

23.05.2009 Повышение осведомленности сотрудников в области информационной безопасности



Как известно, человек является самым слабым звеном в обеспечении информационной безопасности. Именно люди выбирают слабые пароли, разглашают конфиденциальную информацию в разговорах с друзьями, из любопытства открывают вложения, содержащие вирусы. Для того чтобы таких инцидентов в жизни компании происходило как можно меньше внедряется программа повышения осведомленности сотрудников в области информационной безопасности (Security Awareness Program).

Обучение сотрудников в области информационной безопасности может принимать различные формы: от устного инструктажа нового сотрудника ИТ-специалистом до постоянного обучения с помощью системы дистанционного обучения и регулярных проверок уровня осведомленности.

Что же должно входить в эффективную программу повышения осведомленности сотрудников в области информационной безопасности?

Обучение

Обучение сотрудников основам информационной безопасности очень часто включают в первоначальное обучение новых сотрудников. Целью такого обучения является обучить пользователей выполнению базовых правил информационной безопасности. С такого тренинга новый сотрудник уходит с некоторым запасом знаний о том, чего нельзя делать, и пониманием того, как найти необходимую информацию в случае необходимости.

Понятно, что в начале своей карьеры в нашей компании у нового сотрудника есть более важные заботы, чем внимательное изучение существующих политик и процедур по информационной безопасности. Поэтому необходимо регулярное обучение сотрудников в области информационной безопасности.

Обучение можно проводить “вживую” – собирать сотрудников, проводить презентации, проводить тестирование знаний и т.п. Это возможно в том случае, если сотрудников у нас не очень много, либо достаточно ресурсов — персонала в службе безопасности или финансовых средств для оплаты услуг сторонней компании.

В современных кризисных условиях все большую актуальность приобретает дистанционное обучение. Для сотрудников компании разрабатывается курс по информационной безопасности и размещается во внутренней системе дистанционного обучения. Сейчас доступно большое количество систем дистанционного обучения с открытым исходным кодом, поэтому компании даже не придется тратиться на закупку дополнительного программного обеспечения. Современные технологии позволяют сделать обучение интересным, интерактивным и мультимедийным.

Рассылка

Нам не только нужно обучать своих сотрудников, но и постоянно информировать относительно актуальных угроз информационной безопасности. Для этого, как правило, периодически рассылаются письма, содержащие новости о последних компьютерных преступлениях, вирусных атаках и описание действий, выполнение которых требуется от пользователя в случае реализации угрозы. Иногда рассылаются выдержки из политик и рекомендации.

Плакаты

Мы можем постоянно напоминать своим сотрудникам о важности информационной безопасности посредством различных плакатов. В Интернете можно найти довольно интересные креативные образцы агитпродукции, наподобие следующего: Пароли подобны нижнему белью

Руководство по разработке и использованию агитационных материалов.

Видео

Очень часто в качестве элемента программы повышения осведомленности выступает обучающий видеофильм, в котором наглядно представлены возможные угрозы и методы защиты от них.

Компания может купить уже готовую видеопродукцию, заказать съемку фильма с участием профессиональных актеров, а также снять фильм самостоятельно силами своих сотрудников. Последний вариант, на мой взгляд, наиболее интересный, так как в процесс вовлекаются сотрудники, да и фильм с участием коллег смотрится намного интереснее.

В YouTube можно найти примеры видео-роликов по информационной безопасности.

Игры

Для привлечения внимания пользователей могут использоваться различные онлайн-игры, размещенные в интранет.

Пример антифишинговой онлайн-игры.

День/неделя повышения осведомленности

Внедрение программы очень часто начинается со дня или недели, посвященной повышению осведомленности в области информационной безопасности (Security Awareness Day/Week). В ходе мероприятия проводятся обучающие семинары, раздаются ручки, “флэшки” с агитационными надписями и т.п., вывешиваются плакаты, устраиваются конкурсы. Если вы разработали программу повышения осведомленности в области информационной безопасности, то лучшим стартом для нее будет проведение подобного мероприятия. И не забывайте поощрять победителей конкурсов.

Регулярная проверка уровня осведомленности

Нужно не только обучать сотрудников, но и проверять, насколько мы это делаем эффективно. Для этого мы можем периодически устраивать проверки, такие как:

рассылка электронных сообщений с просьбами пройти по сомнительной ссылке, сообщить свой пароль и т.д. Конечно, в нашем случае сомнительная ссылка будет вести на страницу нашего портала с курсом дистанционного обучения. Анализируя статистику по количеству сотрудников, прошедших по ссылке или сообщивших свой пароль, можно будет судить об эффективности наших мероприятий. Также не стоит забывать о тестировании знаний сотрудников с помощью системы дистанционного обучения.

Конечно же, самым объективным показателем для оценки эффективности нашей программы повышения осведомленности сотрудников остается уровень инцидентов информационной безопасности до внедрения программы и после.

Методологии

Построение программы повышения осведомленности и обучения в области информационной безопасности” Публикация Национального института стандартов США

Повышение осведомленности в области ИБ: Лучшие практики защиты вашей компании” Tim Wulgaert.

Toolkit от Microsoft

Компания Microsoft выпустила свой toolkit для разработки программы повышения осведомленности сотрудников. В нем содержатся материалы, которые вам помогут обосновать необходимость программы (если конечно, это нужно), интересные видеоролики, шаблоны плакатов, презентации и прочие материалы.

Александр Дорофеев

Related Posts

  1. Обучение пользователей в области ИБ
  2. Политика информационной безопасности
  3. Политики и процедуры по информационной безопасности
  4. Документы по информационной безопасности
  5. Минимизация рисков информационной безопасности во время кризиса

Метки: