Осведомить и гендира, и у...

Осведомить и гендира, и уборщицу или Как построить Security Awareness в компании

erid: 2SDnjcjDGxK
Осведомить и гендира, и уборщицу или Как построить Security Awareness в компании
Осведомить и гендира, и уборщицу или Как построить Security Awareness в компании
15.05.2024

В эпоху постоянно растущих киберугроз повышение осведомленности о безопасности стало критически важным для организаций всех размеров. Обучая сотрудников распознавать и реагировать на угрозы безопасности, компании могут значительно снизить риск кибератак и защитить свои ценные активы. В статье рассказываем, как проходит разработка и реализации эффективных мероприятий по повышению осведомленности о безопасности.

Разработка стратегии и плана мероприятий по повышению осведомленности

Сразу надо сказать, что стремление к повышению осведомленности сотрудников — не модный тренд, а требование законодательства. В Федеральном законе РФ «О персональных данных», а также некоторых Приказах ФСТЭК четко прописаны требования по обучению и осведомленности.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Раньше вопрос обучения находился в самом низу списка мер информационной безопасности. Сейчас же его приоритет ощутимо возрос. Компании все больше и больше осознают необходимость обучения сотрудников навыкам кибербезопасности. Начинается формирование культуры информационной безопасности, в рамках которой процесс ИБ тесно интегрирован в ежедневную работу – сотрудники не только получают знания об информационной безопасности, но и активно применяют их на практике. Очень важно, что применение таких навыков поощряется руководством, которое понимает риски и потенциальный ущерб от инцидентов ИБ.

Поэтому внедрение Security Awareness — это целый комплекс действий, которые требуют тщательной предварительной проработки, а также определенного количества кадровых и финансовых ресурсов на реализацию.

Анастасия Федоренко

Руководитель направления автоматизации ИБ УЦСБ

Внедрение Security Awareness включает несколько этапов, каждый из которых играет важную роль в успешной реализации программы:

  1. Оценка текущего состояния безопасности: первым шагом является оценка текущего уровня осведомленности сотрудников и уязвимостей в системах компании.
  2. Разработка стратегии повышения осведомленности: на основе результатов оценки формируется стратегия повышения осведомленности, которая включает в себя выбор методов обучения, определение целей и планов реализации Security Awareness.
  3. Обучение сотрудников на основе выбранных программ, а затем тестирование усвоенного материала с помощью имитации атак.
  4. Постоянное обновление и улучшение Security Awareness в соответствии с тенденциями киберугроз.

И первое, что должны сделать компании, стремящиеся к повышению осведомленности в коллективе — определить круг сотрудников и оценить их текущий уровень знаний по ИБ, чтобы понять, какие аспекты нуждаются в улучшении.

Следующий этап — определение основных методов и инструментов, а также тем для обучения. Глобально можно выделить несколько тем обучения, которые будут полезны в любой компании или организации:

  • информирование о рисках, угрозах и их влиянии на бизнес;
  • изменение законодательства по информационной безопасности;
  • актуальные тренды киберугроз и тенденции безопасности;
  • защита паролей и управление доступом;
  • инцидент-менеджмент и т. д.

Далее определяются конкретные шаги и активности, которые будут проведены для достижения поставленных целей, сроки, бюджет и ответственные за реализацию каждого этапа.

Какие форматы обучения наиболее эффективны

Обучение, направленное на повышение уровня осведомленности об информационной безопасности, проводится в разных форматах. Например:

  • тренинги и семинары;
  • вебинары;
  • онлайн-курсы;
  • информационные бюллетени и брошюры;
  • подкасты и видео и т. д.

Обычно организации используют комбинацию этих форматов для охвата различных стилей обучения и обеспечения непрерывного внедрения сообщений о безопасности.

Валерий Степанов

Руководитель направления Центра компетенций по информационной безопасности Т1 Интеграция

Набирают популярность классы решений Security Awareness — специальные продукты, предназначенные для обучения и тестирования сотрудников компаний по основным вопросам кибербезопасности. Обучение, как правило, состоит из нескольких модулей и дает разносторонний взгляд на потенциальные киберугрозы организации.

Отдельно стоит отметить фокус на повышение осведомленности через практическое обучение по противодействию киберугрозам в рамках внутренних проектов по атакам с использованием методов социальной инженерии. Данные проекты покрывают либо всех сотрудников компании, либо происходит целевая выборка по специалистам, которые имеют повышенные привилегии в бизнес-критичных системах и конфиденциальных данных. Большинство учений проводится в формате фишинговой рассылки и звонков, однако иногда организации прибегают и к несанкционированному физическому проникновению.

Но есть несколько форматов, которые наиболее эффективны для достижения поставленных целей.

Игры, симуляции, геймификация

Увлекательные форматы, которые позволяют сотрудникам применять свои знания безопасности в практических ситуациях. А также использование игровых элементов, таких как очки, награды и таблицы лидеров, для повышения мотивации и вовлеченности.

Платформы Security Awareness

Обучающие платформы для повышения осведомленности сотрудников о правилах информационной безопасности и для проверки готовности персонала к реальным кибератакам. При обучении используются практические занятия, игровой подход, организуется имитация атак. Это формирует у обучающихся устойчивые привычки и помогает укреплять кибербезопасность в долгосрочной перспективе. Вот примеры платформ Security Awareness:

  • Kaspersky Automated Security Awareness Platform;
  • Phishman Awareness Center;
  • UBS Security Awareness Platform;
  • Syssoft Security Awareness;
  • Deteact Awareness;
  • МегаФон Security Awareness.

Использование подобных сервисов существенно облегчает жизнь руководства компаний. Можно воспользоваться готовыми программами обучения, а не выдумывать все с нуля самостоятельно. 

Александр Котов

Руководитель направления развития бизнеса ИБ, Axoft

В настоящее время меняется сам подход компаний к осведомленности о кибербезопасности. Раньше по большей части это был реактивный подход — когда уже случался какой-либо инцидент, проводили разбор на своем примере. Сейчас компании действуют проактивно. Проводят различные обучения сотрудников, пишут регламенты и пр.

Также стали появляться комплексные услуги по повышению осведомленности сотрудников в сфере ИБ, когда программа по повышению осведомленности разрабатывается индивидуально для компании/отрасли, исходя из типовых отраслевых угроз.

Обычно презентационные материалы, видеоролики и прочие материалы разрабатываются отдельными модулями для разных категорий сотрудников: руководителей, звена управления, технического персонала и т. д. После ознакомления с материалами для обучающихся предусмотрено тестирование.

Мониторинг и оценка эффективности обучения

Мониторинг, оценка и корректировка мероприятий по повышению осведомленности — это процесс анализа эффективности проведенного обучения и внесения необходимых изменений для достижения желаемых результатов. Важно следить за реакцией аудитории, изучать обратную связь и проводить оценку результатов, чтобы определить, что было полезным и что можно улучшить.

Для оценки эффективности мероприятий по повышению осведомленности используют различные методы: опросы, анкетирование, анализ статистики посещаемости веб-сайта или социальных сетей, сравнение с показателями до проведения мероприятий и т. д.

Дмитрий Хомутов

Директор Ideco

Важным показателем эффективности мероприятий по повышению осведомленности является количество неудачных фишинг-атак, которое позволяет определить бдительность сотрудников. В настоящее время фишинг стал самой распространенной угрозой в интернете, и его масштабы постоянно растут. Только в России ежедневно отправляется более 1 миллиона вредоносных сообщений. Этот вид атак популярен из-за своей относительной дешевизны — более 80% писем мошенники отправляют с использованием софта, стоимость которого начинается от 299 рублей. Опасные сообщения могут получать как частные лица, так и компании, но именно компании — основная цель хакеров. Сотрудники организаций чаще всего становятся жертвами атак, поэтому все компании должны обращать внимание на цифровую безопасность сотрудников.

Также уровень участия в тренингах оценивается по проценту сотрудников, прошедших обучение по безопасности, и их активности в тренинге. Важным аспектом является также анализ изменения поведения сотрудников, их готовности к принятию новых мер безопасности и изменению поведения в рабочей среде.

После анализа результатов оценки возможна корректировка мероприятий. Например, изменение формата мероприятий, обновление информационных материалов, улучшение коммуникационных стратегий, изменение целевой аудитории и т. д.

Важно быть гибкими и открытыми к изменениям, чтобы создавать эффективные мероприятия по повышению осведомленности, которые будут приносить долгосрочный положительный результат.

Заключение

Внедрение мероприятий по повышению осведомленности о безопасности имеет решающее значение для создания проактивной и устойчивой к киберугрозам культуры в организации. При правильном планировании и реализации эти мероприятия могут стать мощным средством защиты ценных активов и репутации организации.

Другие материалы
Метаданные: как защитить и удалить
15.09.2023
Метаданные: как защитить и удалить
3 уровня защиты удаленных пользователей и устройств
19.02.2022
3 уровня защиты удаленных пользователей и устройств
Что нужно для быстрой и безболезненной миграции с зарубежных программных продуктов на российские
01.12.2022
Что нужно для быстрой и безболезненной миграции с зарубежных программных продуктов на российские
Фаззинг на пальцах. Часть 1: идея, техника и мера
14.11.2023
Фаззинг на пальцах. Часть 1: идея, техника и мера
Уровни доверия по классификации ФСТЭК: особенности присвоения
17.03.2023
Уровни доверия по классификации ФСТЭК: особенности присвоения
Заглянуть внутрь: как раскрыть секреты zip-архивов
21.02.2024
Заглянуть внутрь: как раскрыть секреты zip-архивов

Популярные публикации
09.10.2024
Критическая информационная инфраструктура (КИИ): инструкция по выявлению и категорированию объектов
17.02.2024
SOC (Security Operation Center): для чего компании нужен центр мониторинга кибербезопасности
04.08.2024
Банк угроз ФСТЭК: использовать нельзя игнорировать
30.07.2024
Обзор платформ для практического обучения: направления Offensive и Defensive
30.03.2024
SIEM-системы в России - что это, какие популярные решения применяются
17.05.2024
Утечка данных: как случается и что с ними делать
29.10.2024
Автоматизированный SOC, NGFW и багбаунти: итоги года и прогнозы на 2024
14.11.2024
Аналитическое сравнение российских продуктов по управлению уязвимостями
16.03.2024
Менеджеры паролей - 7 лучших решений для бизнеса
22.07.2024
Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году
12.09.2024
Кардинг: технологичное мошенничество или проверка на внимательность?
20.01.2024
Как работают TLS-сертификаты Минцифры
15.02.2024
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
10.08.2024
Импортозамещение в ИБ: как указ президента №250 меняет крупнейшие российские компании
12.08.2024
Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?
06.10.2024
Обзор средств доверенной загрузки
27.03.2024
Anonymous vs Killnet: история группировок
19.01.2024
XDR, DLP, IDS: какое ИБ-решение выбрать
06.07.2024
Ситуационные центры России: готова ли государственная информационная инфраструктура к актуальным внешним условиям?
19.08.2024
ГосСОПКА: какие перспективы у цифрового щита России?
Показать всё
Комментарии 0