About Teletype
Join
Артур Попов
@virus1
August 28, 2023

Повышаем киберграмотность персонала: ключевые задачи и подходы к их решению

Сегодня перед организациями стоит целый ряд актуальных задач в области повышения осведомлённости о кибербезопасности:

  • обеспечить безопасную удалённую работу сотрудников — да, мы, кажется, начали забывать про пандемию, но гибридный режим работы стал привычным явлением и отказываться от него многие не хотят;
  • обеспечить безопасную работу с конфиденциальными данными — сегодня мы часто видим новости о случившихся утечках информации, их предотвращение во многом зависит от действий самих сотрудников;
  • внедрить и поддерживать корпоративную культуру в части кибергигиены — без этого не получится решить первые две задачи;
  • измерять уровень осведомлённости сотрудников об актуальных киберугрозах — компаниям нужно знать, насколько они уязвимы, чтобы вовремя принять меры;
  • помимо закрытия уязвимостей в ПО закрыть «уязвимости» сотрудников, сделать кибербезопасность делом каждого.

Подходы к обучению сотрудников и инструменты, которые для этого применяются, могут быть разными. Мы провели открытый опрос по используемым способам обучения и проанализировали эффективность наиболее популярных из них.

Самые простые в реализации способы обучения вряд ли решат описанные выше задачи в полной и достаточной мере (да и к тому же они сопряжены с рядом сложностей и проблем в реализации).

На буклеты и памятки надежды совсем мало: возможно, люди просто проигнорируют их, да и получить обратную связь не удастся.

Наставничество точно не подойдёт крупным компаниям: вы просто не найдёте столько людей с нужными компетенциями, чтобы обучить тех, у кого навыков кибербезопасности пока нет.

Наиболее эффективным и современным вариантом из представленных могли бы стать электронные курсы с геймификацией и диалоговыми тренажёрами — если бы не одно значительное «но»: отсутствие в них практики и контакта с киберугрозой, за счёт которых и вырабатывается устойчивый навык противодействия фишингу.

Обычно в компаниях есть кадровый департамент и какая-либо СДО (система дистанционного обучения). Но всё же необходимых задач они не решают: для проведения киберучений СДО не предназначены, у кадровиков нет экспертизы в этом вопросе. Да и вообще тематика курсов по ИБ требует определённой технической подготовки и понимания процесса, приведения обучения в соответствие с регламентами, краткого и понятного изложения этих самых регламентов.

Из-за этого ответственность за повышение осведомлённости сотрудников о киберугрозах часто переходит в руки ИБ- или ИТ-служб, у которых нет кадровой практики. Согласитесь, парадокс и вызов?

К тому же службам ИБ и ИТ нужен инструментарий, позволяющий реализовать все необходимые мероприятия по повышению осведомлённости. Согласитесь, снова вызов?

Как устроен процесс обучения

Теория не будет работать без практики. Чтобы выработать у конкретного сотрудника устойчивые навыки, необходимо постоянно повышать уровень знаний, проводить проверки и тренировки. Речь идёт о тестовых фишинговых атаках, которые позволяют снизить уязвимость персонала к фишингу и узнать, насколько хорошо усвоен материал курсов. Из тех, кто не прошёл проверку, формируется отдельная фокус-группа, которой назначаются дополнительные курсы.

Процесс обучения должен быть постоянным и цикличным. Только так можно реально повысить защищённость компании и снизить влияние человеческого фактора. Без регулярных тренировок навыки утрачиваются.

Выстроить процессы и определить методологию своими силами весьма трудно. Гораздо удобнее обратиться к тем, кто обладает соответствующей экспертизой, отслеживает актуальные методики киберпреступников, а также может оценить риски и предложить меры по повышению уровня киберграмотности сотрудников. При этом важно, чтобы организаторы обучения учитывали специфику компании. Опытные злоумышленники при подготовке целевых атак используют максимально правдоподобные фишинговые рассылки, которые могут быть предназначены для конкретных сотрудников или конкретных отделов. Письма при этом составляются таким образом, чтобы не вызывать подозрений, в том числе с точки зрения профессиональной специфики.

За счёт чего достигаем успеха?

  • Теория не будет работать без практики — мы регулярно проводим киберучения (тестовые фишинговые рассылки по актуальной повестке угроз), у сотрудников повышается уровень киберграмотности и вырабатываются навыки реагирования на фишинг.
  • Проводим обучение классическими обучающими курсами. Базовые курсы уже покрывают все необходимые потребности в теоретических знаниях, но по запросу могут быть индивидуализированы под специфику заказчика.
  • Выявляем «опасных» сотрудников — тех, кто не усвоил материал курсов, а также совершает небезопасные действия во время тестовых фишинговых атак.
  • Формируем отдельную фокус-группу «высокого риска» — за их навыками мы следим более пристально и постоянно дообучаем их на дополнительных курсах.
  • Таргетируем фишинг с учётом профессиональной деятельности сотрудников — важно, чтобы рассылки были актуальными.
  • Этот процесс постоянен и цикличен — только так можно реально повысить защищённость компании и снизить влияние человеческого фактора. Без регулярных тренировок навыки утрачиваются, к появлению более сложных атак сотрудники тем более оказываются неготовыми.
  • Все этапы процесса объединены общей методологией и чётким движением к цели.
  • Важен анализ результатов — исходя из этого курс корректируется.

Источник - https://erget.tech

Артур Попов
August 28, 2023, 20:58
0 reactions
0 views