Журнал "Information Security/ Информационная безопасность" #2, 2024

27.07.2006 № 152-ФЗ "О персональных данных", приказы ФСТЭК России № 239, 17, 31 и т. д.; l защита репутации компании – утечка данных или успешно осуществленные кибератаки могут серьезно подорвать репутацию организации. Сотрудники, которые понимают важность безопас- ности, помогают предотвращать такие инциденты, своевременно сообщая служ- бам безопасности о подозрительных действиях; l экономия ресурсов компании – поте- ря данных или восстановление после кибератаки может быть намного более дорогостоящим, чем выстраивание Security Awareness; l сотрудник скажет руководству "спа- сибо!" – навыки, которые приобретает сотрудник в процессе обучения инфор- мационной безопасности, можно исполь- зовать в повседневной жизни. Как построить Security Awareness? Поскольку Security Awareness – это не просто обучение, а долгоиграющий ком- плексный процесс, для его построения необходимо использовать целый набор инструментов и методов. Среди них можно выделить следующие: Внедрение внутренних обучающих программ Организации могут разрабатывать и внедрять обучающие программы по безопасности. Эти программы могут включать в себя интерактивные уроки, видеоматериалы, онлайн-курсы и тести- рование знаний, обучение поведению пользователя в мессенджерах. Стоит отметить, что обучение должно про- изводиться не только в общем порядке для всех сотрудников организации, но и точечно, для определенных групп поль- зователей в зависимости от направления их деятельности. Например, для сотруд- ников бухгалтерии и отдела продаж сле- дует обратить особое внимание на обмен документацией с контрагентами, а для технических специалистов – на проверку получаемых файлов и порядок обмена информацией. В случае если сотрудник при тестировании внутри организации допускает ошибку, следует направлять его на точечное обучение повторно. Постоянное обновление базы знаний Угрозы в сфере информационной без- опасности постоянно меняются, появляются все более изощренные спо- собы атак с использованием социальной инженерии. Именно поэтому важно регу- лярно обновлять обучающие материалы и своевременно информировать сотруд- ников об актуальных угрозах. Периодическая симуляция атак Поскольку человек не способен усваи- вать голую теорию в полном объеме, обязательно следует закреплять полу- ченные знания на практике. Таким обра- зом, организации могут (и более того, им следует!) проводить симуляции фишинговых атак и других киберугроз, чтобы проверить реакцию сотрудников. Для этого могут использоваться услуги сторонних организаций (например, ИБ- интеграторов) или же существующие платформы. Такой подход позволит выявить, какой пул сотрудников пред- ставляет угрозу на текущий момент, и своевременно отправить его на обуче- ние. На сегодняшний день Angara Secu- rity является одной из пула компаний, способных на профессионально высоком уровне реализовывать данную задачу. Внедрение системы наград и поощрений Поскольку не всем сотрудникам до конца понятна важность информацион- ной безопасности, все по-разному вос- принимают обучающие мероприятия. Поощрение сотрудников за активное участие в обучении по безопасности и развитии Security Awareness может быть мотивирующим фактором и повысит эффективность мероприятий. Это может включать в себя небольшие бонусы, сертификаты, включение в список "Самые безопасные сотрудники" или любые другие награды. Создание культуры безопасности Безопасность должна быть встроена в корпоративную культуру на всех уров- нях. Топ-менеджмент должен поддер- живать усилия по безопасности и пода- вать пример для остальных сотрудников. Сотрудники должны рассматривать ее как приоритет и понимать важность, используя в повседневной жизни. В этот пункт также можно добавить распро- странение плакатов-напоминалок в офисных помещениях для сотрудников. Такие мероприятия предназначены не только для рядового сотрудника орга- низации, они должны охватывать собой менеджмент. Примеры тем для меро- приятий представлены в таблице с уче- том должностных обязанностей. Что стоит учитывать при построении Security Awareness? Однозначно при построении эффек- тивного комплексного процесса Security Awareness следует опираться на ключе- вые принципы, перечисленные ниже. Регулярность – проведение обучающих мероприятий и информирование сотрудников о новых угрозах и методах защиты должно быть регулярным и систематическим. Наглядность – информация о безопас- ности должна быть представлена в наглядной форме, чтобы сотрудники могли легко понять и запомнить ее. Она всегда должна быть перед глазами и напо- минать о себе. Актуальность – информация о безопас- ности должна обновляться и корректиро- ваться в соответствии с новыми угрозами и изменениями в законодательстве. Интерактивность – обучение безопас- ности должно быть интерактивным и вклю- чать в себя практические задания и упраж- нения, чтобы сотрудники могли применить полученные знания на практике. Индивидуальный подход – обучение должно учитывать уровень знаний и навыков каждого сотрудника, а также его индивидуальные потребности в обла- сти безопасности. Оценка результатов – после проведе- ния обучения необходимо оценить его результаты и определить, насколько успешно сотрудники усвоили полученные знания и навыки. Security Awareness – неотъемлемая часть стратегии информационной без- опасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обес- печению безопасности информации. l • 21 Безопасный удаленный доступ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Категория Мероприятия Руководство компании (менеджмент) l Информирование о рисках и угрозах, последствиях и влиянии на бизнес l Актуализация информации о текущих законодательных базах Пользователи l Информационная рассылка l Курсы, тренинги l Антифишинговые тренировки l Митапы l Киберучения (без отработки навыков) Сотрудники, обеспечивающие функционирование ИТ-ресурсов компании l Информационная рассылка l Курсы, тренинги l Антифишинговые тренировки l Киберучения (с отработкой навыков) Сотрудники, обеспечивающие безопасность ресурсов компании l Курс повышения квалификации l Тренинги l Актуализация информации о текущих законодательных базах l Киберучения (с отработкой навыков)