Security Awareness — повышение осведомленности в области информационной безопасности

Время чтения 7 мин.Опубликовано

Мало кого удивишь тем фактом, что в любой, даже в самой защищенной инфраструктуре, самым слабым звеном был и остается человек. Данный факт прослеживается во всех областях промышленности. Там, где можно заменить человека на машину – так и происходит. Роботы (не путать с терминатором) не устают, не подвержены плохому настроению, они точны, сильны и могут работать в любых условиях. Сфера информационных технологий и безопасности не стала исключением. Мы можем строить сколь угодно высокие стены нашей крепости, защищенные от всех видов орудий, но, это не будет иметь никакого значения, если за этой стеной (с внутренней стороны) будет находится всего один человек, у которого будет пульт открытия от всех дверей.

Это подтверждает и общепринятая статистика, в которой говорится, что 80% всех киберинцидентов произошли по вине сотрудников, а самыми основными методами атаки являются методы социальной инженерии. Защита организации от киберугроз – это общее дело каждого сотрудника, а не только сотрудников по кибербезопасности.

Есть у этой истории и своя особенность  — кибербезопасность не имеет границ. Даже вне офиса, находясь у себя дома, вы все еще можете влиять на кибербезопасность как свою личную, так и вашей организации. Достаточно взломать вашу электронную почту, личный аккаунт в мессенджере (ведь в нем удобно общаться по рабочим вопросам, не так ли?) или смартфон (с которого вы подключаетесь к корпоративной сети по Wi-Fi) и вот вы уже сами становитесь источником угроз. Статью подготовил Джамил Меджидов, эксперт в области информационной безопасности.

Security Awareness - повышение осведомленности в области информационной безопасности

Что такое Security Awareness

Security awareness — дословно можно перевести как осведомленность о безопасности. В IT сфере это определение закрепилось за информационной безопасностью. Security awareness это не какой-то определенный курс, программа или направление. Security awareness можно назвать концепцией, в рамках которой проходит обучение персонала основам информационной безопасности (кибербезопасности в том числе) и повышение осведомленности в целом.

Мероприятия по security awareness это непрерывный процесс. Цифровой мир меняется слишком стремительно, новые виды угроз и атак не заставляют себя долго ждать. Следовательно и обучение не должно отставать от современных трендов.

Что изучают в рамках Security Awareness

Как правило, в рамках security awareness обучение строится на изучении основ киберграмотности и безопасного поведения в сети интернет. Темы материалов здесь обширны, начиная с того, какой длины должен быть пароль и заканчивая умением распознать фишинг. Все зависит от категории сотрудников и специфики организации. Эффективная программа обучения должна охватывать сотрудников с разным уровнем технических способностей и знаний в области кибербезопасности, а также с различными стилями обучения.

Кому нужен Security Awareness

Кому необходимо повышать осведомленность в области информационной безопасности? Всем сотрудникам без исключения. Начиная от охранника у входа в здание и заканчивая генеральным директором предприятия. Никогда не знаешь откуда «прилетит», а как показывает практика, чтобы разорвать прочную цепь достаточно воздействовать на одно слабое звено (сотрудника). К сожалению, на местах, многие считают, что security awareness это удел подчиненных и высшему руководству негоже тратить время на такую «ерунду». Как же они ошибаются. Именно такие кибератаки (целевые, направленные на руководство) приносят мошенникам наибольший профит.

Каким организациям необходимо Security Awareness

Проводить обучение основам киберграмотности и кибербезопасности нужно абсолютно во всех организациях. Даже в некоммерческих. Как правило, главная цель мошенников – деньги + данные. Почему данные? Сегодня информация = деньги. Ценная информация = много денег. Отсюда можно сделать вывод что security awareness нужен всем без исключения.

Каким должно быть обучение Security Awareness

Можно было бы остановиться на слове «понятным», но немного проясним этот момент.

  1. Образовательный контент должен быть адаптирован под вашу специфику. Например, материалы для веб-студии и банковских служащих будут явно разными. Да, общие темы и точки пересечения будут, но не более.
  2. Контент должен быть разнообразным, чтобы работники могли выбрать тот формат материалов, которые они лучше всего усваивают. Например, это могут быть статьи, инструкции, памятки, инфографики, видеоролики и даже полнометражные фильмы. В конце обучения важно закрепить знания тестированием.
  3. Отслеживайте прогресс. Как я сказал выше, security awareness процесс непрерывный. Чтобы понять, с чего начать обучение и как его построить – важно внедрить определенные метрики, по которым вы и сотрудники будете ориентироваться и понимать, где вы находитесь и куда идти дальше.
  4. Мотивация. Процесс обучения не должен выглядеть как обязаловка или как формальность. Сотрудники должны быть вовлечены в процесс. Достичь это можно разными методами: разработать систему мотиваций, стимулирования, геймификация обучения и так далее. Здесь большую роль играет тот, кто обучает ваших сотрудников. Об этом чуть позже.
  5. Практика. После всех шагов по повышению осведомленности нам важно понять, каков промежуточный итог нашего труда. Все ли мы делаем так или не совсем. В качестве практики необходимо проводить киберучения, куда может входить, как пример, контролируемая рассылка фишинговых писем на корпоративную почту сотрудников. Количество «попавшихся на удочку» сотрудников и будет вашей (специалиста по security awareness) оценкой. Чем больше сотрудников смогли распознать фишинг и действовали в рамках инструкций – тем выше ваша оценка и наоборот. Нужно ли ругать тех сотрудников кто провалил киберучения? Ни в коем случае. Важно проанализировать ситуацию и понять, почему это произошло и как сделать так, чтобы такое больше не повторялось.

Security Awareness - повышение осведомленности в области информационной безопасности

 

Кто проводит обучение Security Awareness

Если мы берем отечественный рынок (а мы про него и говорим), то тут не все так однозначно. В зависимости от структуры организации и ее масштабов, направлением security awareness могут заниматься: «Никто», Security Champions или отдельный специалист (или даже отдел) по security awareness.

  • «Никто» — тут все понятно, в организации нет такого человека и все пущено на самотек. Авось прокатит. Как правило, либо это слишком маленькая организация, либо организация, которую ни разу «не ломали» (но это вопрос времени).
  • Security Champions. Об этом я планирую выпустить отдельную статью. Если кратко, то это опытный сотрудник в команде, который хорошо разбирается и заинтересован в информационной безопасности. А еще у такого сотрудника должно быть «лишнее» время, чтобы «заряжать» всю команду кибербезопасностью.
  • Специалист по security awareness. Идеальный случай, когда в организации на эту важную роль есть отдельная должность или даже отдел. Тут тоже должно быть все понятно. Именно этот человек (отдел) отвечают за уровень киберграмотности в организации. Обратите внимание, ответственность именно за это, а не за защиту инфраструктуры предприятия.

Аутсорсинг Security Awareness

Сегодня практически все крупные игроки в области информационной безопасности предлагают свои «коробочные решения», которые призваны обучить ваших сотрудников основам кибербезопасности. Как правило, это отдельная платформа или сервис, где уже собраны все необходимые материалы, есть своя статистика, метрика и так далее. Вам остается только оплатить подписку и следить за тем, как ваши сотрудники проходят обучение. Однако, я считаю, что аутсорсинг security awareness не будет таким же эффективным как отдельная роль (должность) внутри команды. Никто не знает вашу внутреннюю «кухню» лучше, чем шеф-повар и его помощники. Да и сам процесс обучения на платформах должен кто-то контролировать, а это уже некое связующее звено, некий сотрудник в вашей компании. Нет ничего плохого в том, чтобы использовать готовые решения. Плохо когда ничего этого нет и ничего не делается в этом направлении. Не сделаете вы – инициатива перейдет в руки мошенников и хакеров.

Надеюсь, из этой статьи вам стало чуточку понятнее, что такое Security Awareness и почему это крайне важно. Это не последняя статья на эту тему. Завершить статью можно было бы ссылкой на мой курс или мою платформу по обучению, но её пока нет. Возможно, все это когда-нибудь появится.

Secute.ru - Security Awareness
© 2023 Secute.ru - Security Awareness
Политика конфиденциальности | Соглашение | Карта сайта
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 83966, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 30.09.2022 г. При цитирование материалов сайта, обратная ссылка обязательна. Эл. почта для урегулирования любых вопросов: info@secute.ru.
ограничение