Выясняем, зачем необходимо обучение кибербезопасности и как его организовать в любой компании.
Зачем обучать сотрудников навыкам кибербезопасности?
В прошлом году количество кибератак в масштабе всей страны увеличилось на 80%. Навыки кибербезопасности становятся первоочередной задачей для множества компаний. Допущение такого инцидента грозит репутационным и материальным ущербом.
По последней информации компания, допустившая утечку персональных данных пользователей, должна будет заплатить до 3% от своего оборота. А в случае повторной утечки данных есть вероятность штрафа от 5 млн до 500 млн рублей.
В 2023 году планируется усиление внеплановых проверок со стороны Минцифры РФ, что также требует повышения осведомленности сотрудников в части требований Федерального закона № 152-ФЗ «О персональных данных».
Более 80% атак связаны с человеческим фактором. Это не говорит о том, что сотрудники допустившие ошибку - безответственные. Они подвергаются влиянию фальшивых личностей, наживок и других психологических и социологических приёмов социальной инженерии для получения доступа к информации компании. Но это случается, если они не подготовлены к подобному, не участвовали в тренингах и обучающих программах по кибербезопасности.
Поэтому требуется организовывать и проводить обучение, знакомить сотрудников с угрозами безопасности, порядком действий при обнаружении угрозы и тем самым укреплять уязвимые звенья в безопасности.
Как организовать обучение информационной безопасности?
Для небольших компаний со штатом из 10-20 человек можно провести индивидуальный инструктаж или личную встречу по вопросам кибербезопасности. После этого оценку результатов и прогресса, отслеживая нарушения.
В случае, если компания состоит из сотен и тысяч сотрудников, которые вдобавок распредлены по разных городам России и работают из дома - так просто образовательную задачу не выполнить и за всеми не уследить.
Гораздо эффективнее вместо постоянного контроля использовать инструменты оценки, обучения и вовлечения персонала.
Этот алгоритм поможет повысить информационную безопасность в любой компании:
1. Определите компетенции сотрудников и сформируйте для них идеальный набор знаний и навыков кибербезопасности, которым они должны обладать. Постарайтесь оцените насколько действительно необходимо, чтобы каждый сотрудник отличал фишинг от социальной инженерии. Может будет достаточным знать общие правила: перепроверять адреса веб сайтов, не вводить пароли почты в сторонних сервисах и не открывать письма о мнимых выигрышах в 1 миллион рублей?
2. Выявите разрыв в знаниях между идеальной и текущей осведомленностью персонала. Учитывая статистику, желательно проверить знания и навыки каждого сотрудника. Оптимальные инструменты - тесты, опросы, либо провокационные рассылки.
3. Заполните слепые пятна. Чтобы прокачать сотрудников до целевой осведомленности, используйте различные каналы взаимодействия:
- Сформируйте индивидуальные программы обучения основам кибербезопасности и создайте электронные курсы. Взамен сухих текстов обучайте с помощью видеороликов, используйте визуализацию процесса, приводите в примеры реальные кейсы кибератак.
- Организуйте митапы, вебинары. По нашему опыту, коллеги внимательно относятся к советам приглашённых экспертов.
- Напоминайте о важности тех или иных правил через корпоративную рассылку.
- Включайте политику и правила защиты данных, правил пользования интернетом в руководство для новых сотрудников.
4. Автоматизируйте обучение и его результаты. Это позволит сократить время на рутинные организационные процессы. Вы сможете интегрировать созданные электронные курсы в систему дистанционного обучения (СДО/LMS), либо создавать их сразу внутри, в удобном редакторе. Аналитику возможно выгружать прям там же.
5. Практикуйте регулярность. Разовое обучение не решит проблему. Нужно настраиваться на long-learning процесс. Обновляйте форматы обучающих материалов и их оценки. Например, можно вводить задания, где сотрудник должен приложить видео, аудио и текстовый ответ с проверкой экспертом.
7. Закрепите вышеперечисленное внутренним ЛНА. Так вы сможете снизить юридические риски и сделать информационную безопасность вашим конкурентным преимуществом.
Какие темы следует включить в обучение?
1. Различные формы угроз кибербезопасности: спам, фишинг, вредоносные программы и программы вымогатели, социальную инженерию.
2. Защита персональных данных: комплекс технических, организационных и организационно-технических мероприятий, позволяющий выполнить требования Федерального закона № 152-ФЗ «О персональных данных».
3. Политика паролей и их хранение.
4. Политика в отношении корпоративной электронной почты, интернета и социальных сетей.
5. Защита данных от утечки за пределы корпоративной сети организации.
6. Способы, как выявлять и сообщать об угрозах кибербезопасности.
Как повысить вовлеченность в процесс обучения?
- Используйте элементы геймификации. Можно воспользоваться услугами специальных HR-платформ со встроенными коллекциями достижений и персонажей, или разработать самим. Это позволит сделать процесс обучения легче и приятнее.
- Дайте сотрудникам возможность почувствовать себя супергероями. Ведь на них лежит большая ответственность: они являются первой линией атаки и одновременно линией обороны. А когда какая-то из угроз будет выявлена до нанесения вреда, уведомите об этом весь коллектив, показывая, насколько их обучение помогло компании.
Подписывайтесь на наш канал, в нем мы делимся лайфхаками для HR, менеджеров по обучению и в целом полезными советами по организацию работы себя и команды!