Говорят, что лучше быть богатым и здоровым, чем бедным и больным. Тоже самое верно и в деле обеспечения безопасности: лучше не подвергаться реализации угроз и избегать негативных последствий. Но как это сделать на практике? Реализуя популярную парадигму «shift left», одним из элементов которой является доведение до сотрудников базовых требований к безопасности «на берегу». Чем раньше и чем глубже сотрудник поймет, как ему следует «безопасно жить», тем больше шансов, что он не совершит череду ошибочных действий и решений, а организация и его коллеги сумеют избежать угроз и негативных последствий…
Кибергигиена играет в этой парадигме особую роль. Не подразумевая узкоспециальных знаний и профильных тренингов, как-то: «безопасность проектирования и разработки» или «инструктирование в области работ со средствами криптографической защиты», она формирует платформу универсальных, общеполезных знаний о том «как надо правильно жить в цифровом мире». Подобно программам классических ликбезов о важности чистки зубов перед сном, мытье рук после улицы, необходимости смены нательного белья или правильно организованного рабочего места (удобный стул, правильно отрегулированный стол, хороший монитор и перерывы в работе для отдыха глаз) – кибергигиена формирует «минимальный навык» поведения в цифровом мире.
Почему это актуально и важно? Да потому, что в полном соответствии с парадигмой техно-гуманитарного баланса[1] представления людей о мире и их навыки жизни в этом мире (культура людей в широком смысле этого слова) регулярно отстают от технологического развития, актуальных проблем, угроз и практик. Что в свою очередь требует регулярного «выравнивания» – примером чего являются упомянутые ранее ликбезы. Например, в процессе индустриализации России в первой половине 20 века были востребованы эффективные программы обучения неграмотного крестьянского населения основам городской жизни, элементом чего помимо курсов чтения, письма и грамотности, были основы гигиены. Последние не только преподавались в школах и садах, но и внедрялись в массовое сознание с помощью мемов. Ярким примером последнего является «Мойдодыр» (детская сказка Корнея Чайковского 1923 года выпуска), который в веселой и ненавязчивой форме «перепрошивает» читателей[2], вынуждая задумываться о важности чистоты, опрятности и аккуратности – крайне полезных для жителей городов и рабочих заводов, живущих в скученных бараках и коммуналках качествах.
Сегодня, когда границы между удаленной и офисной работой, и между личной и профессиональной жизнью все больше размываются, встает вопрос о выработке новых «правил игры» – базовых принципов жизни в цифровом мире. И речь не только о личной продуктивности сотрудника и навыках управления вниманием, обработки массивов информации, сохранении здоровья и вовлеченности в условиях стресса и перегрузок от «информационного шума» (эти вопросы традиционно находятся больше в области фокуса HR и корпоративных психологов). Но и о профилактике угроз, путем обучения людей основам «здоровой паранойи» в отношении информации, приватности, средств вычислительной техники и подозрительных субъектов.
Как водится лучший способ реализации подобных практик – это сочетание теоретического объяснения с деятельностной педагогикой, когда сотрудники через конкретные примеры с понятными последствиями понимают, как делать нельзя, что делать нужно и почему это так. Организовать это можно либо в форме игры, либо через яркую имитацию соответствующих угроз. Например, осуществляя фишинговые атаки с использованием специализированных платформ или вызывая консультантов вроде нас для организации серии тренингов с элементами так называемого red team (особый вид анализа защищенности, в рамках которого часть сотрудников заказчика не представляет, что проводится тестирование и думает, что происходит реальная хакерская атака – что позволяет оценить скорость и качество реагирование сотрудников организации на реальные инциденты, степень обученности коллектива и слаженность его действий).
В любом случае важно избегать односторонности «плакатов и лозунгов», и исходить из ключевой цели – интернализации сотрудниками правильных установок, привычек и навыков. Что невозможно без «вращивания» в людей соответствующего понимания. Глубокого изменения поведения в его основах. А это вопросы педагогики и формирования привычек. Вопросы качественных ликбезов. Вопросы, которые в современной реальности означают сочетание нескольких инструментов[3]:
- Цифровой платформы, в популярной форме объясняющей основы кибергигиены и позволяющей осуществлять контроль знаний (нам нравится подход коллег из Secure-T, но существует множество аналогов);
- HR или внешних консультантов, занимающихся живым обучением и тренингами сотрудников, чтобы не получилось, что «в тестах» у людей все хорошо, а в «боевой обстановке» знания они применить не умеют;
- Осуществление периодического внешнего аудита для независимого контроля.
Автор: Гусейнов Рустам, эксперт АИС, председатель кооператива специалистов по кибербезопасности «РАД КОП».
[1] Подробнее смотри Назаретян А. П. «Нелинейное будущее. Мегаистория, синергетика, культурная антропология и психология в глобальном прогнозировании» М.: Аргамак-Медиа, 2014.
[2] А позже и слушателей и зрителей – эффективный ликбез всегда использует актуальные медиа и формы подачи.
[3] Понятно, что у автора статьи, как консультанта, здесь есть «конфликт интересов», и что существуют и другие сценарии реализации предлагаемого подхода. Другое дело, что бесплатные варианты, ориентированные на собственные силы, имеют свои недостатки – в том числе ограничения времени и квалификации штатных сотрудников.
Оригинал публикации на сайте CISOCLUB: "Кибергигиена или ликбез 21 века!".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.