ПОВЫШЕНИЕ ОСВЕДОМЛЁННОСТИ КАК ИНСТРУМЕНТ ЦИФРОВОЙ ЗРЕЛОСТИ СОТРУДНИКОВ

На фоне непрекращающейся активности злоумышленников особенно остро встаёт вопрос цифровой зрелости сотрудников. Цифровая зрелость сотрудников — это совокупность знаний, умений и навыков, которые позволяют сотруднику эффективно, безопасно и ответственно работать в цифровой среде. В центре цифровой зрелости — осведомлённость: постоянно поддерживаемая, развивающаяся, связанная с деловыми процессами и корпоративной культурой организации.

Практика специалистов по информационной безопасности и различные исследования всё убедительнее показывают: человеческий фактор остаётся одним из ключевых источников инцидентов ИБ:

• согласно отчету Verizon 2024 Data Breach Investigations Report, 68% утечек связаны с человеческим фактором;
• 85% ИT-специалистов считают основной причиной киберугроз для инфраструктуры человеческий фактор

Недостаточная цифровая зрелость сотрудников, незнание элементарных правил цифровой гигиены, доверчивость к фишинговым письмам — всё это делает даже самую технологически оснащённую компанию уязвимой.

В этой связи, последнее время все большее количество специалистов по ИБ серьезно задумывается о выстраивании системы мероприятий по повышению осведомленности, направленных на формирование цифровой зрелости сотрудников. Давайте разберем, как может выглядеть система мероприятий по повышению осведомленности в организации.

Рисунок. Система мероприятий по повышению осведомленности

1. Информирование: фундамент цифровой зрелости

Первым шагом в формировании цифровой зрелости становится регулярное информирование сотрудников о рисках, угрозах и их возможном влиянии на бизнес. Важно, чтобы формат подачи информации соответствовал деловой среде:

• One-page справки— короткие, сфокусированные на сути материалы, содержащие описание актуальной угрозы или кейса с инцидентом (не обязательно происшедшим в вашей организации), примеры и рекомендации по действиям.
• Pitch deck-презентации — краткие визуальные доклады для руководства и ключевых подразделений, нацеленные на быстрое понимание угроз и принятие решений (могут периодически проводится на оперативных совещаниях).

Такие материалы позволяют превратить абстрактные понятия ИБ в конкретные сценарии, понятные сотрудникам любого уровня.

2. Информационные рассылки: регулярность и заточенность под аудиторию

Информационные рассылки являются важным каналом распространения полезной информации, особенно если они:

• Адаптированы под целевую аудиторию: отдельные блоки для ИБ (ИТ)-специалистов и для широкого круга сотрудников.
• Включают в себя актуальные кейсы, советы по поведению (в т.ч. и с точки зрения бытовой цифровой гигиены – как обезопасить использование
  мессенджеров и т.п.), предупреждения о фишинговых атаках и изменениях в правилах ИБ компании.

Хорошо структурированная рассылка формирует привычку к постоянному вниманию к вопросам ИБ.

3. Изменения законодательства: вовлечение всех уровней

Один из важных аспектов цифровой зрелости — способность быстро адаптироваться к меняющейся нормативной среде. Изменения в законодательстве по ИБ следует доносить:

• до руководства — с акцентом на стратегические и юридические риски.
• до всех сотрудников — в виде кратких пояснений, как изменения повлияют на их повседневную работу.

В целом, обзоры изменений законодательства периодически публикуются в специализированных изданиях по информационной безопасности. Например, в каждом номере журнала InformationSecurity их ведет независимый эксперт в ИБ, работающий на стороне заказчика. Подобные обзоры выпускают и интеграторы. Однако, рекомендую учитывать специфику их деятельности и критически относиться к сделанным ими выводам.

Вы можете адаптировать материалы таких обзоров в виде кратких справок под специфику организации и периодически рассылать их сотрудникам.

4. Обучающие курсы и тренинги: развитие умений и привычек

Обучение — это следующий уровень после информирования. Оно позволяет закрепить знания. Важно различать:

Внутренние курсы и тренинги — разработанные с учётом специфики компании, её рисков и инфраструктуры.

По опыту автора:

• На практике обычно применяется два формата курсов – общий курс по ИБ охватывающий основные принципы ИБ организации и назначаемый для прохождения всем сотрудникам и специализированные курсы заточенные под специфику деятельности работника (например, курсы для ИБшников, курсы для работников обеспечивающих функционирование значимых объектов КИИ и т.п.).
• Тренинги, обычно предшествуют антифишинговым тренировкам (см. ниже) на них работникам рассказывается небольшая лекция про то, что такое фишинг и далее сотрудники самостоятельно пытаются определить признаки фишинга на примере конкретных кейсов, под руководством тренера – специалиста ИБ.
• Еще один формат тренингов – это штабные и командно-штабные учения (про них см. ниже).

Внешние курсы — позволяют получить независимую экспертизу и доступ к лучшим практикам рынка. Внешние курсы проводятся различными образовательными организациями (ВУЗами, учебными центрами) по широкому спектру тематик в ИБ.

По опыту автора: не всегда проводящие учебные курсы преподаватели обладают хорошей квалификаций. В этой связи рекомендуется изучать не только программу курса, но и «послужной список» преподавателя: это можно сделать либо по открытым источникам, либо запросив резюме преподавателя в образовательной организации.

5. Повышение квалификации ИБ-специалистов: поддержание актуальности знаний, умений и навыков

Цифровая зрелость невозможна без профессионального роста самой службы ИБ. Специалисты должны регулярно:

• проходить курсы повышения квалификации;
• участвовать в отраслевых мероприятиях, форумах, CTF-соревнованиях;
• обмениваться опытом через профессиональные сообщества.

Такой подход позволяет не только следить за трендами, но и быть готовыми к быстрому внедрению новых подходов в работу.

6. Митапы: неформальный обмен опытом

Организация митапов внутри организации способствует повышению вовлечённости и осознанности. На митапах:

• обсуждают интересные и актуальные темы;
• делятся кейсами и «граблями» из практики;
• обсуждают нововведения и меры защиты;
• формируют среда доверия и открытого общения по теме ИБ.

По опыту автора:

• такой формат особенно эффективен для формирования доверительных отношений и нравится сотрудникам;
• эффективным является проведение митапов с периодичностью раз в месяц;
• на митапы можно приглашать внешних экспертов (коллег из других компаний);
• мероприятие может проводится онлайн (в формате ВКС).

7. Киберучения: тренировка навыков цифровой зрелости

Форматы киберучений разнообразны, по направленности их можно классифицировать на 2 вида:

1. Киберучения нацеленные на формирование цифровой зрелость широкого круга сотрудников:

• Штабные учения — моделируют инциденты и отрабатывают действия работников по их нейтрализации.
• Командно-штабные учения— по сути, то же, что и штабные учения, но работа осуществляется в командах (как правило сотрудников разных подразделений).
• Антифишинговые тренировки — регулярные мероприятий по выявлению устойчивости к фишингу, проводимые для работников всех подразделений организации за исключением ИБ специалистов.

1. Киберучения, направленные на повышение квалификации сотрудников ИБ:

• Киберполигоны — отработка способов реагирования на компьютерные атаки в виртуальной инфраструктуре - цифровом двойнике информационной инфраструктуры организации (сегмента информационной инфраструктуры).
• Red Teaming — проверка способности ИБ подразделения организации обнаружить и отразить целевую атаку.

Такие тренировки позволяют не просто теоретически понимать угрозы, но и эффективно действовать в стрессовых условиях.

Подробнее об организации киберучений читайте в статье автора «Киберучения и киберполигоны для безопасности КИИ»

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

Мы в ВК: https://vk.com/vkaciso

Наш сайт: aciso.ru

Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!