Обучение пользователей своей организации

    Информационная безопасность — это на 90% работа с людьми.



    Фразу выше я не устану повторять никогда. Какой бы технически совершенной ни была ваша система безопасности, как бы безупречно и чётко ни была бы выстроена система управления ИБ, всегда есть человеческий фактор. Люди отвлекаются, забывают, «забивают» или просто игнорируют какие-то правила и порядки.

    Под хабракатом я опишу довольно действенный способ снизить процент инцидентов связанных с человеческим фактором.


    Будь доступен

    Не нужно закрываться в своём кабинете и с важным видом ходить по коридорам. Посмотрите, как работают ребята в маркетинговых отделах или сейлы. Помните, что вам нужно подать свою мысль так, как-будто вы хотите продать её.
    Не нужно рассылать аварнесс-презентации по почте, проведите её лично, отведите побольше времени для вопросов и комментариев, даже если они будут на 99% повторять то, что было в презентации.
    В аврнесс-презентациях обязательно укажите свои контакты для связи.

    Из личного опыта: после пары аварнесс-презентаций сотрудники подходили и писали не только с инцидентами, но и с комментариями, дополнениями и советами по-поводу самой презентации, системы ИБ и тд.

    Будь проще

    Подумайте о том, что многие вещи, элементарные для вас как айтишника и/или безопасника, могут быть просто непонятны остальным сотрудникам вашей организации. Не нужно пересыпать свою речь сугубо специализированными или сленговыми терминами. Старайтесь объяснить и донести всё простыми словами и на простых примерах. Ликбез начните с простых вещей, объясните что такое информация, какие у неё свойства. И не простым перечислением, вроде: конфиденциальность, целостность и доступность, а покажите это свойство на примере своей организации или общепонятного примера.

    Будь регулярным

    Не стоит думать, что, проведя обучение или ликбез, можно забыть об этом насовсем. Базовые «курсы» нужно повторять периодически (к примеру раз в год) со всеми сотрудниками. Так же хорошей практикой является проводить подобные презентации с новоприбывшими сотрудниками.
    Сейчас очень распространена практика вводных курсов, обычно на это отводится 1-2 дня, во время которых собирают новичков и рассказывают им об организации, функциях, отделах и правилах. Выступайте со своей презентацией на таких вводных курсах, чтобы новоприбывшие сотрудники знали вас, знали что им делать и куда в случае инцидента обратиться.

    Сделайте курс презентаций по различным направлениям ИБ. К примеру, раз в квартал организуйте необязательный ликбез для сотрудников, расскажите им о рисках, уязвимостях и о том, как можно с ними бороться на пользовательском уровне.
    Не забывайте, что кроме вирусов, троянов и спама есть физическое проникновение, фишинг да даже банальное воровство. Постарайтесь с помощью таких презентаций повысить бдительность, наблюдательность сотрудников.

    Из личного опыта: после одной из презентаций по защите конфиденциальной и внутренней информации было сообщение от сотрудника, что в холле (смежном с другой организацией) были вывешены документы отдела кадров с пометкой: Для внутреннего использования.


    Запомните главный принцип построения системы информационной безопасности: Безопасность начинается с каждого сотрудника!

    UPD: Поправил непонятные формулировки и ошибки, опечатки. Спасибо ericbro
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 12

      +1
      в it давно уже, но, черт возьми, что такое аварнес?
      Неужели нет нормального синонима в русском языке?
        0
        Awareness — осведомлённость, знание, понимание.
        Если честно, было трудно подобрать удобоваримый и понятный аналог в русском языке. Есть только громоздкий вариант: курсы повышения осведомлённости.
        • UFO just landed and posted this here
            0
            Точно! Спасибо
        0
        Что-то я не увидел действенного способа снизить количество инцидентов…
        Суть статьи: регулярно рассказывай про безопасность простым языком.
        По-моему, это велосипед.
          0
          К сожалению, практика показывает, что этим велосипедом многие пренебрегают.
          Это реально действенный способ.
          Была выборка KPI по одной организации, где я проработал почти 2 года, можно реально проследить снижение обращений в саппорт по элементарным вопросам безопасности после того, как стали регулярными подобные презентации.
          К сожалению флешка, на которой я держал эту инфу, скоропостижно скончалась.
            0
            Разве «обращение в саппорт по элементарному вопросу безопасности» — это инцидент безопасности?
              0
              Заблокированная учётка из-за 3-х неправильных паролей на входе — это инцидент. Это элементарный вопрос, но это инцидент.
              Или скачанный порнобаннер.
                0
                скачанный порнобаннер это вопрос к вашему антивирусу и настройкам доступа к интернет
                  0
                  а антивирус не относится к ИБ?
                    0
                    к ИБ относится, а вот к awareness пользователя — нет
                      0
                      Почему? Что мешает внести в программу аварнес-презентации предупреждение об угрозах с малварью из сети? Я даже скажу, что это там должно быть, потому как антивирус в любом случае не 100% защищает от вирусов, троянов и тд

        Only users with full accounts can post comments. Log in, please.