06.02.2019

Как провести продуктивно корпоративный семинар по безопасности

image

Итак. Вы наконец-то убедили своих менеджеров о необходимости пройти обучение в сфере безопасности. Что дальше?

Итак. Вы наконец-то убедили своих менеджеров о необходимости пройти обучение в сфере безопасности. Что дальше?

Я преподаю обучающие программы по безопасности около 10 лет, и за это время определил для себя наиболее важные и релевантные аспекты, имеющие отношение к этой теме.

Что означает «релевантные»?

Мы часто слышим слово «релевантный», но давайте разберемся, что на самом деле означает это понятие. То, что релевантно для вас, может быть не релевантно вашему боссу или коллеге из финансового отдела.

В большинстве семинаров по безопасности основное внимание уделено требованиям политики компании (то есть тому, что важно вашему боссу, поскольку помогает ставить галочки напротив соответствующих пунктов). Однако так ли эффективна эта стратегия во всех случаях?

В некоторых программах рассматриваются примеры из реальной жизни и сценарии атак, которые совершались в отношении компании. В некоторой степени такая стратегия может оказаться правильной, однако те сотрудники, которые не были связаны с совершенными атаками, тут же выпадают из контекста. Пример: обман руководителя. Подобного рода атаки являются чрезвычайно популярными среди злоумышленников, но касаются только небольшого числа сотрудников (обычно тех, кто работает в финансовом отделе). А теперь стоит задаться простым вопросом: «Для кого предназначен ваш тренинг?».

Политика компании и реальная жизнь

Исходя из моего опыта, нужно проводить тренинг, который учитывает и политику компании, и реальную жизнь. Но самое главное нужно добавить магический ингредиент: сделать обучение персональным. Индивидуальный тренинг жизненно важен, если вы хотите, чтобы сотрудникам было интересно присутствовать на этом мероприятии (конечно, если вы действительно хотите добиться этой цели). Индивидуальность – ключ к релевантности. Когда речь заходит о работе, то проблема безопасности – это ваша проблема, но не ваших сотрудников. Однако если вместо работы мы будем говорить о безопасности дома, то, естественно, каждый владелец дома и по совместительству ваш коллега сразу же начинает воспринимать проблему как свою. Таким образом, если я начну рассказывать, как хакер может взломать профайлы в социальных сетях ваших сотрудников или украсть персональные данные, внимание слушателей возрастет многократно.

Еще один важный элемент – добавить в обучение развлекательную компоненту. Если вы хотите еще большую вовлеченность аудитории, периодические шутки окажутся очень кстати. Не бойтесь, что над вами начнут смеяться.

Как провести успешный тренинг?

Исходя из моего опыта могу сказать, что наиболее успешные тренинги включали 60-ти минутные отрезки с глазу на глаз и не более 30 человек за одну сессию. Затем можно предложить онлайн-занятия, постеры, флаеры, компьютеризированное обучение, мероприятия во время ланча и регулярные коммуникации. Чем более профессионально будет выглядеть мероприятие, тем лучше. Прибамбасов наподобие талисманов безопасности лучше избегать совсем.

Пообщайтесь со своей командой по маркетингу или обратитесь к внешним источникам на предмет того, чтобы сделать мероприятие интересным. Можно воспользоваться методами, которые используются в телевизионных шоу и фильмах. Хорошая и бесплатная еда также является весомым привлекающим фактором. Если у вас есть соответствующие полномочия, сделайте эти мероприятия обязательными для всех. Однако даже в этом случае, привлечь дополнительный интерес не помешает, чтобы людям захотелось прийти.

Слово «да»

Фирменные подарки могут оказаться полезными для приглашенных, однако не стоит недооценивать такие простые вещи, как, например, индивидуальные консультации, где посетители могут получить совет, касаемо проблем с безопасностью домашних компьютеров, учетных записей в социальных сетях и так далее. Также нужно предусмотреть возможность, когда сотрудники могут обменять непроверенныеUSB устройства на проверенные или рассказать об использовании облачными сервисами или другой теневойIT-инфраструктурой, а вы смогли дать формальное одобрение.

В этих ситуациях важно сфокусироваться на слове«Да».

Никому не понравится, если вы будете вести себя как диктатор и начнете вещать с запретов. Мотивация и вовлеченность сильно повысятся, если вы сможете предложить решение проблем, которые есть у приглашенных сотрудников. Нужно отвечать примерно в следующем ключе: да, мы можем так поступить, однако утилитаX подходит лучше для нашей модели рисков» или «можете ли вы применить Х перед использование того сервиса?» (например, шифрование перед загрузкой наDropbox).

Мероприятия, посвященные обучению в сфере безопасности, следует проводить регулярно. Хотя бы ежемесячные сессии. Выясните основные каналы общения сотрудников (помимо тех, которые регламентируются политикой о внутренних коммуникациях), будь то электронная почта, мессенджеры, средства интранета и так далее, и поддерживайте контакт на постоянной основе.

Естественно, важно получить одобрение и поддержку у руководства организации, где вы собираетесь проводить мероприятие, поскольку, во-первых, нужно выделить время, чтобы сотрудники смогли посещать эти семинары, а, во-вторых, в дальнейшем осуществлять надзор за процессом внедрения полученной информации в бизнес-процессы компании. Конечно, потребуются затраты ресурсов, но, если тренинг пройдет успешно, организация с меньшей вероятностью окажется в новостях, посвященных информационным утечкам.

Некоторые ключевые вещи, которые желательно осветить во время тренингов:

Недавние атаки

  • Не бойтесь рассказывать не только об инцидентах, которые удалось предотвратить, но и об успешных атаках. Ваше повествование, во-первых, будет выглядеть солидно, а во-вторых сотрудники смогут получить адекватное представление о том, как могут выглядеть разные сценарии. Нет ничего предосудительного в том, если вы будете вещать о реальных случаях. Смысл в том, что выделить типы атак, с которыми вы сталкивались. Только во время повествования не нужно упоминать имена компаний, где происходили эти инциденты, и другую персональную информацию.

Настройки мобильного телефона

  • Будьте благоразумны. Не следует советовать устанавливать сложные 20-символные пароли на телефонах без биометрической аутентификации. В качестве пароля можно посоветовать дату известной годовщины, где к году прибавлено число 19 или 20. Если на устройстве доступна биометрия, посоветуйте включить эту функцию. В общем, сделайте так, чтобы пользователю было удобно использовать более сильный пароль.
  • Предложите наборы настроек для популярных операционных систем.

  • Расскажите о том, как хакеры могут злоупотреблятьWi-Fi иBluetooth.

  • Не забывайте про средства управления мобильными устройствами. Если пришедшие на семинар такими технологиями не пользуются, посоветуйте различные настройки, как, например, отключение функций, доступных с экрана блокировки, приложения для отключения рекламы, антивирусы, своевременные обновления, проверку прав приложения перед установкой и так далее.

  • Можно также учесть те возможности, которые вам доступны по месту проведения семинара.

Социальные сети

  • Обычно все проблемы кроются в настройках. Однако к тому времени, как вы сформулируете рекомендации, многое может поменяться. Плюс часто появляются новые сервисы, поэтому сложно учесть все детали. В этом случае уместно дать общие рекомендации:

    • Не рассказывать о себе слишком много персональной информации (например, местонахождение или дату рождения) особенно на публичных страницах.
    • Думать о том, что выкладывается регулярно (в частности, фотографии).
    • Ограничить просмотр профиля только для друзей.
    • Ограничить видимость профиля для поисковых систем.
    • Уже упоминалось ранее о хороших паролях (подробнее о паролях позже).
    • Быть внимательным с новыми контактами и теми, кто хочет стать вашим другом.
    • Пользоваться утилитами для блокировок.
  • Возможно, следует показать, как блокировать нежелательные контакты и сообщать о злоумышленниках администраторам сайтов.
  • Важно указать четкие требования, предъявляемые к рабочим профилям или ключевые положения из корпоративной политики, относящиеся к социальным сетям.

Домашний компьютер

  • Базовые методы защиты (антивирусы, фаерволы и т. д.) остаются теми же. Однако не лишним будет повторить еще раз.

  • Большинство пользователейMac’ов до сих пор считают, что антивирус не нужен. Можно рассмотреть, как бесплатные, так и коммерческие варианты.

  • Посоветуйте использовать различные пользовательские профили для общедоступных компьютеров.

  • Внедряйте методы родительского контроля.

  • getsafeonline.org–прекрасный ресурс.

  • Пароли

  • Мало кто любит пароли, но пароли необходимы.

  • На сайте национального центра кибербезопаности есть прекрасное руководство.

  • Покажите, как устанавливать хорошие пароли.

  • Объясните, почему нужно устанавливать сложные пароли.

  • Порекомендуйте использовать менеджеры паролей (я всегда настоятельно рекомендую создавать и хранить все пароли в подобных приложениях).

  • Объясните суть вашей политики

  • Однако здесь нужно быть внимательным, чтобы не было конфликта между вашими рекомендациями и тем, чем вы занимаетесь на самом деле.

  • Порекомендуйте использовать двухфакторную аутентификацию, однако будьте осторожны, чтобы у слушателей не возникло отторжения. Многие никогда не слышали о двухфакторной аутентификации. Начните с менеджеров паролей и того, что для каждого сервиса нужно использовать разные пароли. Затем можно плавно перейти к двухфакторной аутентификации, которая может пригодиться, если на сайте нельзя задать сильный пароль. Всегда следует уделять внимание тому, чтобы сделать жизнь безопасной было просто, иначе никто не будет слушать ваши советы

Другие меры безопасности

  • Покажите на реальных примерах, как происходит эксплуатация уязвимостей в случае, если вышеуказанные меры внедрены не полностью.

  • Объясните необходимость в физической безопасности. Здесь также будут уместные реальные истории.

  • Тема безопасности данных может быстро наскучить. Соответственно, нужно сфокусировать на ключевых моментах и преимуществах для конечных пользователей.

  • Не лишним будет еще раз упомянуть о безопасности переносных носителей информации и устройствах

Демонстрационные примеры

Демо примеры могут оказаться очень кстати и часто просты в реализации. Я написал статью о создании вредоносных документов, которые могут использоваться во время фишинговых атак.

  • Вы можете продемонстрировать простейший фишинг при помощи SEToolk itв Kali Linux, создав клоны реальных сайтов (например,Facebook).

  • Приложение Wi-Fi Pineappl eможно использовать для демонстрации поддельных точек доступа или кражи паролей при помощи перехваченных порталов (captive portal).

  • Можно продемонстрировать простейший перебор пароля вKali Linux.

  • Используйте сервис Have I Been Pwned для проверки, были ли взломаны учетные записи пользователей.

Приведенный список рекомендаций является далеко не полным, и каждая программа, посвященная безопасности, будет уникальной, в зависимости от нужд организации и приглашенных людей. Однако ключевой момент заключается в том, что подобные мероприятия должны быть как можно более индивидуальными.

Мой твиттер@_tonygee_.