В свое время канадский ученый-психолог Эллиот Джекс ввел понятие «корпоративная культура». Я позволю себе использовать термин «цифровая гигиена». Эта та часть корпоративной культуры, которая определяет, какие действия сотрудников и как влияют на информационную безопасность компании.
Немного заострю внимание на нашей отрасли, чтобы вы поняли, почему мне интересна эта тема. «Инфосекьюрити» оказывает услуги в сфере информационной безопасности, системной интеграции и консалтинга. Нам важно показать, что мы можем защитить не только данные, которые нам доверяют клиенты, но и свои собственные информационные активы. Даже незначительный инцидент ИБ в компании, занимающейся кибербезопасностью, может ударить по ее репутации. А подняться после такого удара бывает непросто.
Итак, на формирование цифровой гигиены в компании влияют:
· Повышение осведомленности сотрудников по вопросам ИБ
· Разграничение доступа к информации
· Применение технических средств контроля и мониторинга информации
Сегодня я остановлюсь подробнее на первом из этих трех китов – повышении осведомленности, или, как сейчас модно говорить, аварнесе.
Зачем это вообще нужно?
В любой уважающей себя компании существуют внутренние регламенты, политики и методики, посвященные правилам обработки информации ограниченного допуска. Увы, само по себе наличие этих документов не дает ровным счетом ничего. Реальную защиту обеспечивают сотрудники, которые точно следуют прописанным в документах требованиям. Но где найти таких идеальных сотрудников?
Хитрость в том, что их нужно не искать, а, скажем так, выращивать. Комплекс обучающих мероприятий и материалов позволяет сформировать в компании культуру работы с информацией. Если все подобрано верно, сотрудники начинают соблюдать правила ИБ на рефлекторном уровне – и вам уже не нужно заботиться о том, что кто-то из них не заблокирует экран компьютера, потеряет токен или забудет квартальный отчет в лотке принтера.
Ну и как все подобрать?
Во-первых, разделите ваших сотрудников на группы и определите темы, актуальные для каждой группы. Топ-менеджерам вряд ли будет интересно изучать актуальные уязвимости программного обеспечения, а вот разработчикам – очень даже.
Когда темы определены, подумайте о форматах обучающих материалов: их тоже нужно персонализировать. Например, у сотрудников front-офиса не так уж много свободного времени, а иногда и нет личного рабочего компьютера. Им подойдут яркие плакаты и короткие видеоролики, которые можно размещать и демонстрировать в торговых залах. А сотрудники back-офиса могут уделить обучению больше внимания, поэтому им лучше адресовать электронные курсы и обучающие почтовые рассылки.
Еще одна хорошая практика – перед тем, как проводить обучение по ИБ, проверить, что ваши сотрудники уже знают. Самый простой способ это сделать – провести тестирование и разослать учебные фишинговые письма. Так вы поймете, каким темам нужно уделить больше внимания. Ну и, конечно, не стоит забывать о контроле эффективности в процессе обучения и после него.
Можно поподробнее о форматах?
Начнем со старого доброго очного обучения. В некотором роде оно незаменимо: всем известно, что информация воспринимается гораздо лучше, когда сопровождается живым общением. Тренинг можно проводить в классической форме или по кейс-методу. Во втором случае инструктор делит учащихся на группы, описывает актуальную для компании проблему и предлагает каждой группе дать и обосновать свой вариант ее решения. Можно объединить два вида тренингов: проводить вводный для сотрудников в их первый рабочий день, а кейс-тренинг – ежемесячно или раз в квартал.
Дистанционное обучение составляет достойную конкуренцию очному, а в будущем, скорее всего, полностью перетянет одеяло на себя. Электронные курсы, видеоролики, почтовые рассылки и онлайн-игры хороши тем, что сотрудники могут просматривать их на разных видах устройств в удобное для себя время. А еще они дают возможность похвастаться перед конкурентами словами «геймификация» и «микрообучение».
На рисунке – слайды из электронных курсов нашей компании
Геймификация особенно активно используется в электронных курсах. Она предполагает добавление игровых элементов: награды и достижения, постепенное усложнение заданий, увлекательный сюжет, персонажи. Геймификация – это вообще интересная история, потому что она может быть полностью электронной, а может «перетекать» в реальную жизнь. Например, за успешное прохождение курсов по ИБ сотрудника можно наградить одним дополнительным днем отпуска. Такие вещи, конечно, согласовываются с HR. Кто из нас не мечтал на работе о компьютерных играх?
Микрообучение предполагает подачу материала небольшими блоками и закрепление каждого блока практическими заданиями. Например, посмотрел 5 слайдов курса – ответь на тестовый вопрос или выполни маленькое упражнение. Если речь идет о видеороликах, то они должны быть длиной не более полутора минут. Лучше сделать серию коротких роликов (кстати, их можно объединить одним забавным сюжетом), чем заставлять сотрудника смотреть тягомотную семиминутную проповедь. Но и дробить обучение до бесконечности не стоит: так можно потерять логику повествования.
На рисунке – скриншоты из наших видеороликов
Кроме очного и дистанционного обучения, очень полезны дополнительные обучающие материалы. Памятки, плакаты, стикеры и скринсейверы отлично справляются с задачей сделать обучение разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов: материалы от этого только выиграют.
На рисунке – скриншоты из flash -игры Phishing Battle
Получается, все дело в разнообразии?
Заставить человека учить то, что ему не интересно, и соблюдать то, что ему непонятно, – невозможно. Создавая для сотрудников комплексные программы обучения, излагая материал простым и доступным языком и облекая его в игровую форму, вы, по сути, делаете вклад в безопасность – вашу, вашей компании и ваших клиентов. И если все сделано «по науке», ваши вложения непременно окупятся.
