Цифровая гигиена: правила игры

Цифровая гигиена: правила игры
Всем привет, меня зовут Александр Дворянский, в компании «Инфосекьюрити» я работаю коммерческим директором уже больше пяти лет и сегодня хочу поговорить с вами о базовых принципах работы с конфиденциальной информацией.
В свое время канадский ученый-психолог Эллиот Джекс ввел понятие «корпоративная культура». Я позволю себе использовать термин «цифровая гигиена». Эта та часть корпоративной культуры, которая определяет, какие действия сотрудников и как влияют на информационную безопасность компании.

                                       652c87d79670e2059e6955aa87b456e2.png


Немного заострю внимание на нашей отрасли, чтобы вы поняли, почему мне интересна эта тема. «Инфосекьюрити» оказывает услуги в сфере информационной безопасности, системной интеграции и консалтинга. Нам важно показать, что мы можем защитить не только данные, которые нам доверяют клиенты, но и свои собственные информационные активы. Даже незначительный инцидент ИБ в компании, занимающейся кибербезопасностью, может ударить по ее репутации. А подняться после такого удара бывает непросто.
Итак, на формирование цифровой гигиены в компании влияют:
·   Повышение осведомленности сотрудников по вопросам ИБ
·   Разграничение доступа к информации
·   Применение технических средств контроля и мониторинга информации
Сегодня я остановлюсь подробнее на первом из этих трех китов – повышении осведомленности, или, как сейчас модно говорить, аварнесе.

Зачем это вообще нужно?
В любой уважающей себя компании существуют внутренние регламенты, политики и методики, посвященные правилам обработки информации ограниченного допуска. Увы, само по себе наличие этих документов не дает ровным счетом ничего. Реальную защиту обеспечивают сотрудники, которые точно следуют прописанным в документах требованиям. Но где найти таких идеальных сотрудников?
Хитрость в том, что их нужно не искать, а, скажем так, выращивать. Комплекс обучающих мероприятий и материалов позволяет сформировать в компании культуру работы с информацией. Если все подобрано верно, сотрудники начинают соблюдать правила ИБ на рефлекторном уровне – и вам уже не нужно заботиться о том, что кто-то из них не заблокирует экран компьютера, потеряет токен или забудет квартальный отчет в лотке принтера.

Ну и как все подобрать?
Во-первых, разделите ваших сотрудников на группы и определите темы, актуальные для каждой группы. Топ-менеджерам вряд ли будет интересно изучать актуальные уязвимости программного обеспечения, а вот разработчикам – очень даже.
Когда темы определены, подумайте о форматах обучающих материалов: их тоже нужно персонализировать. Например, у сотрудников front-офиса не так уж много свободного времени, а иногда и нет личного рабочего компьютера. Им подойдут яркие плакаты и короткие видеоролики, которые можно размещать и демонстрировать в торговых залах. А сотрудники back-офиса могут уделить обучению больше внимания, поэтому им лучше адресовать электронные курсы и обучающие почтовые рассылки.
Еще одна хорошая практика – перед тем, как проводить обучение по ИБ, проверить, что ваши сотрудники уже знают. Самый простой способ это сделать – провести тестирование и разослать учебные фишинговые письма. Так вы поймете, каким темам нужно уделить больше внимания. Ну и, конечно, не стоит забывать о контроле эффективности в процессе обучения и после него.

Можно поподробнее о форматах?
Начнем со старого доброго очного обучения. В некотором роде оно незаменимо: всем известно, что информация воспринимается гораздо лучше, когда сопровождается живым общением. Тренинг можно проводить в классической форме или по кейс-методу. Во втором случае инструктор делит учащихся на группы, описывает актуальную для компании проблему и предлагает каждой группе дать и обосновать свой вариант ее решения. Можно объединить два вида тренингов: проводить вводный для сотрудников в их первый рабочий день, а кейс-тренинг – ежемесячно или раз в квартал.
Дистанционное обучение составляет достойную конкуренцию очному, а в будущем, скорее всего, полностью перетянет одеяло на себя. Электронные курсы, видеоролики, почтовые рассылки и онлайн-игры хороши тем, что сотрудники могут просматривать их на разных видах устройств в удобное для себя время. А еще они дают возможность похвастаться перед конкурентами словами «геймификация» и «микрообучение».

                                    bd5ccd850b12a986960238d15f010bc9.png


На рисунке – слайды из электронных курсов нашей компании
Геймификация особенно активно используется в электронных курсах. Она предполагает добавление игровых элементов: награды и достижения, постепенное усложнение заданий, увлекательный сюжет, персонажи. Геймификация – это вообще интересная история, потому что она может быть полностью электронной, а может «перетекать» в реальную жизнь. Например, за успешное прохождение курсов по ИБ сотрудника можно наградить одним дополнительным днем отпуска. Такие вещи, конечно, согласовываются с HR. Кто из нас не мечтал на работе о компьютерных играх?

Микрообучение предполагает подачу материала небольшими блоками и закрепление каждого блока практическими заданиями. Например, посмотрел 5 слайдов курса – ответь на тестовый вопрос или выполни маленькое упражнение. Если речь идет о видеороликах, то они должны быть длиной не более полутора минут. Лучше сделать серию коротких роликов (кстати, их можно объединить одним забавным сюжетом), чем заставлять сотрудника смотреть тягомотную семиминутную проповедь. Но и дробить обучение до бесконечности не стоит: так можно потерять логику повествования.
                                43a00c0e42207fe1c350ef49bea4bd1c.png
На рисунке – скриншоты из наших видеороликов

Кроме очного и дистанционного обучения, очень полезны дополнительные обучающие материалы. Памятки, плакаты, стикеры и скринсейверы отлично справляются с задачей сделать обучение разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов: материалы от этого только выиграют.

                                     2687be17b86cbbf3212e34055162b146.png




На рисунке – скриншоты из flash -игры Phishing Battle

Получается, все дело в разнообразии?
Заставить человека учить то, что ему не интересно, и соблюдать то, что ему непонятно, – невозможно. Создавая для сотрудников комплексные программы обучения, излагая материал простым и доступным языком и облекая его в игровую форму, вы, по сути, делаете вклад в безопасность – вашу, вашей компании и ваших клиентов. И если все сделано «по науке», ваши вложения непременно окупятся.
Awareness
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

INFOSECURITY

«Инфосекьюрити» - специализированный сервис-провайдер, оказывающий услуги в сфере информационной безопасности, системной интеграции и консалтинга.