35

Осведомленность сотрудников в вопросах ИБ

Осведомленность сотрудников в вопросах ИБ Информационная безопасность, Длиннопост, Awareness

Осведомленность по ИБ


Осведомленность сотрудников в теме ИБ является одним из самых важных аспектов Информационной безопасности любой компании. Применение различных технических средств защиты и контроля не способно в полной мере защитить компанию от человеческой ошибки. Порой сотрудники компании не всегда представляют себе опасность и возможные риски цифрового мира. В тоже время, доступность и распространение хакерских инструментов, развитие техник социальной инженерии, простое незнание сотрудника о современных угрозах лишь увеличивают возможность атаки на компанию и возможный ущерб.


Именно поэтому разработка и внедрение мероприятий по увеличению осведомленности сотрудников является важным шагов со стороны представителей ИБ/ИТ.


В этой статье мы рассмотрим некоторые возможные мероприятия, направленные на повышение знаний сотрудников компании в этой многогранной области.



Тренинги для новых сотрудников

Текучка кадров есть в каждой компании и чем больше компания, тем она выше. Новые сотрудники не знают всех правил и внутренних процедур, что создает для компании дополнительные риски. В качестве меры снижения этих рисков можно рассмотреть возможность проведения тренинга для новых сотрудников.


Проведение таких тренингов позволяет представителям различных департаментов рассказать об их работе, внутренних процедурах и особенностях взаимодействиях. К примеру, отдел кадров может рассказать о том, как сотрудник может заказать справки, PR-отдел - кто и как взаимодействует с прессой, ИТ-отдел - правила обращения сотрудников и заказа услуг и т.д..


На таком тренинге сотрудники ИБ могут рассказать сотрудникам об общих правилах безопасности, об особенностях взаимодействия сотрудников с представителями службы ИБ, о том, что делать в случае получения подозрительного письма или вируса. Выступление, поддерживаемое примерами из реальной жизни и практики ИБшников, позволит вновь прибывшим "бойцам" лучше понять причины установленных правил и ограничений, а также, что нужно предпринять в случае заражения вирусом или получения фишингового письма.


Такая лекция не должна быть тяжелой и долгой, по этому лучше ограничиться 20-30 минутами.


В крупных компаниях сотрудники могут иметь "уникальные" вопросы, связанные с прямыми обязанностями или проектами, над которыми они работают. Именно по этому, небольшая сессия вопросов и ответов после лекции позволит сотрудникам получить нужную информацию, ну или хотя бы имена людей/отделов, которые могут помочь.


О том, как лучше выступать перед людьми и создавать эффектные презентации написано уже очень много, по этому эти темы не будут затронуты.


Организация такого рода тренингов должна лежать на сотрудниках департамента HR, т.к. именно они оформляют всех новых сотрудников и именно они должны определять частоту проведения таких мероприятий.



Ежегодные тренинги

Отличной практикой для предотвращения ИБ инцидентов является ежегодный тренинг. Здесь у сотрудников ИБ значительно больше свободы, т.к. формат и содержимое таких тренингов не ограничивается исключительно внутренними правилами. В ходе такого тренинга могут быть затронуты более глобальные темы, такие как социальная инженерия, фишинг, правила безопасности во время путешествий, безопасное использование интернета и т.д.


При проведении таких тренингов в формате лекций могут возникнуть определенные организационные трудности, к примеру, сложно собрать большое количество людей в одном месте, даже проведение нескольких сессий не всегда способно охватить всех сотрудников. Пожалуй, лучшим решением в этой ситуации будет создание курса на базе e-learning системы с проверочным тестом. Плюсы такого подхода очевидны:

• Курс может быть интереснее, за счет использования видео материалов, интерактивных элементов и др.

• Сотрудник сам выбирает время для прохождения курса;

• Получение статистики для дальнейшего анализы.

Но, к сожалению, данный подход требует определенных затрат, как временных, так и финансовых.


Подготовка такого рода тренинга начинается задолго до его публикации и зависит от предоставляемых самой компанией возможностей и бюджета. Если компания обладает достаточными финансовыми ресурсами, такой проект может быть отдан на аутсорсинг под контролем представителей ИБ. В этом случае, качество контента (как и конечный продукт) может быть выше. А в случае международной компании, контент (закадровый голос и текст) могут быть представлены на нескольких языках.


Если же компания не имеет возможности оплатить услуги сторонней организации, всегда можно найти вариант проще. К примеру, подготовленные презентации или видео на основе этих презентаций, размещенные на внутренних ресурсах позволят сотрудникам просмотреть подготовленный материал и выполнить тест. К сожалению, сбор статистики и контроль в этом случае весьма затруднителен. Безусловно, можно поместить проверочный тест в системах, куда имеют доступ все сотрудники компании - портал заказа ИТ-услуг или портал взаимодействия с HR (все же 21 век на дворе, ручка и бумага, не самый лучший способ проведения тестирования), но это во многом зависит от используемых систем и от инфраструктуры компании.



Webinars

Вебинары отличная возможность предоставить сотрудникам некую важную или интересную информацию. Но вновь, возникает вопрос о технической возможности. Далеко не каждая компания имеет собственную площадку для проведения вебинаров, а использовать сторонние площадки может быть довольно затратно (конечно, если количество участников будет большим). Но и вебинары имеют свои плюсы и минусы.

Минусы:

• Не все сотрудники могут принять участие в вебинары;

• Отсутствие "живой" реакции от аудитории;

• Различные технические проблемы, связанные с использованием площадки (прыгающий звук, рассыпание картинки и т.д.);


Плюсы:

• Нет необходимости в командировках при проведении мероприятий в других городах;

• Возможность быстрой организации вебинара;

• Объединение аудитории, расположенной на разных локациях;


Вебинар, как замена тренинга для новых сотрудников и ежегодного тренинга, весьма полезен и эффективен. Но там где требуется демонстрация технических решений или использования сразу нескольких устройств, вебинар может оказаться не достаточно функциональным и неудобным, не говоря уже о необходимости проведения нескольких сессий для покрытия максимальной большой аудитории.



Демонстрации атак

Одной из самых сложных в реализации, но в то же время, самой зрелищной для публики является демонстрация "хакерских" атак. Видео с такими демонстрациями свободно распространяются в интернете, так что найти их не составит труда, а практически весь необходимый набор программ включает в себя Kali Linux и ему подобные дистрибутивы.


Не стоит демонстрировать какие то сложные или долгие для реализации атаки, рекомендуется начинать с чего- то простого, к примеру, перехват нешифрованного трафика в одной сети или автоматическое подключение к публичным сетям и возможные проблемы, связанные с этим. Цель – не показать какой вы мастер, а показать, насколько опасен, может быть неосмотрительный подход к передаче данных и к интернету в целом. Идеально – это научить сотрудника думать и заботиться о своей безопасности и безопасности данных компании.


Хороший сценарий поможет организовать и продумать переходы от вступительной речи к демонстрации. Вступительная часть, в ходе которой может быть описание реальной ситуации, в которой может оказать каждый, является очень важным элементом для самих сотрудников. Важно помнить, что большая часть аудитории - это люди, не слишком хорошо разбирающихся в технических нюансах.


Не стоит забывать и про техническую подготовку. Большая часть демонстраций требует 2 и более компьютера, отдельной сети, нескольких мониторов/проекторов и соответствующего питания. Тщательная подготовка, тестирование и десятки прогонов помогут хорошо понимать последовательность действий и составить подробное описание. Необходимо подумать и о подстраховке на случай сбоя. Прекрасной практикой является проведение такого рода мероприятий вдвоем: на случай, если у одного что-то не заработало, второй продолжит мероприятие до устранения сбоя.


Само выступление можно разбить на 4 части:

• Вступление

• Демонстрация

• Заключение

• Q&A

Во вступительной части лучше рассказать о каком-то событии или действии знакомом каждому: нет человек, который бы не подключался к бесплатной WiFi сети в аэропорту или на вокзале. Но знает ли он возможные последствия использования данных сетей? Скорее нет, чем да. Именно это и можно продемонстрировать аудитории во второй части: перехват трафика, кража данных, фишинговые сайты и прочее. В заключительной части крайне желательно рассказать публике о том, как защитить себя от этих угроз. Само собой после демонстрации у коллег возникнут вопросы и, чем сложнее была демонстрация, тем больше будет вопросов и к этому надо быть готовым.


Прекрасной практикой является создание и подготовка нескольких демонстраций, логически связанных между собой. Представитель ИБ может создать красивую историю, и в ходе повествования этой истории, раскрывать новые и новые опасности цифрового мира, подтверждая их демонстрациями атак. Таким образом, аудитории сможет взглянуть на обыденные вещи чуть под другим углом, нужным ИБшникам.


Такие демонстрации могут быть показаны в рамках вебинара, но организатор должен учитывать все возможные сложности, с которыми он может столкнуться.



Заключение

В рамках данной статьи/поста, были рассмотрены возможные мероприятия, направленные на повышение осведомлённости сотрудников компании. Какие то мероприятия являются простыми в реализации, какие то нет. Но, так или иначе, каждая компания может найти для себя наиболее удобный вариант исходя из своих человеческих, финансовых и технических ресурсов. Неизменно одно, сотрудникам необходимо рассказывать об опасностях цифрового мира и о том, как защитить себя (а значит и компанию).

Дубликаты не найдены

+3

Таки трененги по ИБ для всех сотрудников фирмы скорее вредны чем полезны. Знаний от такого тренинга у секретарши Светика не прибавится а вот времени такой тренинг займет. Вместо таких тренингов надо строить правильную защиту и правильно разграничивать права, так чтобы человек не знающий ИБ не мог совершить ничего опасного.

раскрыть ветку 2
+1

А потом Светик радостно открывает вложение с шифровальщиком из спам-письма, и он шифрует все документы к которым есть доступ у секретаря. А это не так мало даже при нормально действующей политике по разграничению доступов.

ИБ - это процесс, который должен включать и правильные политики, и проведение ликбезов и т.п.

раскрыть ветку 1
+2
Вместо таких тренингов надо строить правильную защиту и правильно разграничивать права

https://supportcenter.checkpoint.com/supportcenter/portal?ev...

+4

Тренинги-хуенинги. Простите вырвалось. Просто люди уже охреневают от потока информации, и стараются делать то что умеют не отвлекаясь на информацию на которую можно не отвлекаться.

Новые программы, коих уже легион, и так вводят сотрудников в "восторг", а тут ещё попробовать прокачать их скил информационной индустрии. Ага ).

Нет только пока что-нибудь не случится, либо прямое указание сверху, только хардкор!

С уважением начальник службы информационной безопасности просто сисадмин.

раскрыть ветку 6
+3

ежемесячные показательные "расстрелы " очень помогают не забывать об ИБ на предприятии.

+1

просто стоит вбить в головы простое правило- "Что НЕ разрешено- то ЗАПРЕЩЕНО!"

-3

Ну да, почему бы не забить на иб, потому что у кого-то головушка бо-бо, а потом из-за одного инцидента просрать компанию, действительно

раскрыть ветку 3
-1

До некоторых людей очень сложно донести необходимость подобных тренингов, да и просто объяснить им элементарные правила сетевой безопасности и важность их соблюдения.

раскрыть ветку 2
0
Такое очучение, что это HR писал, а не ITшник...
0
Блин, столько воды, это же не читабельно?
Похожие посты
Похожие посты не найдены. Возможно, вас заинтересуют другие посты по тегам: