ЕСТЬ РЕШЕНИЕ
Гид для топ-менеджера : Обучение сотрудников по вопросам кибербезопасности
АНАСТАСИЯ ГОЛЕВА , руководитель направления информационной безопасности АО « РАСЧЕТНЫЕ РЕШЕНИЯ »
В текущем году активизировались и без того активные мошенники , орудующие в киберпространства . Кажется , всем достаточно давно ясны правила , по которым играют эти злоумышленники , но обновляющийся « ассортимент » их уловок заставляет задуматься о более широком обучении людей по вопросам кибербезопасности . Не так давно на удочку преступников попался мой коллега , инженер , занимающийся безопасностью не один десяток лет . Человек компетентен – был удачно подобран момент . Поэтому в данной статье поговорим об обучении сотрудников не как о важном и необходимом мероприятии , а как о стиле жизни .
Думаю , на вопрос , всех ли необходимо обучать , ответ у любого в современном мире будет положительный . Да , безусловно , повышать квалификацию и проводить информирование нужно для всех сотрудников – и ИТ-направленности , и самих кибербезопасников , и сотрудников непрофильных направлений . Остается вопрос , как же учить людей ? Вариантов несколько – унылое и избитое доведение документов нельзя назвать полноценным обучением , но и оно должно быть , поскольку прочесть документацию в части безопасности все-таки стоит . Вторым вариантом идут различные онлайн-курсы и обучение с очным присутствием , использование внешних облачных образовательных платформ , внедрение корпоративных Learning Management System , позволяющих самостоятельно разрабатывать курсы , учитывая специфику собственного бизнеса и профессиональной направленности сотрудников , а также приобретать уже готовые курсы , разработанные опытными тьюторами .
Относительно новыми методами обучения являются киберучения и геймификация , существующая как в онлайн , так и в оффлайн-форматах . Поговорим подробней об этих методах .
Видя статистику реализованных ( и подвергшихся огласке , то есть , не составляющих 100 % от всей суммы реализованных ) инцидентов кибербезопасности , а также ущерб от данной реализации , невольно вспоминается фраза о тяжести учений и легкости в бою . Отсюда киберучения – имитация инцидентов , при которой , в обстановке , приближенной к реальной , команды учатся правильно реагировать на инциденты кибербезропасности . Существуют киберучения только для ИТ-сотрудников и специалистов по кибербезопасности , однако есть и варианты с участием непрофильных сотрудников . К слову , именно непрофильные сотрудники зачастую , при помощи методов социальной инженерии являются точкой входа злоумышленника в информационную инфраструктуру компании , поэтому погружение в сферу кибербезопасности для них наиболее ценно .
Геймификация – познание мира ( в нашем случае – правил кибербезопасности ) через игру . Существуют специально разработанные игры и игровые активности , пользующиеся успехом не только у детей , позволяющие сотрудникам повышать уровень собственных знаний и быть более информированными в сфере информационной безопасности .
Относительно новыми методами обучения являются киберучения и геймификация , существующая как в онлайн , так и в оффлайнформатах
На прошлый новый год коллеги , интеграторы и вендоры подарили нашему подразделению несколько настольных игр , тематика которых – кибербезопасность . Вечеринка с познавательным эффектом также позволит пользователям узнать что-то новое о кибербезопасности почувствовать себя в роли специалиста по безопасности и , возможно , глубже понять суть правил , которые их настоятельно просят соблюдать .
В части кибербезопасности подходит любая креативная идея , позволяющая непрофильным сотрудникам понять , что безопасность – не пустое слово и не скучное дело . Еще один кейс , возникший не так давно , « метка нарушителя » – активити-форма , при которой нарушителю информационной безопасности , чье нарушение заметил любой из сотрудников компании , вручается некий переходящий приз ( плюшевая игрушка , флажок – что угодно с шутливым изображением ), от которого нарушитель должен максимально быстро избавиться . Избавление возможно лишь передачей данного артефакта другому такому же нарушителю . Таким игровым методом , пользователи сами учатся выявлять нарушения кибербезопасности , повышается их внимание к деталям и бдительность .
Однако , нельзя забывать и о классическом образовании – порой полезно послушать лекции , посидеть несколько дней в аудитории , чтобы не просто выполнить требования регуляторов , а узнать что-то новое или освежить полученные ранее знания , приобрести новые знакомства и пообщаться с людьми , которые , как и вы , являются специалистами своего дела , заинтересованными в повышении уровня защищенности информации .