Культура кибербезопасности вместо нудных лекций
1 марта 2019
Рубрика: Лаборатория Касперского. Тэги:
Автор: .

Когда в каком-нибудь блог-посте заходит речь о практических советах для бизнеса, мы почти гарантированно пишем: «Необходимо повышать осведомленность сотрудников о киберугрозах». И это, несомненно, правильно. Вот только разные люди понимают под этим выражением разные вещи. Хотелось бы как-то объяснить, что под этим подразумеваем мы.

«Повышение осведомленности» — это ни в коем случае не нудные лекции о том, как страшно жить в кибермире. Мы тщательно изучали разные подходы и можем авторитетно сказать: этот — не работает. В первую очередь нужно привить культуру кибербезопасности.

Как мы себе это представляем

Во-первых, тренинг будет работать, только если он:

— не абстрактный, а жизненный, привязанный к конкретным рабочим ситуациям;

— не мешает выполнению основных задач;

— использует наглядные примеры из реальной жизни;

— дает советы, которые реально исполнимы.

Применимость

На самом деле последний пункт крайне важен. Мы можем дать совет: каждый ваш пароль всегда должен быть сгенерирован из набора случайных символов, иметь длину не менее 18 знаков, да еще и менять его нужно каждую неделю. И, разумеется, никогда не записывайте его на бумажке. В теории это прекрасный совет. Применим он на практике? Нет. Будет кто-нибудь ему следовать? Да никогда. Как записывали «Passworddd123» на бумажке, так и будут. Только бумажку будут прятать чуть дальше — на случай санкций от начальства.

Поэтому среди советов, которые даем мы, есть такой: придумайте несколько сложных «корней», отсутствующих в словаре (например, meow!72!meow); каждый раз создавая новый пароль, приписывайте к нему ключевое слово (например, oxygen), а на бумажке пишите кот-акваланг (то есть что-то, что лично для вас ассоциируется с корнем и ключевым словом).

С точки зрения классической кибербезопасности этот совет далеко не идеален. Любой опытный безопасник возмутится — как же можно записывать хоть какую-то часть пароля?! Но вся штука в том, что этот совет вполне себе применим на практике. И пусть уж лучше люди будут следовать хорошему совету, чем игнорировать идеальный.

Совместимость

Совместимость с повседневной работой — это тоже достаточно важная тема. Когда у кого-то из начальства возникает идея «повысить уровень осведомленности» (а, скажем прямо, в 95% случаев такая идея возникает не на пустом месте, а после инцидента), они назначают ответственного и ждут, что все сотрудники отложат свои дела и пойдут учиться.

На практике это выливается в какие-нибудь большие лекции на целый день типа «расскажем всем обо всем» или в «неделю кибербезопасности». В результате часть сотрудников воспримет это как законный повод поменьше работать, другая часть будет нервничать из-за горящих сроков, а третья просто ничего не запомнит из-за обилия информации за короткое время.

Да, можно будет поставить галочку: «Сотрудники тренинг прошли». Но какой с этого всего будет реальный выхлоп? Может быть, это встряхнет кого-то из сотрудников. Может быть, пару недель после этого они внимательно будут читать каждое письмо и бояться фишинга. А что останется у них в голове?

Поэтому мы стараемся (в частности, при помощи нашей платформы Automated Security Awareness Platform) не перегружать людей информацией. Пара мини-активностей в неделю как раз и позволит не швырнуть в человека неперерабатываемый объем информации, а аккуратно вплести ее в рабочий график, заложив фундамент для культуры кибербезопасности. Мини-уроки, мини-тесты, мини-симуляции атак. Причем благодаря платформе такое обучение даже не требует особых усилий по управлению. Подробнее — вот тут.

Жизненность и наглядность

По этому вопросу наша позиция такова: мы работаем с людьми, а не с аккаунтами. Обучение должно быть интересным, иначе в голове ничего не останется. И обучение должно быть релевантным. Мы используем систему уровней, каждый из которых рекомендован для групп сотрудников с разной зоной ответственности.

Зачем мы будем учить противостоять киберугрозам для платежных систем сотрудника, у которого никогда не будет доступа к этим системам? Ему достаточно базовых знаний. А вот бухгалтер имеет дело и с финансовыми инструментами, и с письмами извне, так что ему имеет смысл изучить вопросы безопасности поглубже. Причем первым делом мы наглядно показываем, зачем что-то нужно знать, а уже потом даем практические советы.

Еще один способ сделать так, чтобы сотрудники не просто «узнали об угрозах», а получили практические навыки, — организовать интерактивную симуляцию. Зачастую это единственный способ работы с топ-менеджментом, который не так просто заставить проходить обычные тренинги.

Наши симуляции Kaspersky Interactive Protection Simulation воспринимаются людьми не как «занятие», а скорее как вариант тимбилдинга. Когда директор вместе с безопасником пытается найти оптимальное решение для того, чтобы модель компании не развалилась за пять ходов, он начинает понимать, зачем нужны те или иные меры, на что имеет смысл тратить бюджет и как доходность компании напрямую зависит от кибербезопасности. На самом деле это достаточно уникальный опыт.

О преимуществах построения культуры кибербезопасности перед устаревшими методами обучения думаем не только мы. Сходные идеи высказываются и в исследованиях аналитических компаний. Вот, например, отчет Forrester.

Источник

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте