Современные методы обучения сотрудников компании по вопросам информационной безопасности
Леонид Крымский,
аналитик по информационной безопасности Digital Security
Itsec.Ru
Программа повышения осведомленности
В последнее время организации все чаще сталкиваются с проблемой неправомерных действий сотрудников компании, причем большинство инцидентов происходит в результате неумышленных действий. Перед специалистами отдела ИБ возникает непростая задача: как добиться того, чтобы сотрудники более внимательно относились к И Б, выполняли необходимые правила и требования, не вызывая у них при этом негативного отношения. Решением данной задачи является внедрение в компании программы повышения осведомленности сотрудников в области ИБ. Эта программа представляет собой процесс регулярного повышения их уровня знаний, создание корпоративной атмосферы и культуры в области ИБ.
Следует обратить внимание на основные требования, которым все рассматриваемые решения должны удовлетворять:
- предоставление возможности регулярного обучения любого количества сотрудников вне зависимости от их территориального местонахождения и без отрыва от рабочего процесса;
- подача материала пользователям в простой и понятной форме;
- адекватная стоимость всех внедряемых решений вне зависимости от количества обучающихся.
Исходя из перечисленных выше требований понятно, что рассматривать очное обучение как метод регулярного повышения осведомленности сотрудников в области ИБ с экономической точки зрения нецелесообразно. Значительно лучше для решения данной задачи подходят различные системы корпоративного дистанционного обучения либо те или иные "нестандартные" решения, особенности использования которых будут рассмотрены в этой статье.
Системы дистанционного обучения
Основным средством обучения большого количества сотрудников являются различные системы дистанционного обучения (СДО). Но СДО - это не обучающая программа, а средство доставки до конечного пользователя информации (учебных материалов), которая в нее заложена. Поэтому при ее выборе, как правило, следует обращать внимание на два параметра: основной функционал (управление процессом обучения сотрудников, гибкость формирования отчетов и т.п.) и набор учебных материалов, которые предоставляются вместе с системой. К последним предъявляют специфичные требования:
-
материалы должны быть понятны любому сотруднику, даже не обладающему никакими знаниями в области ИТ и ИБ;
-
они должны обучать и пояснять, почему то или иное правило так важно для безопасности компании;
- материалы должны быть увлекательными и интересными.
Таким образом, в первую очередь необходимо обращать внимание на содержание учебных материалов. Следует отметить, что некоторые консалтинговые компании как продают уже готовые учебные материалы, так и предоставляют услуги по разработке курсов для сотрудников, которые в дальнейшем интегрируются в уже внедренную СДО.
"Нестандартные" средства
Под "нестандартными" средствами повышения квалификации сотрудников компании в области ИБ понимаются различные методы, благодаря которым на эмоциональном и подсознательном уровне сотрудник запоминает учебный материал и понимает важность требований И Б. Рассмотрим подробнее некоторые примеры.
Скринсэйверы - это экранные программы-заставки, которые включаются, когда пользователь блокирует свою рабочую станцию. Идея применения скринсэйверов успела себя зарекомендовать и оказалась эффективной. Сотрудники подсознательно обращают внимание на увлекающие их вещи: достаточно 2-3 с, чтобы понять смысл хотя бы одного из слайдов скрин-сэйвера. Поэтому слайды должны быть красочными, понятными с первых мгновений и привлекающими к себе внимание.
Фильмы, мультфильмы, ролики. Основная ценность материалов, которые представлены в мультимедийных форматах, заключается в том, что они позволяют визуально и в игровой форме показать пользователям ситуации, в которых из-за невнимательности или небрежности сотрудника происходит инцидент, а также к каким последствиям это может привести. Кроме того, такие учебные материалы значительно повышают степень запоминания основных правил, а также формируют на начальном этапе положительное отношение сотрудника к ИБ. Их удобно применять для проведения периодических тренингов персонала.
Новости по ИБ. Новости для сотрудников также часто используются в качестве средства обучения. Лента новостей составляется с учетом следующих требований:
новости должны быть понятны любому сотруднику с нулевыми знаниями в области ИТ и ИБ;
-
они должны быть интересными и легко воспринимаемыми;
-
их содержание должно способствовать повышению уровня осведомленности сотрудников в области ИБ.
Таким образом, здесь целесообразно освещать следующие события: инциденты И Б (особенно случившиеся по вине сотрудников компании), появление новых атак, направленных на сотрудников, различные судебные процессы, связанные с нарушением ИБ, интересные рейтинги и номинации (например, рейтинг самых нелепых вирусов) и т.п.
Офисные принадлежности. Любая компания периодически производит закупки различных офисных принадлежностей. Сотрудники на протяжении всего рабочего дня используют эти материалы или, по крайней мере, находятся в непосредственной близости от них. Чтобы обычная шариковая ручка кроме своей основной функциональности превратилась в том числе и в так называемый обучающий материал, достаточно нанести на нее надпись - например, "Не предназначена для записи паролей".
Существует еще множество "нестандартных" средств, чтобы обратить внимание сотрудников на проблемы ИБ: плакаты и буклеты, памятки, которые выдаются при приеме на работу, брелоки и т.п. Главное - не бояться их использовать, и тогда все сотрудники и клиенты компании оценят серьезное отношение руководства к обеспечению ИБ.
Оценка квалификации сотрудников
Обзор методов обучения сотрудников вопросам ИБ нельзя было бы назвать полным без рассмотрения возможных методов оценки эффективности внедренной в компании программы обучения. Эффективность программы определяется исходя из осведомленности сотрудников компании в области ИБ. Безусловно, основ ным средством оценки знаний является тестирование. Однако недостаток данного метода состоит в том, что он предполагает оценку лишь теоретических знаний.
Чтобы проверить сотрудников на практике, имитируются ситуации, в которых действия неграмотного пользователя могут привести к нарушению ИБ. Например, почтовая рассылка от имени потенциального злоумышленника с просьбой запустить ПО или изменить настройки безопасности. Более того, данная проверка позволяет узнать реакцию сотрудников отдела ИБ и ИТ, а также оказать на них психологическое воздействие, показав, что все их действия контролируются.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2007