Обучение пользователей своей организации

в 12:07, , рубрики: информационная безопасность, советы и рекомендации, метки: ,

Информационная безопасность, это на 90% работа с людьми.

Фразу выше, я не устану повторять никогда. Какой бы технически совершенной ни была ваша система безопасности, как бы безупречно и чётко ни была бы выстроена система управления ИБ, всегда есть человеческий фактор. Люди отвлекаются, забывают, «забивают» или просто игнорируют какие-то правила и порядки.

Под хабракатом я опишу довольно действенный способ снизить процент инцидентов связанных с человеческим фактором.

Будь доступен

Не нужно закрываться в своём кабинете и с важным видом ходить по коридорам. Посмотрите, как работают ребята в маркетинговых отделах или сейлы. Помните, что вам нужно подать свою мысль так, как-будто вы хотите продать её.
Не нужно рассылать аварнесс-презентации по почте, проведите её лично, отведите побольше времени для вопросов и комментариев, даже если они будут на 99% повторять то, что было в презентации.
В аврнесс-презентациях обязательно укажите свои контакты для связи.

Из личного опыта: после пары аварнесс-презентаций сотрудники подходили и писали не только с инцидентами, но и с комментариями, дополнениями и советами по-поводу самой презентации, системы ИБ и тд.

Будь проще

Подумайте о том, что многие вещи, элементарные для вас, как айтишника и/или безопасника, могут быть просто непонятны остальным сотрудникам вашей организации. Не нужно пересыпать свою речь сугубо специализированными или сленговыми терминами. Старайтесь объяснить и донести всё простыми словами и на простых примерах. Аварнесс-презентации начните с простых вещей, объясните что такое информация, какие у неё свойства. И не простым перечислением, вроде: конфиденциальность, целостность и доступность, а покажите пример, описывающий это свойство на примере своей организации или общепонятного примера.

Будь регулярным

Не стоит думать, что проведя обучение или аварнесс-презентацию, можно забыть об этом насовсем. Базовые «курсы» нужно повторять периодически, к примеру раз в год, со всеми сотрудниками. Так же хорошей практикой является проводить подобные презентации с новоприбывшими сотрудниками.
Сейчас очень распространена практика вводных курсов, обычно на это отводится 1-2 дня, где собирают новичков и рассказывают им об организации, функциях, отделах и правилах. Выступайте со своей презентацией на таких вводных курсах, что бы новоприбывшие сотрудники знали вас, знали что им делать и куда в случае инцидента обратиться.

Сделайте курс презентаций по различным направлениям ИБ. К примеру раз в квартал организуйте необязательный аварнесс-сешн для сотрудников, расскажите им о рисках, уязвимостях и о том, как можно с ними бороться на пользовательском уровне.
Не забывайте, что кроме вирусов, троянов и спама есть физическое проникновение, фишинг, да даже банальное воровство. Постарайтесь с помощью таких презентаций повысить бдительность, наблюдательность сотрудников.

Из личного опыта: после одной из презентаций по защите конфиденциальной и внутренней информации было сообщение от сотрудника, что в холле (смежном с другой организацией) были вывешены документы отдела кадров с пометкой: Для внутреннего использования.

Запомните главный принцип построения системы информационной безопасности: Безопасность начинается с каждого сотрудника!

Автор: BeaVisS

Поделиться

* - обязательные к заполнению поля