18 июля 2017

Человеческий фактор: Как научить сотрудников не ошибаться

Бизнес

Мы не устаем повторять, что для защиты бизнеса от киберугроз недостаточно одних лишь технических средств. При определенных обстоятельствах один сотрудник может пустить насмарку работу целого отдела информационной безопасности. Причем не со зла, а просто из-за непонимания основ кибербезопасности, незнания современных угроз или по невнимательности. Поэтому большая часть компаний (по нашим оценкам, около 65%), уже инвестирует в образование своих сотрудников в этой области. 

Но тут возникает сложность. Обычно человек, который принимает решение «нам надо повышать осведомленность сотрудников» и человек, который в итоге организовывает это обучение, — совершенно разные люди. И если первому проблема кажется очевидной, то второй нередко сам не до конца понимает, чему, как, а главное, зачем нужно учить. 

Понимание проблемы

Итак, на вас свалилась задача организовать «повышение осведомленности в сфере кибербезопасности». Честно говоря, эта общепринятая формулировка звучит весьма абстрактно. Давайте добавим немного конкретики. Мы совместно с компанией B2B International опросили более 5 тысяч компаний по всему миру, чтобы понять их видение проблемы и то, как они оценивают «вклад» сотрудников в конкретные случаи киберинцидентов. Если коротко, то результаты таковы: 

  • 46% киберинцидентов в прошлом году произошло при деятельном участии сотрудников компаний, которые по неосторожности или по незнанию поставили безопасность своей фирмы под угрозу; 
  • Строго говоря, 53% компаний, пострадавших от вредоносного ПО, уверены, что заражение не смогло бы произойти без помощи все тех же невнимательных сотрудников. А 36% считают основным фактором применение методов социальной инженерии (то есть кто-то запудрил мозг все тем же сотрудникам). 
  • Целевые атаки в 28% случаев работают за счет применения фишинга и методов социальной инженерии (которые опять же сработают, только если сотрудники не понимают, что происходит). 
  • В 40% компаний сотрудники пытались скрыть произошедший инцидент, создавая дополнительную угрозу безопасности компании и в некоторых случаях увеличивая нанесенный ущерб. 
  • Почти половина всех опрошенных фирм беспокоится о том, что сотрудники необдуманно разглашают корпоративную информацию, используя личные мобильные устройства в рабочих целях. 

По ссылке ниже вы можете ознакомиться с полным текстом исследования (на английском языке). Оно исчерпывающе отвечает на вопрос «зачем это все нужно». 

Как нужно учить

Вопрос «как» не менее сложен для понимания. На рынке огромное количество разнообразных курсов, лекций и мастер-классов, но заранее оценить, каковы будут результаты этих упражнений, сложно. 

Взять, например, ту же проблему с сокрытием инцидентов. Если собрать сотрудников и рассказать им, что это плохо, неправильно и может привести к дополнительному ущербу, то они ответят: «Ага, понятно». И продолжат скрывать – они и так знают, что это плохо, просто пытаются избежать ответственности. 

Тут нужен иной подход. Во-первых, следует понять, что ими движет. Зачастую причина сокрытия инцидентов кроется в жестких правилах, которые руководство или отдел информационной безопасности установили, но не потрудились объяснить. Соответственно топ-менеджмент, да и сами безопасники, тоже нуждаются в обучении, просто в другом. 

Чему нужно учить

Для того чтобы противостоять современным киберугрозам, компания должна работать как хорошо отлаженный механизм. При этом не следует забывать, что у разных сотрудников разная зона ответственности и различные задачи. Соответственно, и обучать их следует разным вещам. 

Топ-менеджменту нужно, в первую очередь, понимание рисков; руководители среднего звена и безопасники должны не просто принимать во внимание существующие угрозы и действовать, не ставя под угрозу кибербезопасность компании, но и уметь доносить свою мысль до большинства коллег; ну а рядовым сотрудникам важно иметь не только знания об угрозах, но и навыки практического применения этих знаний. 

Вот почему наш подход к обучению подразумевает различные курсы для сотрудников разных уровней. 

Если вы хотите узнать больше или договориться об обучении сотрудников, заполните форму ниже – и наши специалисты свяжутся с вами.