В теории практически все понимают, что очень важно беречь критичную для бизнеса информацию. Но, несмотря на это, регулярно происходят инциденты, которых можно было бы избежать, соблюдая простейшие меры предосторожности. Достаточно посмотреть на недавно опубликованный своеобразный хит-парад утечек персональных данных за первую половину 2016 года. В пятерке лидеров два абсолютно нелепейших случая!
На первом месте (по количеству данных, утекших вовне) — 5 млн записей с именами и номерами соцстрахования, похищенных из государственного учреждения вместе с ноутбуком, на котором они хранились. На четвертом месте — пропажа 950 тысяч записей с данными о клиентах лаборатории (с именами, адресами, номерами страховки и данными о здоровье), которые помещались на шести жестких дисках. Их просто однажды недосчитались.
Укрепляя слабейшие звенья #киберзащита
Tweet
По сути, в обоих случаях люди, которые работали с этой информацией, не сочли ее достаточно важной и оставили без должной охраны. А вывод один. Для того чтобы надежно защитить свой бизнес и критически важные данные, недостаточно просто установить какие-то программы и надеяться, что все будет в порядке. Потому что информационная безопасность не в программах. Она — в голове. И чтобы не беспокоиться за сохранность своих данных, нужно донести эту мысль до сотрудников.
И что самое главное — до всех сотрудников. Ведь, как известно, степень надежности любой системы определяется по самому слабому ее элементу. Но «сотрудники» — понятие абстрактное. Их нельзя рассматривать как некую единую массу. Есть совершенно конкретные люди, по-разному знакомые с технологиями, выполняющие разные задачи и воспринимающие информацию тоже по-разному. А значит, и говорить с ними нужно по-разному.
Собственно, именно на этом очень часто и спотыкаются создатели всевозможных тренингов. Они пытаются придумать некий универсальный «посыл», который бы всем объяснил, как работают информационные системы и что нужно делать, чтобы не произошло утечек. Коротенько так, часа на полтора. А следующий час посвящают мотивированию делать все правильно. И очень удивляются, когда после прослушивания их вдохновляющих спичей в компании ничего не меняется.
Мы проанализировали несколько подобных тренингов и пришли к выводу: малоэффективны они потому, что тренеры говорят не то, не тем и не так.
Люди, в должностные обязанности которых входит переписка с общественностью, перестают их слушать еще на третьей минуте, когда им рассказывают, как опасно открывать письма, полученные от неизвестных адресатов. Основная группа сотрудников — на пятнадцатой, когда им с умным видом говорят, что протокол HTTPS — это обычный протокол HTTP, работающий через шифрованные транспортные механизмы SSL и TLS. Линейные руководители всю лекцию отвечают на срочные письма через свои планшеты, а уж топ-менеджмент и вовсе недоумевает, зачем ему рассказывают эти детали. И потом все они дружно идут на рабочие места, ругаясь на бесцельно потраченные часы, притом что работы меньше не стало.
Бессмысленность такой подачи информации очевидна. Да, на людей вывалили горы информации. Будут они применять эти знания в повседневной жизни? Да они и не вспомнят, что там говорили!
Именно поэтому, разрабатывая нашу программу по повышению осведомленности сотрудников, мы придерживались абсолютно иного подхода. И в результате получили реально работающую программу, которая уже неоднократно доказала свою эффективность. Ее часть недавно даже получила награду престижного испанского журнала, освещающего темы информационной безопасности.
При создании своих тренингов мы придерживались двух основополагающих принципов: во-первых, мы не даем абстрактные знания, а прививаем конкретные навыки за счет вовлечения человека в процесс еще на этапе обучения. А во-вторых, мы делаем это на понятном человеку уровне, то есть учим разные группы сотрудников по-разному.
Рядовые сотрудники не будут вникать в зубодробительные технические подробности, но внимательно отнесутся к интерактивным онлайн-тренингам. Топ-менеджер не будет слушать лекцию, как какой-то студент, но с удовольствием попробует защитить от киберугроз предприятие, похожее на его реальный бизнес. И когда окажется, что решения, которые он принял в ходе этой игры, далеки от идеала, захочет узнать, в чем были его ошибки.
Короче говоря, мы подбираем для каждой группы сотрудников такой подход, который, с одной стороны, не был бы скучным и утомительным, а с другой — наглядно показывал бы связь информационной безопасности и ее непосредственных задач. Переводим информацию с языка специалистов по кибербезопасности на язык бизнеса. Таким образом, значительно повышается вероятность того, что впоследствии полученные знания будут применены на практике. И применены эффективно.
Подробнее о нашей программе по повышению осведомленности сотрудников в области кибербезопасности можно узнать вот на этой странице.