Как сотрудничество ИБ- и HR-служб помогает защитить компанию от кибератак

Количество кибератак в мире постоянно растёт. Самые опасные атаки готовятся под конкретную организацию и носят целевой характер. Начальным этапом в большинстве случаев становится использование психологических слабостей людей - проще говоря, манипуляция. Под воздействием отработанных приёмов социальной инженерии сотрудники становятся невольными помощниками преступников, запуская вредоносные вложения из электронных писем или передавая им логины и пароли от своих учётных записей. Чтобы работники компании перестали быть слабым звеном, необходимо повышать уровень их осведомлённости в вопросах ИБ и тренировать навыки цифровой гигиены. Об этом рассказывает заместитель генерального директора группы компаний Angara Евгений Ельцов.

Организация процесса повышения осведомлённости

Главными заказчиками обучения сотрудников основам информационной безопасности традиционно становится ИБ-подразделение. Однако специфика работы классических «безопасников» не предполагает владения навыками преподавания, поэтому они обращаются за помощью в HR-службу.

Объединение усилий этих подразделений позволяет разработать качественную программу подготовки, поскольку сотрудники ИБ знают, чему нужно научить персонал, а HR-служба понимает, как организовать такое обучение.

Однако одной синергии усилий ИБ и HR недостаточно, существует множество факторов, определяющих эффективность подготовки персонала. Наиболее важные из них - адекватная методологическая поддержка и сочетание обучения с практическими тренировками.

Согласно данным отчёта о защищённости сотрудников за 2020 год, подготовленного компанией «Антифишинг», обучение правилам информационной безопасности без практической тренировки навыков принесло довольно слабый результат: лишь 9 % сотрудников изменили своё поведение на безопасное. Обучение, подкреплённое тренировками с помощью имитированных атак, существенно улучшило этот показатель: безопасно себя вести стали 49 % сотрудников.

Вывод очевиден: необходимо организовать процесс повышения осведомлённости, вооружившись качественной методологией, и дополнить классическое обучение систематическими тренировками. Крайне желательно, чтобы эти атаки были максимально приближены к реальным, то есть учитывали специфику компании и особенности взаимодействия подразделений внутри неё. Также понадобится объяснить сотрудникам, почему они должны тратить время на обучение непонятным вещам вместо основной работы. Для этого следует выстроить систему мотивации и подготовиться к работе с возражениями.

Мероприятия для проведения обучения и тренировок довольно чётко делятся по «сферам влияния»:

  • ИБ-подразделение занимается подготовкой тренировочных атак и определяет, какие знания должны получить сотрудники;
  • HR-служба организует проведение и контроль результатов обучения и тренировок, выстраивает систему мотивации и обеспечивает работу с возражениями.

Совместные усилия этих подразделений вполне могут повысить уровень культуры информационной безопасности и даже сделать её частью бизнес-процессов. Но возможно это лишь при условии достаточного количества ресурсов в ИБ и в HR - людей, которые могут полноценно заниматься обучением и тренировками, не разрываясь между повышением киберкультуры и остальными обязанностями.

Мотивация сотрудников к обучению

Для того чтобы система обучения работала, необходимо помнить, что у сотрудников, вовлеченных в процесс, должна быть соответствующая мотивация. К сожалению, нет какого-то универсального способа мотивации сотрудников, для каждой компании они могут быть свои, но стоит обратить внимание на несколько важных аспектов.

  1. Повышение уровня осведомленности должно быть тесно интегрировано в корпоративную культуру компании. Новые и уже работающие сотрудники должны видеть, что в компании вопросам ИБ уделяется особое внимание. Здесь также немаловажную роль играет вовлеченность линейных руководителей - они должны быть примером для своих подчиненных.
  2. В рамках процесса сотрудникам необходимо доносить информацию о смысле и значимости ИБ через контекст сферы деятельности компании. Для каждой компании это что-то свое: у кого-то в случае нарушения правил ИБ могут быть раскрыты сведения об их клиентах, в других случаях могут быть нарушены какие-то производственные процессы, которые приведут к финансовым потерям.
  3. Необходимо направлять обратную связь по итогам обучения и тренировки навыков. Сотрудники должны понимать, что они не напрасно потратили свое время.
  4. Можно использовать для повышения мотивации сотрудников игровые механики, например, специализированные тренажеры, которые позволяют проверить, насколько пользователь может отличить фишинговое письмо от настоящего.

Специализированные программы для повышения осведомленности

Справиться с дополнительной нагрузкой поможет применение специализированных платформ, сочетающих в себе функции системы электронного обучения и инструментария для тренировок сотрудников с помощью имитированных атак. Важно, чтобы система позволяла адаптировать курсы и атаки под особенности организации, обеспечивая комплексный контроль результатов.

В качестве оптимального решения, которое не только закрывает перечисленные потребности, но и даёт массу дополнительных возможностей, следует отметить платформу «Антифишинг», разработанную одноимённой компанией.

В составе платформы имеется электронная система обучения (LMS), поддерживающая загрузку курсов в привычном для всех формате SCORM. Вместе с системой поставляются пять обучающих курсов, подробная документация по использованию, а также пакет методологических рекомендаций, которые значительно облегчат работу заинтересованных подразделений.

При этом платформа позволяет организовать контроль знаний сотрудников, прошедших обучение. Процесс организован следующим образом. Изначально сотруднику направляется имитированная атака, если сотрудник выполнил небезопасное действие (открыл якобы зараженный файл, перешел по якобы вредоносной ссылке), то ему назначается обучение. На прохождение обучения и тестирования отводится определенное время, спустя время после успешного обучения сотруднику снова направляется имитированная атака. Данные действия могут повторяться, при этом система отслеживает статус имитированных атак и прохождения обучения по каждому сотруднику и ведет его рейтинг. Рейтинг может повышаться или понижаться, в зависимости от действий пользователя.

Отдельно стоит отметить, что платформа позволяет заранее запланировать проверку навыков (направление имитированных атак) и сформировать график. Тем самым у специалистов нет необходимости каждый раз создавать отдельную имитированную атаку.

«Антифишинг» предоставляет для ИБ следующие возможности:

  • антифишинг-плагин для MS Outlook, с помощью которого пользователи могут передавать в ИБ-подразделение уведомления о выявленных атаках;
  • конструктор шаблонов имитированных атак, с помощью которого можно самостоятельно разработать атаки любой сложность;
  • ежемесячно пополняемый набор шаблонов типовых атак, а также атак, разработанных специально для организации, установившей систему;
  • система визуализации результатов обучения и тренировок сотрудников, которая позволяет продемонстрировать руководству компании эффективность работы ИБ-подразделения в части развития навыков безопасного поведения людей.

 

Система визуализации «Антифишинга»

 

Для HR-подразделения система предлагает:

  • интеграцию с Active Directory, благодаря которой организационная структура будет автоматически синхронизироваться с «Антифишингом». Это избавит от необходимости вводить названия должностей и подразделений вручную и значительно сэкономит время;
  • назначение обучения с помощью планировщика. Можно автоматически назначать определённые курсы новым сотрудникам или повторять обучение с заданной периодичностью;
  • контроль результатов прохождения курсов с удобной системой визуализации;
  • возможность дополнительного деления сотрудников по группам риска, независимым от подразделения;
  • методологические рекомендации по эффективному использованию «Антифишинга».

Важно, что функциональные модули платформы глубоко связаны между собой, поэтому ИБ и HR специалисты могут совместно работать над повышением уровня кибербезопасности компании.

 

Плагин для MS Outlook в составе «Антифишинга»

 

Возможности для взаимодействия с другими подразделениями компании

Возможности «Антифишинга» будут полезны и другим подразделениям компании. Например, для внутреннего аудита важно видеть целостную картину прогресса обучения сотрудников. Сотрудник ИБ может совместно с подразделением внутреннего аудита сформировать чёткие метрики процесса повышения осведомлённости и на периодической основе предоставлять информацию из «Антифишинга» аудиторам.

Метрики «Антифишинга» пригодятся и подразделению, отвечающему за мониторинг и реагирование на инциденты ИБ. В этом контексте «Антифишинг» можно рассматривать как дополнительный источник событий для SIEM-системы. Плагин для MS Outlook, появившийся в «Антифишинге» 2.4.3, дает возможность сотрудникам компании непосредственно из почтового клиента уведомлять подразделение ИБ о потенциальном факте выявления фишинговой атаки. Такая информация позволяет подразделению SOC оперативно реагировать на атаки, связанные с фишинговыми рассылками.

Повышение уровня защищённости компании требует проведения комплекса организационных и технических мероприятий. Важное значение в этом процессе имеет продуктивное сотрудничество ИБ и HR-служб компании. Решить эту задачу эффективнее и исключить перегрузку ответственных сотрудников поможет «Антифишинг» - специализированная платформа для обучения и тренировки навыков персонала в сфере информационной безопасности. По вопросам работы платформы обращайтесь к техническим специалистам нашей компании.

Автор: Евгений Ельцов, заместитель генерального директора группы компаний Angara

Автор: Александр Абрамов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, Angara