Главными заказчиками обучения сотрудников основам информационной безопасности традиционно становится ИБ-подразделение. Однако специфика работы классических «безопасников» не предполагает владения навыками преподавания, поэтому они обращаются за помощью в HR-службу.
Объединение усилий этих подразделений позволяет разработать качественную программу подготовки, поскольку сотрудники ИБ знают, чему нужно научить персонал, а HR-служба понимает, как организовать такое обучение.
Однако одной синергии усилий ИБ и HR недостаточно, существует множество факторов, определяющих эффективность подготовки персонала. Наиболее важные из них - адекватная методологическая поддержка и сочетание обучения с практическими тренировками.
Согласно данным отчёта о защищённости сотрудников за 2020 год, подготовленного компанией «Антифишинг», обучение правилам информационной безопасности без практической тренировки навыков принесло довольно слабый результат: лишь 9 % сотрудников изменили своё поведение на безопасное. Обучение, подкреплённое тренировками с помощью имитированных атак, существенно улучшило этот показатель: безопасно себя вести стали 49 % сотрудников.
Вывод очевиден: необходимо организовать процесс повышения осведомлённости, вооружившись качественной методологией, и дополнить классическое обучение систематическими тренировками. Крайне желательно, чтобы эти атаки были максимально приближены к реальным, то есть учитывали специфику компании и особенности взаимодействия подразделений внутри неё. Также понадобится объяснить сотрудникам, почему они должны тратить время на обучение непонятным вещам вместо основной работы. Для этого следует выстроить систему мотивации и подготовиться к работе с возражениями.
Мероприятия для проведения обучения и тренировок довольно чётко делятся по «сферам влияния»:
Совместные усилия этих подразделений вполне могут повысить уровень культуры информационной безопасности и даже сделать её частью бизнес-процессов. Но возможно это лишь при условии достаточного количества ресурсов в ИБ и в HR - людей, которые могут полноценно заниматься обучением и тренировками, не разрываясь между повышением киберкультуры и остальными обязанностями.
Для того чтобы система обучения работала, необходимо помнить, что у сотрудников, вовлеченных в процесс, должна быть соответствующая мотивация. К сожалению, нет какого-то универсального способа мотивации сотрудников, для каждой компании они могут быть свои, но стоит обратить внимание на несколько важных аспектов.
Справиться с дополнительной нагрузкой поможет применение специализированных платформ, сочетающих в себе функции системы электронного обучения и инструментария для тренировок сотрудников с помощью имитированных атак. Важно, чтобы система позволяла адаптировать курсы и атаки под особенности организации, обеспечивая комплексный контроль результатов.
В качестве оптимального решения, которое не только закрывает перечисленные потребности, но и даёт массу дополнительных возможностей, следует отметить платформу «Антифишинг», разработанную одноимённой компанией.
В составе платформы имеется электронная система обучения (LMS), поддерживающая загрузку курсов в привычном для всех формате SCORM. Вместе с системой поставляются пять обучающих курсов, подробная документация по использованию, а также пакет методологических рекомендаций, которые значительно облегчат работу заинтересованных подразделений.
При этом платформа позволяет организовать контроль знаний сотрудников, прошедших обучение. Процесс организован следующим образом. Изначально сотруднику направляется имитированная атака, если сотрудник выполнил небезопасное действие (открыл якобы зараженный файл, перешел по якобы вредоносной ссылке), то ему назначается обучение. На прохождение обучения и тестирования отводится определенное время, спустя время после успешного обучения сотруднику снова направляется имитированная атака. Данные действия могут повторяться, при этом система отслеживает статус имитированных атак и прохождения обучения по каждому сотруднику и ведет его рейтинг. Рейтинг может повышаться или понижаться, в зависимости от действий пользователя.
Отдельно стоит отметить, что платформа позволяет заранее запланировать проверку навыков (направление имитированных атак) и сформировать график. Тем самым у специалистов нет необходимости каждый раз создавать отдельную имитированную атаку.
«Антифишинг» предоставляет для ИБ следующие возможности:
Система визуализации «Антифишинга»
Для HR-подразделения система предлагает:
Важно, что функциональные модули платформы глубоко связаны между собой, поэтому ИБ и HR специалисты могут совместно работать над повышением уровня кибербезопасности компании.
Плагин для MS Outlook в составе «Антифишинга»
Возможности «Антифишинга» будут полезны и другим подразделениям компании. Например, для внутреннего аудита важно видеть целостную картину прогресса обучения сотрудников. Сотрудник ИБ может совместно с подразделением внутреннего аудита сформировать чёткие метрики процесса повышения осведомлённости и на периодической основе предоставлять информацию из «Антифишинга» аудиторам.
Метрики «Антифишинга» пригодятся и подразделению, отвечающему за мониторинг и реагирование на инциденты ИБ. В этом контексте «Антифишинг» можно рассматривать как дополнительный источник событий для SIEM-системы. Плагин для MS Outlook, появившийся в «Антифишинге» 2.4.3, дает возможность сотрудникам компании непосредственно из почтового клиента уведомлять подразделение ИБ о потенциальном факте выявления фишинговой атаки. Такая информация позволяет подразделению SOC оперативно реагировать на атаки, связанные с фишинговыми рассылками.
Повышение уровня защищённости компании требует проведения комплекса организационных и технических мероприятий. Важное значение в этом процессе имеет продуктивное сотрудничество ИБ и HR-служб компании. Решить эту задачу эффективнее и исключить перегрузку ответственных сотрудников поможет «Антифишинг» - специализированная платформа для обучения и тренировки навыков персонала в сфере информационной безопасности. По вопросам работы платформы обращайтесь к техническим специалистам нашей компании.
Автор: Евгений Ельцов, заместитель генерального директора группы компаний Angara