Леонид Крымский (leonid.krimsky@dsec.ru)
аналитик по информационной безопасности
Digital Security
(опубликовано в журнале "Information Security/Информационная безопасность")
Введение
Согласно ежегодному исследованию ФБР CSI/FBI Computer Crime And Security Survey в 2007 году среди крупных американских компаний (в исследовании принимали участие 36% респондентов с годовым оборотом более 1 миллиарда долларов) более 59% компаний столкнулись с проблемой неправомерных действий сотрудников компании, тогда как с вирусной активностью – 52% респондентов. Причем, более 80% инцидентов, в которых виновны сотрудники, происходят в результате неумышленных действий. Причины неумышленных действий – это и невнимательность сотрудников к правилам и требованиям обеспечения ИБ, и нежелание выполнять требования запретительно-ограничительного характера, а иногда и просто незнание сотрудниками этих правил и требований. В итоге, перед специалистами одела ИБ возникает понятная, но довольно непростая задача: как добиться того, чтобы сотрудники компании более внимательно относились к ИБ, выполняли необходимые правила, и требования, не вызывая у них при этом негативного отношения. Решением данной задачи является внедрение в компании программы повышения осведомленности сотрудников компании в области ИБ.
Под программой повышения осведомленности сотрудников понимается внедрение процесса регулярного повышения уровня знаний сотрудников компании в области ИБ, создание корпоративной культуры в области ИБ и атмосферы информационной безопасности.
Перед тем как перейти к конкретным методам и средствам повышения осведомленности сотрудников в области ИБ, следует обратить внимание на основные требования, которым все рассматриваемые решения должны удовлетворять:
- предоставлять возможность регулярного обучения любого количества сотрудников вне зависимости от их территориального местонахождения и без отрыва от рабочего процесса;
- преподносить материал пользователям в простой и понятной форме;
- стоимость всех внедряемых решений должна быть адекватной, и не должно быть прямой зависимости от количества обучающихся.
Исходя из перечисленных выше требований, понятно, что рассматривать очное обучение как метод регулярного повышения осведомленности сотрудников в области ИБ с экономической точки зрения не целесообразно. Значительно лучше для решения данной задачи подходят различные системы корпоративного дистанционного обучения или те или иные «нестандартные» решения, особенности использования которых будут рассмотрены в этой статье.
Системы дистанционного обучения
Основным средством для обучения большого количества сотрудников компании в настоящее время, безусловно, являются различные системы дистанционного обучения (СДО). Российский рынок СДО достаточно богат, и представлен как отечественными (Digital Security E-Learning System, Доцент и пр.), так и зарубежными (ELeaP LMS и пр.) продуктами. Понятно, что СДО – в большей степени не обучающая программа, а средство доставки до конечного пользователя информации (учебных материалов), которая в нее заложена. Поэтому при выборе СДО, как правило, следует обращать внимание на два параметра: основной функционал (управление процессом обучения сотрудников, гибкость формирования отчетов и т.п.) и набор учебных материалов, которые предоставляются вместе с системой. Если выбирать СДО применительно к ИБ по первому параметру – функциональность – выбор есть, а по второму параметру – набор учебных материалов – выбор не велик. В большей степени данная проблема связанна со специфичными требованиями к учебным материалам в области ИБ:
- материалы должны быть понятны любому сотруднику, даже не обладающему никакими знаниями в области ИТ и ИБ;
- материалы должны обучать и пояснять, почему то или иное правило так важно для безопасности компании и, несмотря на ограничительно-запретительный характер, его следует обязательно выполнять;
- материалы должны быть увлекательными и интересными, т.к. сотрудник не хочет обучаться неспециализированным знаниям, которые не повышают его стоимость на рынке труда.
Таким образом, в области ИБ в первую очередь, необходимо обращать внимание на содержание учебных материалов. Следует отметить, что на российском рынке ИБ некоторые консалтинговые компании как продают уже готовые учебные материалы, так и предоставляют услуги по разработке курсов для сотрудников на основе принятых в компаний корпоративных документов в области ИБ, которые в дальнейшем интегрируется в уже внедренную в компании СДО.
«Нестандартные» средства
Под «нестандартными» средствами повышения квалификации сотрудников компании в области ИБ понимаются различные методы и средства, которые, как правило, не используются для обучения, благодаря которым на эмоциональном и подсознательном уровне сотрудник запоминает учебный материал и понимает важность требований ИБ. Рассмотрим подробнее некоторые примеры «нестандартных» методов повышения квалификации сотрудников.
Скринсэйверы
Скринсэйверы – это экранные программы-заставки, которые включаются, когда пользователь блокирует свою рабочую станцию. Несмотря на то, что на первый взгляд идея применения скринсэйверов для обучения вопросам ИБ может показаться абсурдной, т.к. пользователь блокирует рабочую станцию, чтобы покинуть рабочее место и не будет уходя смотреть на экран своего компьютера, она уже успела себя зарекомендовать и оказалась эффективной. Во-первых, сотрудники, которые находятся рядом, подсознательно обращают внимание на увлекающие их вещи, каким собственно и является грамотно разработанный скринсэйвер, а во-вторых, достаточно 2-3 секунды, которые тратит сотрудник, чтобы подойти к своему компьютеру, чтобы понять смысл хотя бы одного из слайдов скринсэйвера. Безусловно, для того, чтобы заинтересовать сотрудников, слайды, используемые в скринсэйвере, должны быть красочными, понятными с первых секунд и затягивающими. Например, серия скринсэйверов, где проводится аналогия ИБ с обычной жизнью сотрудников компании.
Фильмы, мультфильмы, ролики
Основная ценность материалов, которые представлены в мультимедийных форматах, заключается в том, что они позволяют визуально и в игровой форме показать пользователям ситуации, в которых из-за невнимательности или небрежности сотрудника происходит инцидент. Т.е. наглядно показывается, к каким последствиям для компании могут привести действия сотрудника. Кроме того, такие учебные материалы имеют широкую сферу применения. При приеме сотрудника на работу мультфильмы по ИБ, эффективно дополняющие обычные инструкции по ИБ, значительно повышают степень запоминания основных правил, а также формируют на начальном этапе положительное отношение сотрудника к ИБ. Такие учебные материалы удобно применять для проведения периодических тренингов персонала. Например, сообщать о новых угрозах для компании, которые могут быть реализованы через неграмотные действия сотрудников, а также доносить в простой и развлекательной форме инструкции и правила поведения в различных ситуациях.
Новости по ИБ
Новости для сотрудников по ИБ также часто используются в качестве средства обучения. Специфика российского сотрудника состоит в том, что он до сих пор верит в то, что «хакеры есть только в телевизоре», или, по крайней мере, точно не в России. Таким образом, новости показывают сотрудникам на реальных событиях, что обеспечение ИБ – это важная и приоритетная задача Компании. Безусловно, не все новости в области ИБ подходят для обучения сотрудников. Лента новостей по событиям в области ИБ составляется с учетом следующих требований:
- новости должны быть понятны любому сотруднику с нулевыми знаниями в области ИТ и ИБ;
- новости должны быть интересными и легко воспринимаемыми;
- содержание новостей должно способствовать повышению уровня осведомленности сотрудников в области ИБ.
Таким образом, в ленте новостей целесообразно освещать следующие события: инциденты ИБ (особенно случившиеся по вине сотрудников компании), появление новых атак, направленных на сотрудников (социальная инженерия, вирусные эпидемии, «письма-счастья» и т.п.), различные судебные процессы, связанные с нарушением ИБ, интересные рейтинги и номинации (например, рейтинг самых нелепых вирусов) и т.п.
Офисные принадлежности
Любая компания периодически производит закупки различных офисных принадлежностей (ручки, карандаши, post-it и т.п.). Сотрудники на протяжении всего рабочего дня используют эти материалы или, по крайней мере, находятся в непосредственной близости от них. Чтобы обычная шариковая ручка кроме своей основной функциональности превратилась, в том числе, и в обучающий материал, достаточно нанести на неё надпись, например, «не предназначена для записи паролей».
Чтобы проинформировать всех сотрудников о том, куда и к кому обращаться в случае возникновения инцидента можно также на ручку или карандаш нанести контактную информацию.
Существует еще множество «нестандартных» средств, чтобы обратить внимание сотрудников к проблемам ИБ: плакаты и буклеты, памятки, которые выдаются при приеме на работу, брелки и т.п. Главное – не бояться их использовать, и тогда все сотрудники и клиенты компании оценят серьезное отношение руководства компании к обеспечению ИБ.
Оценка квалификации сотрудников
Обзор методов обучения сотрудников вопросам ИБ нельзя было бы назвать полным без рассмотрения возможных методов оценки эффективности внедренной в компании программы обучения. Эффективность программы обучения определяется исходя из осведомленности сотрудников компании в области ИБ. Безусловно, основным средством оценки знаний является тестирование. Однако основным недостатком данного метода является то, что он предполагает оценку лишь теоретических знаний. Таким образом, вопрос как поведет себя сотрудник в реальной ситуации остается открытым. Одним из примеров оценки именно практических, а не теоретических знаний сотрудников, является использование социальной инженерии, когда имитируются ситуации, в которых действия неграмотного пользователя могут привести к нарушению ИБ. Например, почтовая рассылка от имени потенциального злоумышленника с просьбой запустить программное обеспечение или изменить настройки безопасности. Более того, данная проверка (в случае, если она является закрытой) позволяет проверить реакцию сотрудников отдела ИБ и ИТ, а также оказать психологическое воздействие на сотрудников, показав им, что все их действия контролируются.
Заключение
В заключение отметим, что обученные основным правилам в области ИБ сотрудники компании и, особенно, использующие полученные знания на практике, существенно снижают риск нарушения ИБ и, как следствие, уменьшают возможный ущерб компании. При этом обучение сотрудников в области ИБ при грамотном подходе не требует значительных материальных и временных затрат.
В настоящее время существует большое количество различных методов повышения осведомленности сотрудников в области ИБ. Наибольшая же эффективность, естественно, достигается при комплексном использовании различных элементов.
наверх
