Продолжаем нашу тему про SA.
- Образовательный контент должен быть адаптирован под вашу специфику. Например, материалы для веб-студии и банковских служащих будут явно разными. Да, общие темы и точки пересечения будут, но не более.
- Контент должен быть разнообразным, чтобы работники могли выбрать тот формат материалов, которые они лучше всего усваивают. Например, это могут быть статьи, инструкции, памятки, инфографики, видеоролики и даже полнометражные фильмы. В конце обучения важно закрепить знания тестированием.
- Отслеживайте прогресс. Security Awareness процесс непрерывный. Чтобы понять, с чего начать обучение и как его построить – важно внедрить определенные метрики, по которым вы и сотрудники будете ориентироваться и понимать, где вы находитесь и куда идти дальше.
- Мотивация. Процесс обучения не должен выглядеть как обязаловка. Сотрудники должны быть вовлечены в процесс. Достичь это можно разными методами: разработать систему мотиваций, стимулирования, геймификация обучения и так далее. Здесь большую роль играет тот, кто обучает ваших сотрудников. Об этом чуть позже.
- Практика. После всех шагов по повышению осведомленности нам важно понять, каков промежуточный итог нашего труда. Все ли мы делаем так или не совсем. В качестве практики необходимо проводить киберучения, куда может входить, как пример, контролируемая рассылка фишинговых писем на корпоративную почту сотрудников. Количество «попавшихся на удочку» сотрудников и будет вашей (специалиста по SA) оценкой. Чем больше сотрудников смогли распознать фишинг и действовали в рамках инструкций – тем выше ваша оценка и наоборот.
Нужно ли ругать тех сотрудников кто провалил киберучения? Ни в коем случае. Важно проанализировать ситуацию и понять, почему это произошло и как сделать так, чтобы такое больше не повторялось.
Кто проводит обучение Security Awareness?
Если мы берем отечественный рынок, то тут не все так однозначно. В зависимости от структуры организации и ее масштабов, направлением Security Awareness могут заниматься: «Никто», Security Champions или отдельный специалист (или даже отдел) по SA.
- «Никто» — тут все понятно, в организации нет такого человека и все пущено на самотек. Авось прокатит. Как правило, либо это слишком маленькая организация, либо организация, которую ни разу «не ломали» (но это вопрос времени).
- Security Champions. Если кратко, то это опытный сотрудник в команде разработки, который хорошо разбирается и заинтересован в информационной безопасности. А еще у такого сотрудника должно быть «лишнее» время, чтобы «заряжать» всю команду кибербезопасностью.
- Специалист по SA. Идеальный случай, когда в организации на эту важную роль есть отдельная должность или даже отдел. Тут тоже должно быть все понятно. Именно этот человек (отдел) отвечают за уровень киберграмотности в организации. Обратите внимание, ответственность именно за это, а не за защиту инфраструктуры предприятия.
Я надеюсь, с термином Security Awareness стало чуточку понятнее. Мы еще не раз будем возвращаться к этому термину.