В прошлом году количество кибератак
в масштабе всей страны увеличилось на 80%. Навыки кибербезопасности становятся первоочередной задачей для множества компаний. Допущение такого инцидента грозит репутационным и материальным ущербом.
По последней информации компания, допустившая утечку персональных данных пользователей, должна будет заплатить до 3% от своего оборота. А в случае повторной утечки данных есть вероятность штрафа от 5 млн до 500 млн рублей.
В 2023 году планируется усиление внеплановых проверок со стороны Минцифры РФ, что также требует повышения осведомленности сотрудников в части требований Федерального закона № 152-ФЗ «О персональных данных».
Более 80% атак связаны с человеческим фактором. Это не говорит о том, что сотрудники допустившие ошибку - безответственные. Они подвергаются влиянию фальшивых личностей, наживок и других психологических и социологических приёмов социальной инженерии для получения доступа к информации компании. Но это случается, если они не подготовлены к подобному, не участвовали в тренингах и обучающих программах по кибербезопасности.
Поэтому требуется организовывать и проводить обучение, ознакамливать сотрудников с угрозами безопасности, порядком действий при обнаружении угрозы и тем самым укреплять уязвимые звенья в безопасности.
Как организовать обучение информационной безопасности?
Этот алгоритм поможет повысить информационную безопасность в любой компании:
Определите компетенции сотрудников и сформируйте для них идеальный набор знаний и навыков кибербезопасности, которым они должны обладать. Постарайтесь оцените насколько действительно необходимо, чтобы каждый сотрудник отличал фишинг от социальной инженерии. Может будет достаточным знать общие правила: перепроверять адреса веб сайтов, не вводить пароли почты в сторонних сервисах и не открывать письма о мнимых выигрышах в 1 миллион рублей?
Выявите разрыв в знаниях между идеальной и текущей осведомленностью персонала. Учитывая статистику, желательно проверить знания и навыки каждого сотрудника. Оптимальные инструменты - тесты, опросы, либо провокационные рассылки.
Заполните слепые пятна. Чтобы прокачать сотрудников до целевой осведомленности, используйте различные каналы взаимодействия:
5. Оцените результаты проделанной работы и ее эффективность. По итогу прохождения сотрудниками обучения в LMS системе Edstein вы сможете выгрузить понятную и наглядную аналитику в формате PDF и Excel.
6. Практикуйте регулярность. Разовое обучение не решит проблему. Нужно настраиваться на long-learning процесс. Обновляйте форматы обучающих материалов и их оценки. Например, можно вводить задания, где сотрудник должен приложить видео, аудио и текстовый ответ с проверкой экспертом. Все эти опции предоставляет Edstein.
7. Закрепите вышеперечисленное внутренним ЛНА. Так вы сможете снизить юридические риски и сделать информационную безопасность вашим конкурентным преимуществом.
Какие темы следует включить в обучение?
Как повысить вовлеченность в процесс обучения?
в масштабе всей страны увеличилось на 80%. Навыки кибербезопасности становятся первоочередной задачей для множества компаний. Допущение такого инцидента грозит репутационным и материальным ущербом.
По последней информации компания, допустившая утечку персональных данных пользователей, должна будет заплатить до 3% от своего оборота. А в случае повторной утечки данных есть вероятность штрафа от 5 млн до 500 млн рублей.
В 2023 году планируется усиление внеплановых проверок со стороны Минцифры РФ, что также требует повышения осведомленности сотрудников в части требований Федерального закона № 152-ФЗ «О персональных данных».
Более 80% атак связаны с человеческим фактором. Это не говорит о том, что сотрудники допустившие ошибку - безответственные. Они подвергаются влиянию фальшивых личностей, наживок и других психологических и социологических приёмов социальной инженерии для получения доступа к информации компании. Но это случается, если они не подготовлены к подобному, не участвовали в тренингах и обучающих программах по кибербезопасности.
Поэтому требуется организовывать и проводить обучение, ознакамливать сотрудников с угрозами безопасности, порядком действий при обнаружении угрозы и тем самым укреплять уязвимые звенья в безопасности.
Как организовать обучение информационной безопасности?
Этот алгоритм поможет повысить информационную безопасность в любой компании:
Определите компетенции сотрудников и сформируйте для них идеальный набор знаний и навыков кибербезопасности, которым они должны обладать. Постарайтесь оцените насколько действительно необходимо, чтобы каждый сотрудник отличал фишинг от социальной инженерии. Может будет достаточным знать общие правила: перепроверять адреса веб сайтов, не вводить пароли почты в сторонних сервисах и не открывать письма о мнимых выигрышах в 1 миллион рублей?
Выявите разрыв в знаниях между идеальной и текущей осведомленностью персонала. Учитывая статистику, желательно проверить знания и навыки каждого сотрудника. Оптимальные инструменты - тесты, опросы, либо провокационные рассылки.
Заполните слепые пятна. Чтобы прокачать сотрудников до целевой осведомленности, используйте различные каналы взаимодействия:
- Сформируйте индивидуальные программы обучения основам кибербезопасности и создайте электронные курсы. Взамен сухих текстов обучайте с помощью видеороликов, используйте визуализацию процесса, приводите в примеры реальные кейсы кибератак.
- Организуйте митапы, вебинары. По нашему опыту, коллеги внимательно относятся к советам приглашённых экспертов.
- Напоминайте о важности тех или иных правил через корпоративную рассылку.
- Включайте политику и правила защиты данных, правил пользования интернетом в руководство для новых сотрудников.
5. Оцените результаты проделанной работы и ее эффективность. По итогу прохождения сотрудниками обучения в LMS системе Edstein вы сможете выгрузить понятную и наглядную аналитику в формате PDF и Excel.
6. Практикуйте регулярность. Разовое обучение не решит проблему. Нужно настраиваться на long-learning процесс. Обновляйте форматы обучающих материалов и их оценки. Например, можно вводить задания, где сотрудник должен приложить видео, аудио и текстовый ответ с проверкой экспертом. Все эти опции предоставляет Edstein.
7. Закрепите вышеперечисленное внутренним ЛНА. Так вы сможете снизить юридические риски и сделать информационную безопасность вашим конкурентным преимуществом.
Какие темы следует включить в обучение?
- Различные формы угроз кибербезопасности: спам, фишинг, вредоносные программы и программы вымогатели, социальную инженерию.
- Защита персональных данных: комплекс технических, организационных
- Политика паролей и их хранение.
- Политика в отношении корпоративной электронной почты, интернета и социальных сетей.
- Защита данных от утечки за пределы корпоративной сети организации.
- Способы, как выявлять и сообщать об угрозах кибербезопасности.
Как повысить вовлеченность в процесс обучения?
- Используйте элементы геймификации. На платформе Edstein вы можете использовать встроенные коллекции достижений, персонажей и создавать свои. Это позволит сделать процесс обучения легче и приятнее.
- Дайте сотрудникам возможность почувствовать себя супергероями. Ведь на них лежит большая ответственность: они являются первой линией атаки и одновременно линией обороны. А когда какая-то из угроз будет выявлена до нанесения вреда, уведомите об этом весь коллектив, показывая, насколько их обучение помогло компании.
Как обучить сотрудников основам кибербезопасности
© 2023 ООО Эдштейн. Все права защищены.
Подпишись на рассылку и будь в курсе самых полезных новостей
Правовая информация
Продукты
тел: +7 (495) 278-02-32 email: hello@edstein.ru
Москва, м. Бабушкинкая, ул. Искры 31с1, офис 505
