В прошлом году количество кибератак
в масштабе всей страны увеличилось на 80%. Навыки кибербезопасности становятся первоочередной задачей для множества компаний. Допущение такого инцидента грозит репутационным и материальным ущербом.
По последней информации компания, допустившая утечку персональных данных пользователей, должна будет заплатить до 3% от своего оборота. А в случае повторной утечки данных есть вероятность штрафа от 5 млн до 500 млн рублей.
В 2023 году планируется усиление внеплановых проверок со стороны Минцифры РФ, что также требует повышения осведомленности сотрудников в части требований Федерального закона № 152-ФЗ «О персональных данных».
















Более 80% атак связаны с человеческим фактором. Это не говорит о том, что сотрудники допустившие ошибку - безответственные. Они подвергаются влиянию фальшивых личностей, наживок и других психологических и социологических приёмов социальной инженерии для получения доступа к информации компании. Но это случается, если они не подготовлены к подобному, не участвовали в тренингах и обучающих программах по кибербезопасности.
Поэтому требуется организовывать и проводить обучение, ознакамливать сотрудников с угрозами безопасности, порядком действий при обнаружении угрозы и тем самым укреплять уязвимые звенья в безопасности.

















Как организовать обучение информационной безопасности?
Этот алгоритм поможет повысить информационную безопасность в любой компании:

Определите компетенции сотрудников и сформируйте для них идеальный набор знаний и навыков кибербезопасности, которым они должны обладать. Постарайтесь оцените насколько действительно необходимо, чтобы каждый сотрудник отличал фишинг от социальной инженерии. Может будет достаточным знать общие правила: перепроверять адреса веб сайтов, не вводить пароли почты в сторонних сервисах и не открывать письма о мнимых выигрышах в 1 миллион рублей?

Выявите разрыв в знаниях между идеальной и текущей осведомленностью персонала. Учитывая статистику, желательно проверить знания и навыки каждого сотрудника. Оптимальные инструменты - тесты, опросы, либо провокационные рассылки.

Заполните слепые пятна. Чтобы прокачать сотрудников до целевой осведомленности, используйте различные каналы взаимодействия:
  • Сформируйте индивидуальные программы обучения основам кибербезопасности и создайте электронные курсы. Взамен сухих текстов обучайте с помощью видеороликов, используйте визуализацию процесса, приводите в примеры реальные кейсы кибератак.
  • Организуйте митапы, вебинары. По нашему опыту, коллеги внимательно относятся к советам приглашённых экспертов.
  • Напоминайте о важности тех или иных правил через корпоративную рассылку.
  • Включайте политику и правила защиты данных, правил пользования интернетом в руководство для новых сотрудников.
4. Автоматизируйте обучение с помощью HR платформы. Это позволит сократить время на рутинные организационные процессы. На нашей платформе Edstein вы сможете интегрировать созданные электронные курсы в систему дистанционного обучения (СДО/LMS), либо создавать их сразу внутри, в удобном редакторе.
5. Оцените результаты проделанной работы и ее эффективность. По итогу прохождения сотрудниками обучения в LMS системе Edstein вы сможете выгрузить понятную и наглядную аналитику в формате PDF и Excel.
6. Практикуйте регулярность. Разовое обучение не решит проблему. Нужно настраиваться на long-learning процесс. Обновляйте форматы обучающих материалов и их оценки. Например, можно вводить задания, где сотрудник должен приложить видео, аудио и текстовый ответ с проверкой экспертом. Все эти опции предоставляет Edstein.
7. Закрепите вышеперечисленное внутренним ЛНА. Так вы сможете снизить юридические риски и сделать информационную безопасность вашим конкурентным преимуществом.


Какие темы следует включить в обучение?
  1. Различные формы угроз кибербезопасности: спам, фишинг, вредоносные программы и программы вымогатели, социальную инженерию.
  2. Защита персональных данных: комплекс технических, организационных
и организационно-технических мероприятий, позволяющий выполнить требования Федерального закона № 152-ФЗ «О персональных данных».
  1. Политика паролей и их хранение.
  2. Политика в отношении корпоративной электронной почты, интернета и социальных сетей.
  3. Защита данных от утечки за пределы корпоративной сети организации.
  4. Способы, как выявлять и сообщать об угрозах кибербезопасности.

Как повысить вовлеченность в процесс обучения?
  • Используйте элементы геймификации. На платформе Edstein вы можете использовать встроенные коллекции достижений, персонажей и создавать свои. Это позволит сделать процесс обучения легче и приятнее.
  • Дайте сотрудникам возможность почувствовать себя супергероями. Ведь на них лежит большая ответственность: они являются первой линией атаки и одновременно линией обороны. А когда какая-то из угроз будет выявлена до нанесения вреда, уведомите об этом весь коллектив, показывая, насколько их обучение помогло компании.









Как обучить сотрудников основам кибербезопасности
© 2023 ООО Эдштейн. Все права защищены.
Подпишись на рассылку и будь в курсе самых полезных новостей
Правовая информация
Продукты
тел: +7 (495) 278-02-32 email: hello@edstein.ru
Москва, м. Бабушкинкая, ул. Искры 31с1, офис 505