В прошлом году количество кибератак в масштабе всей страны увеличилось на 80%. Навыки кибербезопасности становятся первоочередной задачей для множества компаний. Допущение такого инцидента грозит репутационным и материальным ущербом. По последней информации компания, допустившая утечку персональных данных пользователей, должна будет заплатить до 3% от своего оборота. А в случае повторной утечки данных есть вероятность штрафа от 5 млн до 500 млн рублей. В 2023 году планируется усиление внеплановых проверок со стороны Минцифры РФ, что также требует повышения осведомленности сотрудников в части требований Федерального закона № 152-ФЗ «О персональных данных».
Более 80% атак связаны с человеческим фактором. Это не говорит о том, что сотрудники допустившие ошибку - безответственные. Они подвергаются влиянию фальшивых личностей, наживок и других психологических и социологических приёмов социальной инженерии для получения доступа к информации компании. Но это случается, если они не подготовлены к подобному, не участвовали в тренингах и обучающих программах по кибербезопасности. Поэтому требуется организовывать и проводить обучение, ознакамливать сотрудников с угрозами безопасности, порядком действий при обнаружении угрозы и тем самым укреплять уязвимые звенья в безопасности.
Как организовать обучение информационной безопасности? Этот алгоритм поможет повысить информационную безопасность в любой компании:
Определите компетенции сотрудников и сформируйте для них идеальный набор знаний и навыков кибербезопасности, которым они должны обладать. Постарайтесь оцените насколько действительно необходимо, чтобы каждый сотрудник отличал фишинг от социальной инженерии. Может будет достаточным знать общие правила: перепроверять адреса веб сайтов, не вводить пароли почты в сторонних сервисах и не открывать письма о мнимых выигрышах в 1 миллион рублей?
Выявите разрыв в знаниях между идеальной и текущей осведомленностью персонала. Учитывая статистику, желательно проверить знания и навыки каждого сотрудника. Оптимальные инструменты - тесты, опросы, либо провокационные рассылки. Заполните слепые пятна. Чтобы прокачать сотрудников до целевой осведомленности, используйте различные каналы взаимодействия:
Сформируйте индивидуальные программы обучения основам кибербезопасности и создайте электронные курсы. Взамен сухих текстов обучайте с помощью видеороликов, используйте визуализацию процесса, приводите в примеры реальные кейсы кибератак.
Организуйте митапы, вебинары. По нашему опыту, коллеги внимательно относятся к советам приглашённых экспертов.
Напоминайте о важности тех или иных правил через корпоративную рассылку.
Включайте политику и правила защиты данных, правил пользования интернетом в руководство для новых сотрудников.
4. Автоматизируйте обучение с помощью HR платформы. Это позволит сократить время на рутинные организационные процессы. На нашей платформе Edstein вы сможете интегрировать созданные электронные курсы в систему дистанционного обучения (СДО/LMS), либо создавать их сразу внутри, в удобном редакторе. 5. Оцените результаты проделанной работы и ее эффективность. По итогу прохождения сотрудниками обучения в LMS системе Edstein вы сможете выгрузить понятную и наглядную аналитику в формате PDF и Excel. 6. Практикуйте регулярность. Разовое обучение не решит проблему. Нужно настраиваться на long-learning процесс. Обновляйте форматы обучающих материалов и их оценки. Например, можно вводить задания, где сотрудник должен приложить видео, аудио и текстовый ответ с проверкой экспертом. Все эти опции предоставляет Edstein. 7. Закрепите вышеперечисленное внутренним ЛНА. Так вы сможете снизить юридические риски и сделать информационную безопасность вашим конкурентным преимуществом.
Какие темы следует включить в обучение?
Различные формы угроз кибербезопасности: спам, фишинг, вредоносные программы и программы вымогатели, социальную инженерию.
Защита персональных данных: комплекс технических, организационных
и организационно-технических мероприятий, позволяющий выполнить требования Федерального закона № 152-ФЗ «О персональных данных».
Политика паролей и их хранение.
Политика в отношении корпоративной электронной почты, интернета и социальных сетей.
Защита данных от утечки за пределы корпоративной сети организации.
Способы, как выявлять и сообщать об угрозах кибербезопасности.
Как повысить вовлеченность в процесс обучения?
Используйте элементы геймификации. На платформе Edstein вы можете использовать встроенные коллекции достижений, персонажей и создавать свои. Это позволит сделать процесс обучения легче и приятнее.
Дайте сотрудникам возможность почувствовать себя супергероями. Ведь на них лежит большая ответственность: они являются первой линией атаки и одновременно линией обороны. А когда какая-то из угроз будет выявлена до нанесения вреда, уведомите об этом весь коллектив, показывая, насколько их обучение помогло компании.