Повышение осведомлённости персонала в области информационной безопасности: несколько практических советов

Игорь Долотин, генеральный директор | © 2017 UBS

(Статья опубликована в журнале BIS JOURNAL/Информационная безопасность банков, №3, 2017)

Будет преувеличением утверждать, что ответ на вопрос «зачем?» применительно к повышению осведомлённости персонала в области информационной безопасности уже не вызывает затруднений у ИТ/ИБ-руководителей. Но, так или иначе, под воздействием регуляторов, коллег или самой жизни (вспоминая про персонал после очередного инцидента), большинство уже пришло к пониманию необходимости (а многие – и к пониманию полезности) повышения осведомлённости персонала.
Однако, эта статья не преследует цель в очередной раз обосновать нужность повышения осведомлённости - немного полистав различного рода и веса нормативные документы (желательно не только «наши»), каждый внимательный их читатель неизменно обнаружит, что повышение осведомлённости есть обязательный компонент корпоративной системы обеспечения информационной безопасности.
Здесь мы попытаемся начать отвечать на вопрос «как?». У многих данный вопрос вызывает ещё большие затруднения сразу после получения приемлемого ответа на вопрос «зачем?». Иными словами, в этой статье предлагается ряд практически значимых советов относительно того, как сделать повышение осведомлённости эффективным и «живым» процессом обеспечения и поддержания информационной безопасности в организации. Некоторые из этих советов могут показаться не новыми и даже очевидными, но, поверьте, именно о них чаще всего и забывают.

Наличие поддержки высшего руководства

Это не ново: для многих значимых в масштабах организации инициатив поддержка высшего руководства - необходимый фактор успеха. Безусловно, то же справедливо и для реализации программы повышения осведомлённости персонала, причём двояко:

  • Программа повышения осведомлённости должна быть формально санкционирована высшим руководством организации: это придаёт инициативе административный статус, повышает вероятность должного ресурсообеспечения, включая (правда, не всегда) финансирование, а ответственному за реализацию программы даёт весьма часто полезный административный ресурс.
  • С другой стороны, поддержка руководства должна выражаться в участии самого высшего руководства в программе повышения осведомлённости в роли слушателей. Если высшее руководство личным примером демонстрирует поддержку программы – это ли не лучший мотиватор для подчинённых?!

Должное документационное обеспечение

Чтобы руководство санкционировало программу повышения осведомлённости, а иной требовательный государственный орган не имел вопросов, вполне уместно сформулировать и изложить в соответствующих документах организационный, методологический и методический аспекты повышения осведомлённости в организации. Например, речь может идти о следующих документах:

  • политика повышения осведомлённости персонала;
  • программа повышения осведомлённости персонала;
  • методика оценки уровня осведомлённости персонала;
  • методика оценки эффективности программы повышения осведомлённости персонала.
Разработкой подобных документов часто не считают нужным заниматься, либо не видя от них пользы, либо опасаясь хлопотности их согласования и ввода в действие. Тем не менее, такие документы закладывают системную основу корпоративной программы повышения осведомлённости, задают её рамки, основные метрики, зоны ответственности и процессы планирования, реализации и совершенствования. Наличие и реальная работа по таким документам свидетельствует о высоком уровне зрелости культуры обеспечения информационной безопасности в организации. Пока в России об этом задумываются, пожалуй, лишь организации финансового сектора да российские представительства западных компаний.

Правильные материалы для правильной аудитории

Повышение осведомлённости диспетчеров АСУ ТП с помощью компьютерных экранных заставок, может привести к самым неожиданным последствиям, но все они будут негативными. Если учебный курс почти полностью состоит из цитат нормативных актов и организационно-распорядительных документов, пестрит аббревиатурами (в т.ч. англоязычными) и ИТ/ИБ-сленгом, а понятный для не-ИТ/ИБ-специалиста язык в нём «днём с огнём» - конечно, эффект от такого повышения осведомлённости будет минимальным. Но делать иначе часто не хотят, а ещё чаще - не могут.
Поэтому, основываясь на опыте выполненных UBS проектов по повышению осведомлённости, хотелось бы акцентировать внимание на следующем:

  • Информационно-обучающие материалы в рамках программы повышения осведомлённости, очевидно, должны быть адаптированы для целевой аудитории. То есть должны учитывать специфику аудитории (отраслевую и функциональную принадлежность, организационный уровень, текущий уровень осведомлённости и т.д.) и соответствовать целям обучения.
    Например, перечень и «вес» тем ИБ-инструктажа для сотрудников казначейства, вообще говоря, должны отличаться от таковых для менеджеров по продажам, а для высшего руководства базовую версию уместно сократить до ёмкого, но практичного конспекта максимум на 15-20 минут.
  • В начале реализации программы постарайтесь явно показать, какую личную выгоду извлечёт каждый слушатель из повышения осведомлённости – любой делает что-либо с существенно большей мотивацией при наличии личной заинтересованности.
    Например, в курсе по безопасному использованию мобильных устройств вполне нелишне сделать пару слайдов с конкретными рекомендациями по использованию личных мобильных устройств, а в ходе очного тренинга по сетевой безопасности можно обстоятельно ответить на вопросы участников по конфигурированию домашних беспроводных сетей.
  • Не пытайтесь достичь программой повышения осведомлённости сверхцелей. Очевидно, не надо стараться сделать из каждого сотрудника специалиста по информационной безопасности – это всё равно не удастся, да и совершенно не нужно.
    Если вам удастся убедить сотрудников 1) прочитать, 2) понять и 3) выполнять (с ростом номера растёт и сложность задачи!) хотя бы 3-5 базовых правил информационной безопасности, «закрывающих» 80-90% инцидентов в организации – уже это серьёзный результат, который значительно повысит общий уровень обеспечения информационной безопасности.

Поголовность

Возможно, режущая слух, но вполне точная характеристика: если вы хотите добиться реального повышения осведомлённости персонала, программой должен быть охвачен весь персонал, как-либо взаимодействующий с любыми устройствами обработки корпоративных данных. Включая сотрудников удалённых филиалов и высшее руководство.
И особенно высшее руководство! Во-первых, как говорилось выше, участие руководства в каком-нибудь тренинге по безопасному использованию электронной почты бок о бок с «простыми» сотрудниками свидетельствует о важности этого «отвлечения от созидательного труда». Во-вторых, с точки зрения обеспечения информационной безопасности высшее руководство – такие же пользователи, зачастую ничуть не более осведомлённые (и вполне могущие стать, скажем, жертвой целевого фишинга с труднопредсказуемыми последствиями).

Непрерывность (периодичность)

Если ИБ-инструктаж проводится формально и раз в год, а в коридорах висит один и тот же потрёпанный и пожелтевший постер – не стоит ожидать, что персонал будет сам собой помнить о какой-то там информационной безопасности.
Чтобы сотрудники действительно помнили и выполняли правила обеспечения информационной безопасности, совершенно необходимо «заниматься» повышением осведомлённости непрерывно или периодически. Объём повторных мероприятий, степень охвата ими персонала и периодичность их проведения выбираются исходя из потребностей, масштаба и возможностей организации. Кто-то рекомендует 90-дневные циклы, кто-то советует ежемесячно делать рассылку и/или «прогонять» по одному учебному модулю – конкретный рецепт зависит от подробностей. Главное – не рассматривать повышение осведомлённости как разовое мероприятие, имеющее незатихающий и долговременный эффект. Разумеется, если вас интересует результат.

Заключение

За рамками этой краткой статьи остались столь важные на практике вопросы как:

  • обоснование целесообразности повышения осведомлённости персонала перед бизнес-руководством организации (спонсорами);
  • методика определения текущего уровня осведомлённости персонала;
  • возможности реализации мероприятий по повышению осведомлённости своими силами, без привлечения сторонних консультантов;
  • измерение эффективности (в т.ч. экономической) программы повышения осведомлённости.
Автор статьи и специалисты UBS постараются осветить эти и другие вопросы по теме повышения осведомлённости персонала в области информационной безопасности в последующих материалах.



Комментарии к статье принимаются по адресу info@ubs.ru.

Вопросы? Ответим в течение часа.