Сегодня, в эпоху постиндустриального общества, самым ценным продуктом является информация. И попытки ее кражи стали привычной частью окружающего мира. Поэтому каждая уважающая себя компания должна как можно подробнее информировать персонал о потенциальных угрозах безопасности информации, о правилах безопасной работы с конфиденциальной информацией и ее носителями, а также об ответственности за нарушение этих правил.
Как показывает практика, многие предприятия не уделяют внимание повышению осведомленности персонала, считая этот аспект информационной безопасности неважным. С другой стороны, важно понимать, что угроза информационной безопасности – явление непостоянное: очень часто одни виды угроз становятся неактуальными, но появляются другие.
Исходя из отчета Positive Technologies за 2021 г., можно выделить следующие актуальные угрозы:
1) распространение вредоносных программ, в том числе для удаленного управления;
2) компрометация оборудования;
3) DDos-атаки;
4) кража персональных и учетных данных.
При этом отчет неявно указывает на то, что 3 из 4 этих угроз имеют прочную связь с фишингом и информационными войнами.
В целом методы повышения осведомленности персонала можно разделить на два типа:
1) очное обучение;
2) дистанционное обучение.
Очное обучение включает в себя:
1) семинары;
2) рассылку через корпоративные чаты;
3) памятки для сотрудников, вывешиваемые в кабинетах.
Дистанционное обучение включает в себя:
1) электронные курсы с презентациями;
2) тематические видеоролики;
3) онлайн-конференции.
Задача стоит так, чтобы обучить всех сотрудников, участвующих в непосредственной работе предприятия, и при этом обеспечить их максимальную вовлеченность, а также позаботиться о том, чтобы в рамках обучения были практические задания.
Чтобы обеспечить все эти аспекты, возможно применять решение Kaspersky ASAP.
Чтобы оценить итоговую осведомленность персонала после прохождения обучения, достаточно проанализировать отчеты о прохождении тестов по каждому модулю и посчитать среднюю степень усвоения знаний об основных угрозах в %. Результаты обучения тестовой группы указаны на Рис.1.
Рис. 1. Результаты тестирования
Поскольку обучение в рамках решения Kaspersky ASAP не всегда давало возможность проверить на практике освоенные знания, то стоит время от времени проводить тестирования сотрудников на подобные темы уже без привязки к платформе.
Отдельно следует отметить, что программа обучения подстраивалась под актуальные угрозы, определенные Positive Technologies за прошедший год. Через год этот перечень изменится, и тогда станет необходимым проведение обучения по новым угрозам в формате, предлагаемом Kaspersky ASAP.
Список литературы
- Актуальные киберугрозы: итоги 2021 года. – Текст : электронный // URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/
- Компьютерные вирусы: типы, виды, пути заражения. – Текст : электронный // URL: https://teralex.ru/bezrubriki/kompyuternye-virusy-tipy-vidy-puti-zarazheniya.html?
- Антивирусная защита: учебное пособие для защиты информационных ресурсов. – Текст : электронный // URL: https://frolov-lib.ru/books/av/ch03.html?
- Компрометация. – Текст : электронный // URL: https://www.securitylab.ru/news/tags/%D0%BA%D0%BE%D0%BC%D0%BF%D1%80%D0%BE%D0%BC%D0%B5%D1%82%D0%B0%D1%86%D0%B8%D1%8F/?
- Что такое DDoS атака: типы и методы защиты. – Текст : электронный // URL: https://eternalhost.net/blog/hosting/chto-takoe-ddos-ataka?
- Утечки информации. – Текст : электронный // URL: https://www.anti-malware.ru/threats/leaks
- Фишинг (phishing). – Текст : электронный // URL: https://www.anti-malware.ru/threats/phishing
- Повышение осведомленности сотрудников: ваш вклад в безопасность. – Текст : электронный // URL: https://www.anti-malware.ru/practice/methods/Raising-employee-awareness-your-contribution-to-safety