Цифровая гигиена: правила игры. О базовых принципах работы с конфиденциальной информацией

Цифровая гигиена: правила игры. О базовых принципах работы с конфиденциальной информацией

Infosecurity оказывает услуги в сфере информационной безопасности, системной интеграции и консалтинга. Нам важно показать, что мы можем защитить не только данные, которые нам доверяют клиенты, но и собственные информационные активы. Даже незначительный инцидент ИБ в компании, занимающейся кибербезопасностью, может ударить по ее репутации.

Итак, на формирование цифровой гигиены в компании влияют:

• повышение осведомлённости сотрудников по вопросам ИБ;
• разграничение доступа к информации;
• применение технических средств контроля и мониторинга информации.

Остановимся подробнее на первом из этих трёх китов – повышении осведомлённости.

ЗАЧЕМ ЭТО НУЖНО?

В любой уважающей себя компании существуют внутренние регламенты, политики и методики, посвящённые правилам обработки информации ограниченного допуска. Увы, само по себе наличие этих документов не даёт ровным счетом ничего. Реальную защиту обеспечивают сотрудники, которые точно следуют прописанным в документах требованиям. Но где найти таких идеальных сотрудников?

Хитрость в том, что их нужно не искать, а, скажем так, выращивать. Комплекс обучающих мероприятий и материалов позволяет сформировать в компании культуру работы с информацией. Если всё подобрано верно, сотрудники начинают соблюдать правила ИБ на рефлекторном уровне.

И КАК ВСЁ ПОДОБРАТЬ?

Прежде всего разделите ваших сотрудников на группы и определите темы, актуальные для каждой группы. Топ-менеджерам вряд ли будет интересно изучать актуальные уязвимости ПО, а вот разработчикам – очень даже.

Когда темы определены, подумайте о форматах обучающих материалов: их тоже нужно персонализировать. Например, у сотрудников front-офиса не так много свободного времени, а иногда нет и компьютера. Им подойдут яркие плакаты и короткие видеоролики, которые можно размещать и демонстрировать в торговых залах. А сотрудники back-офиса могут уделить обучению больше внимания, поэтому им лучше адресовать электронные курсы и обучающие почтовые рассылки.

Ещё одна практика – перед тем как проводить обучение по ИБ, проверьте, что ваши сотрудники уже знают. Проведите тестирование и разошлите учебные фишинговые письма. Так вы поймёте, каким темам нужно уделить больше внимания. И не стоит забывать о контроле эффективности в процессе обучения.

О ФОРМАТАХ

Очное обучение. В некотором роде оно незаменимо: всем известно, что информация воспринимается лучше, когда сопровождается живым общением. Тренинг можно проводить в классической форме или по кейс-методу. Во втором случае инструктор делит учащихся на группы, описывает актуальную для компании проблему и предлагает каждой группе дать и обосновать свой вариант её решения. Можно объединить два вида тренингов: проводить вводный для сотрудников в их первый рабочий день, а кейс-тренинг – ежемесячно или раз в квартал.

Дистанционное обучение составляет достойную конкуренцию очному. Электронные курсы, видеоролики, почтовые рассылки и онлайн-игры хороши тем, что сотрудники могут просматривать их на разных видах устройств в удобное для себя время. А ещё они дают возможность похвастаться перед конкурентами словами «геймификация» и «микрообучение».

Геймификация особенно активно используется в электронных курсах. Она предполагает добавление игровых элементов: награды и достижения, постепенное усложнение заданий, увлекательный сюжет, персонажи. Геймификация – это вообще интересная история, потому что она может быть полностью электронной, а может «перетекать» в реальную жизнь. Например, за успешное прохождение курсов по ИБ сотрудника можно наградить одним дополнительным днём отпуска. Такие вещи, конечно, согласовываются с HR. Кто из нас не мечтал на работе о компьютерных играх?

Микрообучение предполагает подачу материала небольшими блоками и закрепление каждого блока практическими заданиями. Например, посмотрел 5 слайдов курса – ответь на тестовый вопрос или выполни маленькое упражнение. Если речь идёт о видеороликах, то они должны быть длиной не более полутора минут. Лучше сделать серию коротких роликов (кстати, их можно объединить одним забавным сюжетом), чем заставлять сотрудника смотреть тягомотную семиминутную проповедь. Но и дробить обучение до бесконечности не стоит: так можно потерять логику повествования.

Кроме очного и дистанционного обучения, очень полезны дополнительные обучающие материалы. Памятки, плакаты, стикеры и скринсейверы отлично справляются с задачей сделать обучение разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов: материалы от этого только выиграют.

ВСЁ ДЕЛО В РАЗНООБРАЗИИ!

Заставить человека учить то, что ему неинтересно, и соблюдать то, что ему непонятно, – невозможно. Создавая для сотрудников комплексные программы обучения, излагая материал простым и доступным языком и облекая его в игровую форму, вы, по сути, делаете вклад в безопасность – вашу, вашей компании и ваших клиентов. И если всё сделано «по науке», ваши вложения непременно окупятся.