Одно неверное действие рядового сотрудника может пустить насмарку работу целого департамента, отвечающего за информационную безопасность. Незнание современных цифровых угроз, непонимание основ кибербезопасности или банальная невнимательность – самые частые причины из-за которых страдают корпоративные IT-системы.
Чтобы избежать рисков, многие компании уже сегодня начинают задумываться об обучении сотрудников. По данным Kaspersky, более половины предприятий по всему миру начали вкладывать средства в повышение киберграмотности персонала. Но есть некая сложность. Даже частично понимая «Зачем учить?», не все до конца знают «Чему?» и, самое главное, «Как?».
Зачем обучать сотрудников?
Чтобы ответить на этот вопрос и понять возможные последствия, стоит обратить внимание на статистику, которую подготовили представители Kaspersky совместно с B2B International, опросив персонал более 5 000 компаний:
· Почти половина (46%) случаев нарушения информационной безопасности в 2016 году произошли при непосредственном участии персонала: по незнанию либо неосторожности они поставили свою компанию под угрозу;
· 53% предприятий, которые понесли потери из-за вредоносного софта уверены в том, что могли бы избежать заражения, если бы персонал был более внимательным;
· Более трети пострадавших из-за кибератак предприятий уверены, что сотрудникам просто «запудрили мозг» - методы социальной инженерии зачастую работаю лучше троянов;
· По словам экспертов, каждое четвертое нападение на инфраструктуру предприятия происходит с применением методов социальной инженерии и фишинга;
· В 40% предприятий персонал старался скрыть информацию о произошедших инцидентах, что в некоторых случаях привело к увеличению ущерба;
· Почти каждая вторая компания опасается, что сотрудники разглашают внутреннюю информацию, используя личные гаджеты и массовые сервисы в служебных целях.
С последним пунктом и возможными опасениями можно справиться достаточно оперативно. Для этого необходимо ввести единые стандарты бизнес-коммуникаций - обязать сотрудников компании пользоваться защищенной почтой и специализированными корпоративными мессенджерами, которые позволят администратору системы не только настраивать права для пользователей, но и держать под контролем поток информации. Например, у корпоративной платформы «СИБРУС», помимо вышеописанных опций, есть еще ряд инструментов для обеспечения безопасности данных – это и полная информация о времени, месте и способе захода в систему, и дистанционная блокировка ПО, и даже моментальное удаление информации.
Чему учить персонал?
У каждого сотрудника или отдела в компании своя зона ответственности и функционал, поэтому в процессе обучения стоит правильно расставлять акценты.
Руководителям компании стоит рассказать о потенциальных рисках и возможных последствиях для бизнеса. Что маленький вирус сможет не только «заморозить» всю деятельность предприятия, но и разорить ее.
Сотрудники, отвечающие за безопасность, должны не только быть в курсе существующих угроз и уметь защищать инфраструктуру предприятия при помощи технологий, но и на простом языке объяснять своим коллегам базовые принципы «поведения в сети».
Начальникам отделов важно соблюдать правила информационной безопасности и обучать своих подчиненных.
Рядовые сотрудники должны руководствоваться принципом «Не навреди». У каждого из них должно быть четкое понимание, как действовать в той или иной ситуации и к кому обращаться за советом.
Как проводить обучение?
Сейчас существует достаточно большое количество всевозможных лекций, курсов и мастер-классов по вопросам информационной безопасности. Без исключения всем сотрудникам компании стоит изучить основы безопасной работы на компьютере. Далее, в зависимости от занимаемой должности назначать дополнительные курсы. Так, например, для руководителей отделов и топ-менеджмента предприятия будут полезны материалы по стратегии и поддержке информационной безопасности, сотрудникам департаментов ИТ и ИБ стоит постоянно «прокачивать» навыки по защите корпоративной инфраструктуры и быть в курсе актуальных киберугроз.
При условии, что почти каждый месяц появляются новые способы атак, обучение правилам ИБ стоит проводить на регулярной основе. Так, во многих компаниях практикуется ежеквартальный тест: сотрудники получают документ, в котором прописаны правила поведения в сети, указана актуальная информация о возможных рисках и способах их избежать. После прочтения каждый работник должен ответить на ряд вопросов и набрать достаточное количество баллов. В случае, если он не справился, схема с обучением и прохождением теста повторяется заново.
Чтобы ИТ-система компании работала как часы, стоит запомнить максимально простую формулу: использовать правильные инструменты для киберзащиты, устанавливать профильное и защищенное ПО, учить сотрудников и никогда не переставать учиться самим.
