Сейчас в базе: продуктов/услуг - 305; организаций - 135; Добавлено за последнюю неделю - 10. Не нашли то, что искали ? Напишите нам
10 основных ошибок при создании программы повышения осведомленности персонала в вопросах ИБ

10 основных ошибок при создании программы повышения осведомленности персонала в вопросах ИБ

Автор: Brad Bemis

Перевод выполнен бюро технических переводов "Альянс ПРО" (). БТП "Альянс ПРО" специализируется на технических переводах в области информационной безопасности. По вопросам сотрудничества обращаться на , к Евгению Бартову

---

Недавно мне на глаза попалась статья, в которой говорилось, будто повышение осведомленности сотрудников в вопросах ИБ — пустая трата времени. Автор утверждал, что человеческий фактор не играет существенной роли, и для надежной защиты информации все усилия следует сосредоточить на совершенствовании технических средств. Очевидно, что я категорически не согласен с этим.

Хотя программы обучения и повышения осведомленности в вопросах ИБ в том виде, в каком они существуют на сегодняшний день, зачастую действительно малоэффективны, это нисколько не отменяет их важности. Если как следует покопаться в причинах низкой эффективности таких программ, можно прийти к выводу, что чаще всего проблема кроется в их базовой идеологии и способах их реализации.

10 основных ошибок при обучении сотрудников и повышении их осведомленности в вопросах ИБ:

1. Определение уровней рисков без участия руководства.

Я постоянно встречаюсь с таким подходом к защите информации, где просто выделяются некие условные уровни риска, которые в свою очередь определены руководителями среднего звена исходя из некоей идеальной модели «передового опыта» или, что еще хуже, в результате слепого следования стандартам безопасности. Однако информационная безопасность относится к вопросам управления рисками, и она невозможна без участия высшего руководства. Очень важно, чтобы высшее руководство принимало участие в определении приемлемых для компании уровней риска.

2. Отсутствие личного примера, поддержки и поощрения со стороны руководства.

Тут можно много чего говорить, но суть обсуждений сведется к тому, что высшее руководство должно «задавать тон» и подавать личный пример сотрудникам. В первую очередь, это вопрос корпоративной культуры — основных ценностей и установок организации, о чем мы поговорим подробнее ниже. Необходимо изменить поведение сотрудников так, чтобы оно отвечало целям информационной безопасности организации. А как можно ожидать от сотрудника серьезного отношения к ИБ, если он не видит такого же отношения у руководства?

3. Расхождение целей у бизнеса и ИБ.

Я бы также добавил сюда расхождение целей подразделений, отвечающих за информационную безопасность, соответствие законодательным требованиям, управление корпоративными рисками. Часть вопросов снимается если устранить обозначенные выше проблемы, и тем не менее цели и задачи информационной безопасности должны формироваться при участии руководства как среднего, так и высшего звена. Эти цели должны быть согласованы с желаниями и потребностями коммерческой деятельности компании, а также с процессом управления рисками. Программа информационной безопасности, существующая «сама по себе» и не учитывающая эти реалии, обречена на провал.

4. Оторванность от стратегических задач информационной безопасности компании.

Для организаций всех типов и масштабов информационная безопасность — стратегически важная часть процесса управления рисками. Однако у многих компаний отсутствует комплексная и последовательная стратегия обеспечения безопасности. Программы обучения и повышения компетентности срабатывают только тогда, когда они являются частью общей многоуровневой модели ИБ.

5. Невнятно сформулированная политика информационной безопасности или иных документов.

На мой взгляд, это самая насущная проблема для большинства организаций. В своих статьях я не раз, то в шутку, то всерьез выдвигал идею создать некое пособие «для чайников» по разработке политики информационной безопасности. Чаще всего беда в том, что политика безопасности пишется как юридический документ и носит чисто формальный характер, вместо того чтобы снабжать сотрудников полезной информацией и подсказывать им правильные действия. А ведь если сделать политики, стандарты, руководства и инструкции проще и понятнее для сотрудников, то будет гораздо больше шансов, что их будут читать, понимать и применять по назначению.

6. Отсутствие оперативного доступа к инструкциям, рекомендациям и вспомогательным материалам.

Я абсолютно убежден, что, когда дело касается информационной безопасности, большинство людей рады бы делать все как нужно. Вот только часто они просто не знают, в чем в конкретной ситуации заключается это самое «как нужно». Допустим, ваша политика ИБ ясно написана и содержит полезные сведения, но и этого еще недостаточно — нужно обеспечить ее централизованное хранение, а также предусмотреть к ней постоянный, оперативный и удобный доступ. Кроме основных политик и других документов, важно также разработать краткие пособия, ориентированные на конкретные задачи, составить памятки в форме вопросов и ответов и не забыть добавить контактную информацию. Люди должны знать, куда идти и к кому обращаться, когда им нужна помощь или ответ на вопрос.

7. Корпоративная идеология, не придающая значения ценности информации.

Я уже затрагивал эту тему чуть выше, однако она настолько важна, что я считаю нужным вернуться к ней и рассмотреть немного с другой стороны. Эффективная программа обучения и повышения осведомленности в вопросах ИБ должна изменить саму суть отношения к защите информации со стороны сотрудников, деловых партнеров, клиентов и т.д. Кто-то может подумать, что я перегибаю палку, однако в реальности все хорошие программы ИБ неразрывно связаны с корпоративной культурой организации. Информация — это ценный ресурс, и всякий, имеющий дело с информацией, обязан это понимать, знать, в чем состоит ее ценность и почему информацию необходимо защищать. Чтобы изменить поведение человека, заставив его поступать в соответствии с целями информационной безопасности, нужно ни много ни мало - изменить его мышление. Здесь и поможет корпоративная культура.

8. Упор на технические средства без учета человеческого фактора.

Отчасти эта ошибка связана с другой, уже описанной выше — отсутствием общей стратегии ИБ. Кроме того, она является проявлением еще одной общей проблемы сообщества ИБ, которая тоже требует решения. В статье, которую я упомянул вначале, я выразил несогласие с позицией, где вся защита информации строится в основном на технологиях ИБ. Это очень опасный подход, и он может сильно навредить организации, которая его принимает. Стоит отметить, что, к сожалению, многие компании именно его принимают за образец. Очевидно, что технологии защиты информации не поспевают за злоумышленниками. В то же время, технологии — весьма дорогое удовольствие, поэтому невозможно обеспечить абсолютную безопасность всех ваших систем, Вам просто не хватит ни денег, ни людей!

9. Невозможность оценить эффективность мер ИБ.

Оценить эффективность того или иного средства защиты информации бывает сложно, особенно если речь идет об эффективности программ обучения и повышения осведомленности. А если у вас нет действующего механизма для оценки результатов, это еще сложнее. Опять-таки, многие организации упускают этот аспект из виду, хотя он жизненно важен для организации должного уровня защиты информации. Думаю, что если бы я потребовал у автора статьи, которая меня так задела, привести данные в доказательство своей позиции — он бы попросту их не нашел: как подсказывает мне мой опыт, данные такого рода не собираются и не анализируются.

10. Неспособность вызвать интерес к защите информации.

Основная масса материалов по теме информационной безопасности, которые мне доводилось видеть, оставляют желать лучшего. Пара корпоративных рассылок, в лучшем случае презентация, а иногда какой-нибудь скверный видеофильм или простенькая онлайн-программа… Ничто из этого не работает, потому что не вызывает интереса и не требует активного участия. Повлиять на мышление и поведение людей можно только тогда, когда материал вызывает у них заинтересованность и разъясняет не только то, что от них требуется, но и ПОЧЕМУ требуется именно это. Ответ на вопрос «почему?» гораздо важнее, чем на «что?» и «как?» — без объяснения причин не будет ни интереса, ни активного участия, ни понимания. Зная причины, люди будут более вдумчиво применять средства и методы ИБ в зависимости от конкретных обстоятельств, вместо того, чтобы просто игнорировать требования, не применимые к данным условиям… но это тема для отдельной статьи.

Существует множество других факторов, которые влияют на эффективность программ обучения и повышения компетентности в сфере ИБ — например, разделение пользователей на группы, создание целевых материалов, применение эффективных методик обучения и многое другое. Но все они являются второстепенными, а в первую очередь необходимо иметь надежную базовую идеологию информационной безопасности. Если у вас есть «абы какая программа ИБ», и Вас вдруг посещает светлая идея - «а не повысить ли нам осведомленность сотрудников ежемесячной почтовой рассылкой!?», то не удивляйтесь, если у вас ничего не получится. Вашим сотрудникам будет совершенно наплевать на информационную безопасность, что неудивительно, если нет нужных ресурсов и не к кому обратиться за помощью.

Деятельность, которая сводится к плакатам, шаблонным письмам и красивым коврикам для мыши, вряд ли к чему-либо приведет. Хоть все эти методы годятся для напоминания, без активного участия пользователей в задачах информационной безопасности они бесполезны. Активное участие и продуманная идеология — вот ключ к успеху.

Те, кто называет обучение и повышение осведомленности сотрудников в вопросах информационной безопасности пустой тратой времени, не правы. На самом деле это самое мощное и эффективное средство информационной защиты, доступное вам — но только если оно правильно реализовано! Это очевидный факт.

До новых встреч…

 
 

Добавить комментарий


Защитный код
Обновить

|
Email-подписка на обновления раздела Публикации: