Как научить сотрудников избегать ошибок в Сети?

Дата публикации:  13.12.2017 г.
Автор - Сафонова Евгения
PR - менеджер «СИБРУС»
e-mail: e.safonova@cybrus.ru
Ранее опубликовано: 1istochnik.ru

Ключевые слова: информационные технологии, информационная безопасность, киберугрозы, обучение, персонал.

Мы неустанно повторяем, что даже самые современные технологии не смогут гарантировать 100%-ную защиту от киберугроз. Одно неверное действие рядового сотрудника может пустить насмарку работу целого департамента, отвечающего за информационную безопасность. Незнание современных цифровых угроз, непонимание основ кибербезопасности или банальная невнимательность – самые частые причины из-за которых страдают корпоративные IT-системы.

Чтобы избежать рисков, многие компании уже сегодня начинают задумываться об обучении сотрудников. По данным Kaspersky, более половины предприятий по всему миру начали вкладывать средства в повышение киберграмотности персонала. Но есть некая сложность. Даже частично понимая «Зачем учить?», не все до конца знают «Чему?» и, самое главное, «Как?».

Зачем обучать сотрудников?

Чтобы ответить на этот вопрос и понять возможные последствия, стоит обратить внимание на статистику, которую подготовили представители Kaspersky совместно с B2B International, опросив персонал более 5 000 компаний:

  • почти половина (46%) случаев нарушения информационной безопасности в 2016 году произошли при непосредственном участии персонала: по незнанию либо неосторожности они поставили свою компанию под угрозу; 
  • 53% предприятий, которые понесли потери из-за вредоносного софта уверены в том, что могли бы избежать заражения, если бы персонал был более внимательным;
  • более трети пострадавших из-за кибератак предприятий уверены, что сотрудникам просто «запудрили мозг» - методы социальной инженерии зачастую работаю лучше троянов;
  • по словам экспертов, каждое четвертое нападение на инфраструктуру предприятия происходит с применением методов социальной инженерии и фишинга;
  • в 40% предприятий персонал старался скрыть информацию о произошедших инцидентах, что в некоторых случаях привело к увеличению ущерба;
  • почти каждая вторая компания опасается, что сотрудники разглашают внутреннюю информацию, используя личные гаджеты и массовые сервисы в служебных целях.
     

С последним пунктом и возможными опасениями можно справиться достаточно оперативно. Для этого необходимо ввести единые стандарты бизнес-коммуникаций -  обязать сотрудников компании пользоваться защищенной почтой и специализированными корпоративными мессенджерами, которые позволят администратору системы не только настраивать права для пользователей, но и держать под контролем поток информации. Например, у корпоративной платформы «СИБРУС», помимо вышеописанных опций, есть еще ряд инструментов для обеспечения безопасности данных – это и полная информация о времени, месте и способе захода в систему, и дистанционная блокировка ПО, и даже моментальное удаление информации.

Чему учить персонал?

У каждого сотрудника или отдела в компании своя зона ответственности и функционал, поэтому в процессе обучения стоит правильно расставлять акценты.

Руководителям компании стоит рассказать о потенциальных рисках и возможных последствиях для бизнеса. Что маленький вирус сможет не только «заморозить» всю деятельность предприятия, но и разорить ее.

Сотрудники, отвечающие за безопасность, должны не только быть в курсе существующих угроз и уметь защищать инфраструктуру предприятия при помощи технологий, но и на простом языке объяснять своим коллегам базовые принципы «поведения в сети».

Начальникам отделов важно соблюдать правила информационной безопасности и обучать своих подчиненных.

Рядовые сотрудники должны руководствоваться принципом «Не навреди». У каждого из них должно быть четкое понимание, как действовать в той или иной ситуации и к кому обращаться за советом.

Как проводить обучение?

Сейчас существует достаточно большое количество всевозможных лекций, курсов и мастер-классов по вопросам информационной безопасности.  Без исключения всем сотрудникам компании стоит изучить основы безопасной работы на компьютере. Далее, в зависимости от занимаемой должности назначать дополнительные курсы. Так, например, для руководителей отделов и топ-менеджмента предприятия будут полезны материалы по стратегии и поддержке информационной безопасности, сотрудникам департаментов ИТ и ИБ стоит постоянно «прокачивать» навыки по защите корпоративной инфраструктуры и быть в курсе актуальных киберугроз.

При условии, что почти каждый месяц появляются новые способы атак, обучение правилам ИБ стоит проводить на регулярной основе. Так, во многих компаниях практикуется ежеквартальный тест: сотрудники получают документ, в котором прописаны правила поведения в сети, указана актуальная информация о возможных рисках и способах их избежать. После прочтения каждый работник должен ответить на ряд вопросов и набрать достаточное количество баллов. В случае, если он не справился, схема с обучением и прохождением теста повторяется заново.

Чтобы ИТ-система компании работала как часы, стоит запомнить максимально простую формулу: использовать правильные инструменты для киберзащиты, устанавливать профильное и защищенное ПО, учить сотрудников и никогда не переставать учиться самим.

Категория: