Организация процесса повышения ИБ-грамотности сотрудников в компании при нулевом бюджете

Повышение осведомленности – один из основных процессов менеджмента информационной безопасности, наравне с управлением уязвимостями, организацией антивирусной защиты и другими. Причина проста: человек уязвимее машины, он подвержен социальной инженерии. Но во многих организациях, даже при наличии функций информационной безопасности, этот процесс не выстроен.

Можно выделить основные причины такого хода событий:

  1. Боязнь выступления перед публикой у руководителей;
  2. Кажущаяся незначительность процесса;
  3. Отсутствие материала или неумение донести мысль.

Немного статистики

Но на самом деле число утечек информации из компании каждый год растет. По данным infowatch.ru, число утечек информации по вине сотрудников компании возросло почти в 10 раз за последние 15 лет. Причем чаще всего причиной становятся действия злоумышленников через социальную инженерию, а не намеренный «слив» информации сотрудником.

Как организовать процесс повышения ИБ-грамотности сотрудников в компании? Разбираем на реальном примере

Представьте: Вы оказались в новой для себя организации после бюджетирования, когда корректировка бюджета на следующий год уже невозможна. Предыдущий менеджер по информационной безопасности уволился полгода назад, не оставив никакой информации по процессу, кроме нормативного документа. В такой ситуации оказался автор статьи год назад. Какие за год были предприняты шаги – ниже.

Обучение

Основная трудность, возникшая при организации обучения – отсутствие курсов по информационной безопасности в системе дистанционного обучения организации. Таким образом, обучение было возможно только путем встреч с персоналом или использованием корпоративных коммуникаций: почты, корпоративных мессенджеров (Skype for Business, MS Teams и иных). Встречи с персоналом не удалось организовать по причине массового перехода в режим home-office, собрания в SfB не нашли отклика среди сотрудников – мало кто слушал, отвлекаясь на дела, связанные непосредственно с работой.

В связи с этим, было принято решение остановиться на таком способе донесения информации о правилах информационной безопасности, как корпоративная почта.

Следующая трудность – выбор формата донесения информации. Каким он будет? С какой периодичностью общаться с сотрудниками? Надо понимать, что без системного подхода уменьшить число утечек не получится. Необходимо постоянно информировать сотрудников и преподносить им знания об ИБ регулярно.
«Первый блин» представлял собой статью, описавшей фишинг. Информация была полезной, но формат информационного материала не нашел отклика. После анализирования информации был выбран формат дайджеста: «История из практики безопасника» — объяснение «почему нельзя» — ссылка на соответствующий нормативный документ компании — новости об информационной безопасности в организации, в России, в Мире. Периодичность отправки материалов – 1 раз в месяц.

Проверка

Процесс должен быть измерим. Для понимания эффективности процесса повышения осведомленности лучшая оценка – подверженность пользователей атакам. Для оценки этого показателя была выбрана фишинговая платформа одного из провайдеров услуг в области информационной безопасности. На момент проведения провокационного тестирования доступ к платформе предоставлялся бесплатно. На платформе было представлено несколько типовых сценариев, из которых выбран самый актуальный – письмо «главы Роспотребнадзора», в котором содержалась информация о пунктах, в которых можно сдать анализы на COVID-19. В письме была вложена ссылка, пройдя по которой сотрудник мог оставить персональные данные. Платформа регистрировала сотрудников, прошедших по ссылке, а также оставивших данные. Первая проверка была пробной: понять, как работает платформа и как реагируют сотрудники на подобного рода активности.

Вторая проверка охватила всех сотрудников компании, имевших учетные записи. Сценарий типовой: требование службы техподдержки сменить пароль.

Обработка результатов

До проведения провокационного тестирования главное – обучить пользователей. После проверки – дать обратную связь «попавшимся» пользователям. В противном случае можно сказать что потраченные усилия и нервы были зря. С этой целью были сформированы письма с громким заголовком вроде «Вы стали жертвой мошенников», в теле которого шли уже подробные разъяснения как можно распознать фишинговое письмо.

Показатели процесса

Как говорилось ранее, результаты и прогресс должны измеряться. Какие показатели характеризуют процесс повышения осведомленности? Определим следующие параметры:

  • % сотрудников, прошедших обучение в системах электронного дистанционного обучения;
  • % сотрудников, перешедших по фишинговой ссылке;
  • % сотрудников, оставивших персональные данные или иную информацию при переходе по фишинговым ссылкам;
  • % сотрудников, открывших вредоносное вложение;
  • % сотрудников, обратившихся в отдел ИБ или ИТ с сообщением о подозрительном письме;
  • % сотрудников конкретного отдела, попавшиеся на фишинг.

Кроме того, в ходе провокационных тестирований можно понять, какие каналы коммуникации известны сотрудникам: обращаются ли они в службу технической поддержки напрямую или через систему Service Desk (например, такую):

Или, может, они обращаются ли они в службу ИБ напрямую, отправляют письма на групповые почтовые ящики (например, «Для вопросов по информационной безопасности»).

Результаты

За год, не потратив ни рубля на организацию процесса, удалось снизить долю сотрудников, подверженных социальной инженерии, практически на 50%.

Доля сотрудников, реагирующих на подобного рода рассылки, увеличилась примерно на 30%.

Полезный опыт за год вместо выводов

  1. Если не учить сотрудника, он так ничего и не узнает. Не стоит забывать, что люди, работающие в компании — главный источник всех утечек, так что стоит давать им новые знания и учить грамотности ИБ.
  2. Создавайте материал в виде информационных рассылок, статей, дайджестов. Если сомневаетесь в написанном материале – дайте почитать друзьям, коллегам. Лучше не из ИТ, чтобы понять, насколько понятна информация для пользователя, не обладающего глубокими знаниями.
  3. Обращайте внимание на платформы, доступ к которым можно получить бесплатно. Это поможет урезать бюджет, выделяемый на обучение или направить его в другое русло. В целом же возможно без трат обучать сотрудников ИБ, что и было показано на конкретном примере.
  4. Используйте инструменты, которыми уже внедрены в организации. Например, средствами Outlook можно организовать автоматизированную рассылку с памяткой по ИБ для вновь принятых сотрудников.
  5. Выступайте, проводите очные встречи и тренинги. Если никогда раньше не выступали перед людьми, учитесь публичным выступлениям. Даже с нуля реально научиться не волноваться, говорить красиво и грамотно. Без выступлений и очных мероприятий менеджер ИБ незаметен для бизнеса.