Почему обучать кибергигиене необходимо?

Эксперты «Лаборатории Касперского» отмечают: 60% сотрудников хранят конфиденциальные данные на корпоративных устройствах. Это может быть финансовая информация, важные переписки в почте, контакты клиентов и партнёров, а также многое другое.

При этом:

• 30% опрошенных сотрудников признают, что сообщают коллегам учетные данные своего компьютера — например, если куда-то уезжают, находятся не в офисе и нужно срочно что-то переслать или кому-то ответить;
• 23% опрошенных компаний не имеют правил или политик безопасности хранения корпоративных данных — такой подход также имеет свои последствия в плане кибербезопасности.

Кого важно обучать?

Ошибочно считать, что пробелами в киберграмотности наделены только рядовые сотрудники: как показывает практика, руководители также нередко попадаются на уловки мошенников и переходят по кликбейтным ссылкам и становятся причиной утечек информации. Так, команда «1Софт» решила провести совместный тест с одним из партнёров, чтобы узнать, легко ли сотрудники компании могут поддаваться на фишинговые письма.

Эксперимент проводился в предпраздничное время, поэтому проверять сотрудников на прочность было решено заманчивой акцией от одного из магазинов с баснословными скидками на дорогой алкоголь. Идея была согласована с руководителем компании, а после — письма с заманчивым предложением и коварной ссылкой были разосланы по сотрудникам. Первым, кто открыл кликбейтное письмо и перешел по опасной ссылке, стал тот самый руководитель, с которым эксперимент и согласовывался. Этот опыт показывает: забыться и попасться на уловки тех же мошенников может каждый, поэтому так важно повышать осведомленность сотрудников и регулярно проводить обучения.

Почему классические варианты не работают?

Обычно компании прибегают к самому очевидному способу — классическому обучению. Это могут быть как методички, так и рассылки, вебинары, а также многое другое. Однако нередко организации сталкиваются сразу с несколькими проблемами, которые сводят все усилия на «нет»:

• обучение воспринимается сотрудниками как скучная и обязательная рутина, как итог — вебинары и материалы не усваиваются;
• чаще всего делается упор на запреты (не открывать ссылки, не давать данные, не скачивать непонятные файлы из вложений), но не даются ни примеры ситуаций, ни варианты того, как лучше всего себя вести в той или иной ситуации;
• занятия сводятся к простому прослушиванию информации и скучным тестам, напоминающим о школьных днях — как показывает практика, такой подход имеет низкую эффективность;
• чаще всего обучение стандартизировано для всех сотрудников, тогда как важно расставлять приоритеты и подбирать темы исходя из должностей, обязанностей, а иногда даже возраста сотрудников;
• результат обучения либо не отслеживается, либо отслеживается слабо — без дальнейших корректировок обучения, обычно это свойственно средним или крупным компаниям с большим штатом.

Как проводить эффективные обучения?

1. Выбирать не один канал обучения, а сразу несколько;

У разных компаний может быть свой подход к повышению осведомленности и обучению сотрудников. Так, кто-то предпочитает рассылать еженедельные дайджесты с описанием актуальных ухищрений со стороны мошенников, кто-то — периодически делать рассылку с вебинарами, а кто-то выбирает очные встречи с экспертами. Лучше всего не останавливаться на чём-то одном, а сочетать разные варианты обучения. Такой подход делает процесс разнообразнее и эффективнее.

Например, можно раз в месяц делать рассылку с дайджестом, а также периодически дополнять ее онлайн и оффлайн мероприятиями, тестами, играми и так далее. Главное — подобрать такое количество обучающих элементов, чтобы не переборщить.

2. Делать обучение интересным;

Элементы геймификации, разбор реальных кейсов кибератак, а также простой язык повествования с долей юмора — все это поможет лучше вовлечь сотрудников в обучение. При этом оно не будет ассоциироваться со скучной рутиной, а значит, материал лучше запомнится.

Например, можно разработать собственную систему для поощрения: с достижениями, а также наградами — сувенирной продукцией или баллами, которые можно потратить на интересные сотруднику курсы или активности.

3. Моделировать ситуации;

Лучше всего запоминаются моменты, которые человек проживает — и тут отлично помогут разнообразные командные активности, игры и интерактивы. Они позволяют выработать и отработать определенную модель поведения.

Например, можно провести бизнес-игру, в которой участникам будет предстоять справиться с теми или иными киберугрозами, «раскусить» мошенников или командами попробовать набрать больше баллов за правильные ответы.

4. Подбирать подходящие инструменты;

Не всегда есть возможность создавать и поддерживать собственную платформу для обучения. В таком случае можно обратиться к инструментам, созданным экспертами.

Например, Лаборатория Касперского предлагает использовать платформу ASAP. На ней предусмотрены разнообразные курсы с разбивкой по уровням сложности, короткие увлекательные тренинги в формате аудио/видео и даже фишинговый симулятор. Платформа быстро запускается, легко настраивается под пользователей — можно подбирать темы и вопросы под конкретных сотрудников, а значит, прорабатывать действительно актуальные и важные моменты.

5. Выделить ответственного;

Важно, чтобы вопросами обучения кибергигиеной занимался отдельный специалист, который сможет уделять вопросу достаточно времени. У такого подхода есть неоспоримые: сотруднику не нужно будет совмещать эти обязанности с другой работой, а значит, можно будет всецело погрузиться в процесс обучения и подбора инструментов.

Например, специалист может собирать обратную связь, заниматься оценкой результатов тестов и проработкой слабых мест. Он может также быть ответственным за организацию мероприятий и тренингов, а также другие обучающие активности.

Какие темы следует включить в обучение?

Важное правило любого обучения — не перегружать сотрудников ненужной для них информацией. Например, сложными и непонятными терминами или угрозами, с которыми они не могут столкнуться в силу своей должности или допуска. Например, если сотрудник не работает с персональными данными, возможно, не стоит перегружать его 152-ФЗ и нюансами взаимодействия с ними. Поэтому темы для курсов лучше всего подбирать исходя из должности и погруженности участников.

Но можно выделить некоторые общие направления, которые могут быть полезны для всех:

• Инструменты, которыми активно пользуются мошенники: спам, фишинг, социальная инженерия и так далее.
• Политика создания и хранения паролей.
• Работа через корпоративную электронную почту: какие нюансы и риски существуют.
• Утечки данных: как происходят, как защитить.
• Как выявлять об угрозах кибербезопасности, кому сообщать и что делать в таком случае.

Эти темы могут составить «костяк» обучения, который будет дополняться и подстраиваться под конкретных сотрудников. Главное — подобрать разнообразные и интересные форматы для освещения, которые будут помогать быстро и легко усвоить материал, а также использовать его в работе.