Как превратить рядовых сотрудников в первую линию киберзащиты вашей организации

У человека есть естественное желание избегать угрожающих сценариев. Вся ирония здесь состоит в том, что если вы надеетесь достичь какого-либо подобия кибербезопасности, вы всё равно должны быть готовы противостоять тем угрозам, которых так стремитесь избежать.

Независимо от того, сколько экспертов или надёжных защитных систем стоят на страже вашей организации, вы в безопасности ровно настолько, насколько защищено ваше самое слабое звено. И этим звеном зачастую, как ни прискорбно это осознавать, являются ваши собственные сотрудники.

В этой статье мы поговорим о том, как сделать из слабого звена сильное и прокачать безопасность вашей компании путём кропотливой работы с рядовыми сотрудниками.

Недооценённость человеческого фактора или единственно верный способ укрепить безопасность компании

Для процветания вашей организации вам нужны способные сотрудники. В конце концов, они — ваш источник отличных идей, инноваций и изобретательности. Однако они всё-таки простые люди. А люди подвержены ошибкам. Хакеры понимают, что никто не совершенен, и именно это так отчаянно стремятся использовать.

Вот почему ваши сотрудники должны стать вашей первой линией обороны от киберугроз. Но для этого им нужно научиться защищаться от уловок хакеров. Вот тут-то и пригодится тренинг по повышению осведомлённости о безопасности (Security Awareness Training, SAT).

Что такое тренинг по повышению осведомлённости в области безопасности (SAT)?

Общая цель программы SAT — обеспечить безопасность ваших сотрудников и организации. Хотя материалы для изучения могут слегка отличаться в зависимости от конкретной выбранной программы, большинство из них, в целом, похожи, и требуют от ваших сотрудников просмотра подготовленных по сценарию видеороликов, изучения типовых презентаций и прохождения тестов по цифровой гигиене.

По своей сути программы SAT предназначены для того, чтобы помочь вам:

• Обучить сотрудников распознаванию рисков кибербезопасности, таких как фишинг и программы-вымогатели;
• Свести к минимуму подверженность организации киберугрозам;
• Соблюдать нормативные требования в отношении киберстрахования.

Всё это — достойные цели, достижение которых поможет вашей организации процветать в условиях постоянно меняющихся киберугроз. Тем не менее, у большинства SAT-программ есть одно большое и неприятное «но»: они банально не работают.

Извечные проблемы SAT-программ «старой школы»

Традиционные программы SAT уже давно тщательно изучаются на предмет неспособности привести к значимым изменениям в поведении обучаемых. Согласно исследованиям, в среднем 69% сотрудников признаются, что намеренно обходят руководство по кибербезопасности своего предприятия из-за того, что им банально долго и неудобно соблюдать целый ворох «глупых правил», либо из-за того, что они просто не знают, как нужно себя вести в той или иной ситуации, пропустив это на обучении.

Если именно вы курируете вопросы кибербезопасности в вашей организации, то вам, вероятно, знакомы трудности, связанные с внедрением системы защитных мер, управлением ею и поощрением её использования. Учитывая всю сложность традиционных SAT-решений, подобные программы практически вынуждают технически неподкованных сотрудников становиться полноценными технологами.

Кроме того, во время прохождения подобных программ большинству сотрудников банально скучно. Такой опыт не принесёт желаемого результата, поскольку скучный и неинтересный контент не способствует сохранению знаний.

Большинство SAT-программ неэффективны, потому что они создаются специалистами широкого профиля, а не настоящими экспертами по кибербезопасности. Более того, многие из них разработаны с ограниченными возможностями отчётности, что приводит к ограниченной видимости показателей успеха.

Задавайте правильные вопросы, прежде чем выбирать решение в области SAT

Когда дело доходит до выбора конкретной программы SAT для вашей организации, есть несколько вопросов, которые вы должны сначала задать себе, а затем и выбранному поставщику. Заранее оценив определённые критерии, вы будете лучше подготовлены к выбору варианта, который наилучшим образом соответствует вашим конкретным потребностям.

Вопросы, напрямую касающиеся обучения в рамках SAT

• Имеют ли темы, затронутые в программе, отношение к проблемам безопасности и соответствия требованиям вашей организации?
• Регулярно ли обновляются материалы, отражающие текущие угрозы и сценарии?
• Что делает программа для удержания внимания пользователей?
• Кем создана программа и кем поддерживается? В идеале, ею должны заниматься квалифицированные специалисты в сфере кибербезопасности.
• Доказано ли, что выбранная методология обучения способствует наилучшему усвоению знаний?

Основные характеристики эффективной SAT-программы

Правильно подобранное SAT-решение, которое также будет простым в развёртывании, управлении и использовании, может оказать существенное положительное влияние на безопасность вашей организации.

Помимо индивидуальных рекомендаций, которые позволят определить, подходит ли рассматриваемая программа конкретно вам, существуют также и общепринятые нормы таких программ.

Так, эксперты, продвигающие современные и эффективные SAT-решения рекомендуют обращать на соответствие рассматриваемой программы следующим критериям:

• Актуальные темы (на основе реальных угроз, с которыми может столкнуться ваша компания). Чтобы избежать шаблонного, устаревшего обучения, выбирайте решения SAT, поддерживаемые экспертами на постоянной основе. Специалисты по кибербезопасности должны регулярно создавать и обновлять материалы программы на основе последних тенденций, которые, по их мнению, используют хакеры в реальных атаках. Кроме того, каждая серия курса должна охватывать уникальную тему, отражающую самые последние достижения кибербезопасности в реальном мире.

• Полное управление квалифицированными экспертами (так вам не придётся тратить время на создание, управление и назначение тренингов). В идеале вам нужно решение SAT, которое сможет выполнять все необходимые задачи за вас. Поэтому и стоит искать решение SAT, поддерживаемое настоящими экспертами по кибербезопасности, которые могут создавать, курировать и внедрять обучающие программы и сценарии фишинга от вашего имени.
• Запоминающиеся материалы (с увлекательными уроками, основанными на понятных сюжетах). Стремитесь выбрать решение SAT, в котором рассказывается о конкретных персонажах. Это указывает на то, что SAT тщательно разработан для привлечения учащихся всех уровней внимания.

Если материалы будут намеренно развлекательными и даже причудливыми, вы с большой вероятностью обнаружите, что ваши сотрудники регулярно обсуждают между собой шутки тех или иных персонажей из курса, а также забавные ситуации, в которые они попали.

То, чему научились персонажи, выпутываясь из этих ситуаций, также отложится в голове людей. В результате, эти продолжающиеся коллективные обсуждения только послужат укреплению знаний сотрудников, а заодно и культуры безопасности в вашей организации.

• Постоянные усовершенствования (материалы должны регулярно обновляться в ответ на реальные угрозы). Ищите решение SAT, которое предоставляет не разовое обучение, а регулярные ежемесячные выпуски, которые позволят вашим сотрудникам быть в курсе актуальных событий в мире кибератак.

Систематическое знакомство с моделируемыми сценариями, в том числе повторяющимися из выпуска в выпуск, повысит способность ваших сотрудников бегло выявлять риски и научит эффективно защищаться от них.

• Реальный полевой опыт (чтобы подготовить сотрудников к настоящим атакам). В рамках эффективного SAT-курса должны быть предусмотрены периодические учения и тренинги, симулирующие реальные кибератаки. Будь то массовая фишинговая рассылка или целенаправленная попытка компрометации конкретных сотрудников. Симуляцию кибератак следует проводить через непредсказуемые промежутки времени (утром, вечером, в выходные, в начале месяца, в середине месяца и т.п.), чтобы держать учащихся в напряжении и позволять им применять свои знания в области безопасности на практике.
• Минимальные временные затраты (чтобы вам не пришлось тратить бесчисленные часы на управление курсом). Выбирайте для своих сотрудников такие SAT-решения, которые не кажутся тяжёлой рутиной. Ищите решения, специализирующиеся на увлекательных материалах, которые рассчитаны на выполнение в короткие сроки.
• Простота управления (чтобы назначения курса и отслеживание его прохождения сотрудниками была гибкой и удобной). Для собственных административных нужд выберите такой SAT, который может регулярно синхронизироваться с самыми популярными платформами, такими как Microsoft 365, Google, Okta или Slack.

Он также должен легко синхронизировать ваши справочники сотрудников, чтобы всякий раз, когда вы активируете или деактивируете пользователей, он автоматически обновлял информацию.

Наконец, убедитесь, что система достаточно интеллектуальна, чтобы отличать человеческие личности от нечеловеческих, чтобы с вас взималась плата только за аккаунты, связанные с реальными сотрудниками.

• Измеримые данные (с удобочитаемыми отчётами и показателями успеха). Эффективная программа SAT должна обеспечивать надёжную отчётность. Вы должны чётко понимать, кто проходил очередной курс, а кто решил его пропустить. Кто успешно отразил симулированную атаку, а кто по глупости запустил хакеров в вашу сеть.

Кроме того, подробные отчёты должны содержать все необходимые данные, которые помогут подтвердить соответствие бизнеса необходимым нормативным требованиям для страховых компаний.

• Простота внедрения (это упростит первичное развёртывание и дальнейшее масштабирование в рамках вашей организации). Выберите решение SAT, специально разработанное для организаций с ограниченным временем и ресурсами. Действительно простое в реализации решение может быть развёрнуто за считанные минуты.

Ландшафт угроз постоянно меняется: ваши методы противодействия должны меняться вместе с ним

Киберпреступники думают, что они умны, и атакуют простых людей в таких организациях, как ваша. Вот почему вам нужно убедиться, что ваши сотрудники не так просты, как кажется на первый взгляд. Если они знают о постоянно меняющихся тактиках, используемых хакерами, они могут стать вашей первой линией обороны. Но сначала вам необходимо внедрить обучающее решение, которому вы можете доверять, при поддержке настоящих экспертов по кибербезопасности, понимающих возникающие угрозы реального мира.

Резюмируя все вышесказанное, можно сделать вывод, что инвестиции в обучение сотрудников по вопросам кибербезопасности являются одной из самых важных мер защиты современной организации от постоянно растущих киберугроз.

Грамотно спланированная и реализованная программа повышения киберосведомлённости, которая основывается на актуальных угрозах, увлекательном и легкоусвояемом контенте, а также возможности практического применения полученных знаний, способна превратить рядовых сотрудников вашей компании в надёжный человеческий щит.

Таким образом, правильное обучение персонала обеспечит необходимый уровень кибербезопасности изнутри, дополняя и усиливая прочие технические меры защиты вашей компании.