2. Зачем?
• Исследования, проводимые ежегодно отечественными и зарубежными компаниями показывают, что 60-
80% всех инцидентов, связанных с нарушениями политик ИБ, происходит по вине персонала.
80%
20%
Размер ущерба от различных угроз
Ошибки персонала
Сбои оборудования и
электроснабжения
Нечестные сотрудники
(мошенники)
Обиженные сотрудники
Вирусы
Внешние нападения
В конце 2015 года Ernst&Young выпустила пресс-релиз, в котором говориться:
«Неосведомленность сотрудников в вопросах соблюдения правил
информационной безопасности занимает первое место в списке основных
уязвимостей в России».
3. Причины совершения неумышленных
нарушений ИБ
Весь комплекс причин совершения неумышленных потенциально опасных
действий пользователя можно свести к следующим 3 простым причинам
причинами:
Сотруднику не донесли
информацию о том, чего делать
нельзя
Не объяснили как именно
поступать нужно в спорных
ситуациях
Не убедили, что это важно!
4. Из чего состоит программа повышения
осведомленности
1) Обучение работников организации
2) Поддержание атмосферы
информационной безопасности
3) Оценка эффективности и
актуализация
6. Поддержание атмосферы ИБ
Повышение осведомлённости в области ИБ – это не профильное обучение.
Чем проще и доступнее будут изложены материалы – тем легче они будут
запоминаться сотрудниками компании.
Наиболее часто используют следующее:
плакаты
экранные заставки (скринсейверы)
баннеры
flash-ролики
видеоролики
памятки, буклеты
сувенирная продукция
12. Case study
Разбор типовых для компании инцидентов ИБ
Используется реальная статистика инцидентов ИБ конкретной компании
Разрабатывается легенда, которая задает ландшафт курса
Каждый кейс содержит интерактивные задания
Могут быть интегрированы ролики по тематике кейса
19. Игровое обучение - геймификация
Апеллирует к эмоциональной составляющей обучения
Легенда игры может не быть привязана к реальности
Азарт – один из элементов, усиливающих эффект
Новый повод для внутрикорпоративных коммуникаций – можно проводить
турниры, награждать лучших игроков.
20. Игровое обучение - геймификация
«Скажи мне — и я забуду, покажи мне — и я запомню, дай мне
сделать — и я пойму» (с) Конфуций
33. Тесты и провокационные рассылки
Позволяют оценить текущую ситуацию и выявить пробелы в знаниях
На основании документированных результатов можно построить оценку
потенциального ущерба
Проще обосновывать затраты на повышение осведомленности
36. Провокационные рассылки
Рассылка санкционированных Заказчиком провокационных сообщений по
корпоративной электронной почте и по SMS/MMS, мотивирующих пользователей
на нарушение действующих у Заказчика правил и политик информационной
безопасности.
В рамках выполнения рассылок
осуществляется проверка знаний
пользователями:
• политики использования паролей;
• правил соблюдения лицензионной
чистоты;
• правил противодействия вирусным
атакам;
• правил пользования электронной
почты и интернетом;
• правил безопасного использования
служебных мобильных устройств.