Наглядная агитация может существенно повысить осведомленность сотрудников о правилах информационной безопасности, при этом больших затрат не требуется
Как известно, общая защищенность системы равна защищенности самого слабого звена. Часто этим самым ненадежным звеном оказываются простые пользователи, которые не соблюдают правила «информационной гигиены»: переходят по непроверенным ссылкам, запускают программы, полученные из Интернета, и выполняют другие действия, не отвечающие их служебным обязанностям. Именно на такой необразованности пользователей в вопросах информационной безопасности и строятся в основном приемы социальной инженерии и основанные на них способы обмана и манипулирования сознанием людей. Компаниям, которые вынуждены активно заниматься защитой своих информационных активов, необходимо позаботиться хотя бы об элементарной профилактической работе среди своих сотрудников.
По мнению Андрея Ершова, руководителя направления повышения осведомленности персонала в области информационной безопасности учебного центра «Информзащита», для повышения осведомленности сотрудников компания может использовать три основных метода: очное обучение, дистанционные курсы, специализированные материалы в офисе и на рабочих местах (плакаты, календари, брошюры, буклеты, баннеры, памятки, скрин-сейверы, видеоролики и др.).
Олег Плотников, руководитель отдела маркетинга компании «Аладдин Р. Д.», также считает возможным использование наглядной агитации в
области ИБ: «Пользователям могут предлагаться, например, рифмованные рекомендации о длине и сложности паролей доступа к информационным ресурсам, анимационные сюжеты о том, что их нельзя хранить на приклеенных к монитору бумажках». Правда, подобный метод, по мнению Ершова, лучше комбинировать с одной из форм обучения. Плотников считает, что самым эффективным средством является доведение требований по информационной безопасности до каждого сотрудника персонально, под роспись. Этот «дедовский» способ в сочетании с финансовым наказанием за допущенные нарушения всегда будет наиболее действенным.
Современные учебные центры предлагают для пользователей специальные курсы по простым правилам защиты, однако немногие компании могут себе позволить направить на учебу всех сотрудников. К тому же лекционная манера проведения подобных курсов может не закрепиться на практике — не всякий сотрудник, даже хорошо сдавший экзамен, сумеет приложить полученные знания к своей повседневной работе. Курсы обучения, как правило, содержат общие сведения, которые еще нужно суметь применить в конкретных корпоративных условиях (а они зависят от принятой в компании политики безопасности), поэтому наглядная агитация, адаптированная к корпоративным условиям конкретной компании, может оказаться не менее эффективной, чем традиционные учебные курсы.
Следует отметить, что метод наглядной агитации не требует больших финансовых расходов. Можно организовать, например, соревнования на знание правил ИБ среди сотрудников или конкурс на лучший плакат по безопасности. Кроме того, сама защита должна действовать так, чтобы подсказывать пользователю, когда его действия могут нарушить корпоративные правила безопасности. Например, некоторые системы URL-фильтрации не просто запрещают доступ к определенным Web-ресурсам, а сообщают пользователю, что он пытается зайти на запрещенный в компании ресурс. Цель наглядной агитации не в нагнетании страха, а в создании такой корпоративной культуры, при которой невыполнение требований политики безопасности было бы просто неприличным.
Эффективность того или иного метода по обеспечению осведомленности сотрудников в вопросах ИБ зависит от условий ведения бизнеса. «Что касается конкретной формы повышения осведомленности, то здесь необходимо учитывать пожелания и особенности корпоративной культуры предприятия, — отмечает Ершов. — Тогда можно найти оптимальное и наиболее эффективное решение для каждой компании».
Хорошие результаты дает комплексный метод, который предполагает обучение ключевых сотрудников и создание наглядной агитации для всех остальных. По мнению Плотникова, если
сотрудники работают с информацией, потеря которой критична для бизнеса, то руководство департамента ИБ и компании в целом не пожалеют ни сил, ни времени на повышение осведомленности персонала. Важно соизмерять затраты на обучение сотрудников с тем ущербом, который они могут нанести компании своими неправильными действиями.
Валерий Коржов — обозреватель еженедельника «Computerworld Россия»; oskar@osp.ru