Учебный центр "Информзащита". Вячеслав Свириденко. "Эволюция требований к программам повышения...

Свириденко ВячеславЗаместитель директора УЦ «Информзащита»

E-MAIL v.sviridenko@itsecurity.ru

PHONE 8 919 991 16 13

Эволюция требований к программам повышения

осведомленности

Зачем?• Исследования, проводимые ежегодно отечественными и зарубежными компаниями показывают, что

60-80% всех инцидентов, связанных с нарушениями политик ИБ, происходит по вине персонала.

80%

20%

Размер ущерба от различных угроз

Ошибки персоналаСбои оборудования и

электроснабженияНечестные сотрудники

(мошенники)Обиженные сотрудникиВирусыВнешние нападения

В конце 2015 года Ernst&Young выпустила пресс-релиз, в котором говориться: «Неосведомленность сотрудников в вопросах соблюдения правил информационной безопасности занимает первое место в списке основных уязвимостей в России».

Причины совершения неумышленных нарушений ИБ

Весь комплекс причин совершения неумышленных потенциально опасных действий пользователя можно свести к следующим 3 простым причинам причинами:

Сотруднику не донесли информацию о том, чего делать нельзя

Не объяснили как именно поступать нужно в спорных ситуациях

Не убедили, что это важно!

Из чего состоит программа повышения осведомленности

1) Обучение работников организации

2) Поддержание атмосферы информационной безопасности

3) Оценка эффективности и актуализация

Обучение

Поддержание атмосферы ИБПовышение осведомлённости в области ИБ – это не профильное обучение.Чем проще и доступнее будут изложены материалы – тем легче они будут запоминаться сотрудниками компании. Наиболее часто используют следующее:

плакаты

экранные заставки (скринсейверы)

баннеры

flash-ролики

видеоролики

памятки, буклеты

сувенирная продукция

Поддержание атмосферы ИБ - плакаты

Поддержание атмосферы ИБ - скринсейверы

Поддержание атмосферы ИБ – памятка

Поддержание атмосферы ИБ – тематические рассылки

Что нового?

Case studyРазбор типовых для компании инцидентов ИБ

Используется реальная статистика инцидентов ИБ конкретной компании

Разрабатывается легенда, которая задает ландшафт курса

Каждый кейс содержит интерактивные задания

Могут быть интегрированы ролики по тематике кейса

Case studyРазбор типовых для компании инцидентов ИБ

Case studyРазбор типовых для компании инцидентов ИБ

Case studyРазбор типовых для компании инцидентов ИБ

Case studyРазбор типовых для компании инцидентов ИБ

Case studyРазбор типовых для компании инцидентов ИБ

Case studyРазбор типовых для компании инцидентов ИБ

Игровое обучение - геймификация

Апеллирует к эмоциональной составляющей обучения

Легенда игры может не быть привязана к реальности

Азарт – один из элементов, усиливающих эффект

Новый повод для внутрикорпоративных коммуникаций – можно проводить турниры, награждать лучших игроков.

Игровое обучение - геймификация«Скажи мне — и я забуду, покажи мне — и я запомню, дай мне

сделать — и я пойму» (с) Конфуций

Игровое обучение

http://itsecurity.ru/awareness/flash-and-video/Game_PDn_123weGnv/story.html

Игровое обучение

Игровое обучение

Игровое обучение

Игровое обучение

Игровое обучение

Игровое обучение

Игровое обучение

Игровое обучение

Игровое обучение

Игровое обучение

Игровое обучение

Тесты и провокационные рассылки

Позволяют оценить текущую ситуацию и выявить пробелы в знаниях

На основании документированных результатов можно построить оценку потенциального ущерба

Проще обосновывать затраты на повышение осведомленности

Тесты и провокационные рассылки

Тесты и провокационные рассылки

Провокационные рассылкиРассылка санкционированных Заказчиком провокационных сообщений по корпоративной электронной почте и по SMS/MMS, мотивирующих пользователей на нарушение действующих у Заказчика правил и политик информационной безопасности.

В рамках выполнения рассылок осуществляется проверка знаний пользователями:

• политики использования паролей;• правил соблюдения лицензионной

чистоты;• правил противодействия вирусным

атакам;• правил пользования электронной

почты и интернетом;• правил безопасного использования

служебных мобильных устройств.

E-MAILPHONE

v.sviridenko@itsecurity.ru

8 919 991 16 13

Заместитель директора УЦ «Информзащита»

Свириденко Вячеслав

Спасибо за внимание!