Это последняя четвертая часть из серии статей «Сознательный сотрудник — безопасная организация», в которой мы подробно рассмотрим комплексную программу повышения осведомленности работников и формирования культуры в сфере информационной безопасности, которая содержит три основных элемента:
- обучение работников организации;
- поддержание атмосферы информационной безопасности;
- оценка эффективности, обновления и совершенствования.
Обучение и подготовка работников организации
Этапы разработки учебного плана по информационной безопасности в рамках реализации программы:
1) разработка тематических анкет информационной безопасности для различных категорий работников организации с целью оценки уровня их знаний по информационной безопасности;
2) разработка автономных и онлайн материалов, включая разработку интерактивных курсов электронного обучения;
3) поддержание атмосферы информационной безопасности в организации с помощью различных инструментов, таких как плакаты, заставки, сообщения;
4) разработка продуктов направленных на активное участие работников в процессе обеспечения информационной безопасности в организациях: обучение, фильмы, обучение с помощью онлайн-игр;
5) обеспечение надежного контроля знаний и проверки знаний, базирующейся на проверках и тестах противодействия реальным атакам.
Обучение работников организации может осуществляться с помощью следующих инструментов:
- очное обучение и тренинги в форме лекций, бесед и упражнений
- дистанционное, электронное обучение (например, учебный портал, программное обеспечение, курсы электронного обучения, веб-семинары, компьютерные игры)
- форум, чат, телефон доверия.
Поддержание атмосферы информационной безопасности
Повышение осведомленности в области информационной безопасности не должно быть узкопрофильным и требующим подготовки. Чем проще и доступнее будут материалы, тем проще они будут запоминаться работниками организации.
Наиболее эффективными являются:
- плакаты;
- заставки;
- сообщение электронной почты
- баннеры;
- фильмы;
- листовки, брошюры;
- гаджеты, сувениры.
Оценка эффективности и совершенствование
Экзамены, тесты знаний, внутренние и внешние аудиты, а также атаки на персонал в виде отправления провокационных сообщений по электронной почте компании и/или с помощью SMS/MMS, что будет провоцировать пользователей нарушать правила информационной безопасности, действующие в организации.
Как часть реализации реальных атак, проведение проверки знаний пользователей может включать в себя элементы касающиеся:
- правил использования электронной почты и Интернета;
- применения знаний принятой классификации информации;
- противодействия вирусным атакам;
- политики паролей;
- принципов безопасного использования мобильных устройств и т.п.
На основе данных об оценке необходимо провести анализ, и продемонстрировать полезность и эффективность программы повышения осведомленности. Эти данные также станут основой для актуализации и совершенствования.
Ожидаемые результаты внедрения программы:
- уменьшение организационных потерь (материальных, имиджевых и т.п.) вследствии реализации угроз, связанных с человеческим фактором;
- уменьшение количества ошибок и серьезных последствий непреднамеренных действий персонала;
- повышение вклада каждого работника в улучшение информационной безопасности организации;
- достижение прогресса в соответствии с нормами и правилами по информационной безопасности в организации.
Кроме того, в организации должен быть разработан соответствующий дисциплинарный процесс связанный с нарушениями безопасности, включая расследование, реагирование на инциденты и внедрение соответствующих корректирующих и профилактических действий.
Создавая организационную культуру, надо помнить, что это сложная и гибкая концепция. Из года в год ее роль в общей стратегии организационного развития и информационной безопасности растет все больше и больше, так как обеспечивает поддержку и эффективное внедрение положений системы управления информационной безопасностью, управления организацией и достижением ее целей.