вторник, 20 октября 2015 г.

Организация программы по повышению осведомленности

Кризис бьет по экономике, бизнес-руководство "режет косты", т.е сокращает финансирование, но обеспечивать безопасность по-прежнему нужно. И хочешь не хочешь, но необходимо искать какие-то простые (в идеале бесплатные) методы достижения нужного результата.  Конечно порой такая погоня за дешевизной в прямом смысле дорого обходится, но пост не об этом. 

Одним из самых недорогих, но действенных методов по повышению общего уровня безопасности на мой взгляд является программа повышения персонала в вопросах ИБ. Внедряя такую программу в компании подразделение ИБ убивает сразу 2х зайцев:
  • сотрудники становятся более грамотными в плане ИБ, что приводит к меньшему количеству ошибок, обращений в ИТ и ИБ и в конечном итоге уменьшает количество инцидентов;
  • программа повышения осведомленности может помочь популяризировать деятельность подразделения ИБ в компании, эдакий способ PR-а внутри компании. 
Есть несколько простых инструментов, которые могут составить такую программу повышения осведомленности: 
  • периодические тренинги персонала - самый очевидный, но при этом самый ресурсозатратный метод, да и часто вызывает определенное отторжение, поэтому я бы рекомендовал его применять крайне дозированно (раз в год, например). 
  • рассылки внутри компании - метод простой и в меньшей степени напряжный, особенно если удастся обеспечить хороший контент для такой рассылки. Если делать ее не часто (раз в месяц например) и включать советы в том числе по личной компьютерной безопасности, то уверен что найдется немало людей кто будет даже благодарен. 
  • плакаты, наглядная агитация - хороший метод, но только если прям угадаете с оформлением. Нужно ориентироваться на принятую культуру в компании, средний возраст персонала и проч. Должно быть интересно, немного смешно и должно запомниться.  Есть вечные темы вроде полуголых женщин, призывающих "не болтать", есть дизайнерские находки, вроде тех плакатов, которые в свое время делал для себя Билайн (жаль что их нигде в сети нет)
  • база знаний - раздел на внутрикорпоративном сайте компании, который содержит в простой и доступной форме описание и разъяснение основных положений политики ИБ компании, описание действий в ситуации "если вдруг ___  то действуйте так ____"
Для реализации всего того, что я написал выше, в первую очередь нужен грамотный контент - материал из которого будут делаться тренинги, рассылки, плакаты и проч.  С этим конечно все сложнее и это пожалуй единственный серьезный барьер, о который разбиваются многие попытки внедрить деятельность по повышению осведомленности. 

Приведу несколько ссылок, надеюсь что помогут. Практически все на английском, у нас в России по этой теме пока мало кто активно работает.  Но ведь стоимость переводчика не такая большая, можно нанять, а можно самому перевести, да еще и знание языка повысить :) 

  • Проект Так безопасно от компании ЛЕТА - набор готовых плакатов - скринсейверов, с описанием стандартных и очевидных правил информационной безопасности.
  • Microsoft Security Awareness Toolkit - тулкит от компании Microsoft, содержащий различные материалы (планы, статьи, презентации), которые могут быть использованы для реализации программы повышения осведомленности. 
  • Stay Smart Online - Сайт Австралийского агентства Department of Communications and the Arts, содержит набор статей, описывающих основные рекомендации по обеспечению персональной безопасности в сети.  
  • Stop. Think. Connect - онлайн ресурс, содержащий рекомендации по обеспечению ИБ, а также подборку плакатов 

Комментариев нет:

Отправить комментарий