Першим фаєрволом у системі безпеки будь-якої організації є людина, і це розуміють все більше компаній. Саме працівник може впустити або не впустити хакера в інфраструктуру. Тому ефективність системи інформаційної безпеки великою мірою залежить від навичок кібергігієни кожного працівника.
Сьогодні розвиток кібергігієни виходить на рівень не факультативної, а системної роботи з працівниками. Це вже не одноразова вправа, а постійна підготовка до марафону. Організації, в першу чергу банки, бачать необхідність у тому, щоб робота з розвитку навичок кібергігієни була постійною, регулярною і багатовимірною.
Для цього потрібно не лише передавати специфічні знання, а й постійно нагадувати про них і тестувати рівень кібергігієни працівників.
Одна з особливостей навчання кібергігієні полягає в тому, що люди в ньому не зацікавлені. Це не професійний тренінг, який дозволяє співробітнику посилити професійні навички і тим самим підняти свою вартість на ринку. Але важливо розуміти, що це все одно підвищення професійної цінності кожного працівника. Адже високий рівень кібергігієни свідчить про те, що ти переймаєшся цими питаннями, а це важливо для успішності організації в цілому.
Друга особливість навчання з кібергігієни – ефективність за часом. Оскільки це не професійне навчання, воно має бути настільки коротким, наскільки можливо. Оптимальний варіант – 45-60 хвилин тренінгу на онлайн-платформі раз на квартал. Не можна проводити тренінг на півдня для тисячі осіб, кожного з яких ми відриваємо від основної роботи і втрачаємо тисячу людино-днів.
Третя і, можливо, найважливіша особливість - оцінка результатів. Після завершення тренінгу чи курсу працівники зазвичай проходять тест, який можна здати або не здати. Якщо набрав менше 90% правильних відповідей – не здав, 90% або більше – здав. Але що це означає? Чи достатньо 90%, щоб не стати жертвою атаки? І що робити з 10% неправильних відповідей? Працівник клюне на фішингову атаку? Підніме з землі флешку, якщо хтось підкине, і вставить її в робочий комп’ютер?
У цьому аспекті важливо не «здав» чи «не здав» працівник тест. Необхідно оцінювати зони ризику кожної людини, щоб у подальшому працювати з її слабкими сторонами. У підсумку результати тесту повинні показати не тільки те, що людина знає про електронну пошту, соціальні мережі та інші технічні аспекти, не тільки розуміє в теорії, що таке фішинг. Результати навчання мають продемонструвати, наскільки схильний працівник порушити усталені норми та політики, наскільки він дисциплінований в питаннях інформаційної безпеки тощо.
Євген Бондарець, керівник ISSP Training Center