суббота, 26 января 2013 г.

Успешный тренинг по ИБ. Часть I

Продолжаю переводы статей журнала www.insecuremag.com.


Вступление от себя:

В 2012 занимался обучением сотрудников своей организации. Проблемы достаточно стандартны: подразделения разнесены, компьютеры есть не у всех сотрудников. Плюс ко всему языковые барьеры, необходимость перевода тренинга на локальные языки, плохая пропускная способность каналов. Нельзя было купить хороший интерактивный тренинг на английском/русском языках. Далее будет перевод статьи и мое мнение.


Что делает тренинг по информационной безопасности успешным?
What makes security awareness training successful?

автор: Zejika Zorz [www.insecuremag.com]
перевод: Рустам Абдуллин [rustam-abdullin.blogspot.com]

Тема обучения информационной безопасности много обсуждалась в последние несколько лет, в особенности в связи с тем, что успешные кибер атаки против организаций в подавляющем большинстве случаев связаны с социальной инженерией и/или направленным фишингом.

Большинство специалистов в области информационной безопасности согласны с тем, что обучение сотрудников и руководителей несет огромную пользу, однако и у противников есть свои аргументы. 


В рамках дискуссии на конференции RSA Conference Europe прошедшей в Лондоне в конце октября, на популярных дебатах под названием "Должны ли вы обучать своих сотрудников информационной безопасности?" были предложены интересные идеи, которые необходимо рассмотреть дабы ответить на этот вопрос.


Тому Лэнгфорд (Thom Langford, Director of Security Risk Management in Sapient's Global Security Office) была поставлена ​​задача поставить под вопрос популярную точку зрения и указать  на то, что он считает главным препятствием на пути успешной реализации этого вида обучения. Он представил три следующих пункта:

  1. Утомительное обучение. В тех случаях, когда обучение информационной безопасности является лишь одним из многих тренингов, которые сотрудник должен проходить каждый год, часто в пределах нескольких месяцев, они часто выполняются плохо. Не удивительно что они чувствуют себя беспомощными, когда сталкиваются с реальными ситуациями
  2. Неудовлетворительная сохранность информации. Чтобы сохранить знания, сотрудники должны повторять их регулярно. "Но как часто люди сознательно практикуют свои навыки безопасности?"  спрашивает Лэнгфорд.
  3. Каждодневная работа. Главная цель сотрудников, выполнить свою работу в срок и в рамках бюджета, и часто соображения безопасности делают эту задачу сложнее. Обход требований "только в этот раз", кажется лучшим способом упростить себе жизнь
Кай Роер (Kai Roer), международный тренер по мотивации, оратор и писатель, а также старший партнер консалтингового агентства The Roer Group, был одним из участников дискуссии, который принял противоположную сторону, и отметил, что все эти пункты, хотя и важные, не являются аргументами против повышения уровня информированности как таковой, некорректен скорее подход.


"В мире, где мы все ожидаем мгновенную окупаемость (подобно лайкам в Facebook, покупок в кредит, и так далее), без сомнения, потратить весь день на обучение - это просто отстой", отметил он, для (IN)SECURE. "Выход из ситуации заключается в создании серьезного, актуального и направленного на аудиторию тренинга".

"Одна из причин, по которой сотрудники не запоминают материал, это то, что мы создаем тренинги на основе наших нужд, вместо того, чтобы подумать о нуждах обучающихся", добавил он, "Если вы продолжите проводить обучение, считая его наиважнейшим, в то время как пользователи не согласны с этим, вы не должны удивляться плохим результатам. Повторюсь, выход в том, чтобы создать серьезный, актуальный и применимый непосредственно для аудитории тренинг." 

Лэнгфорд согласен с этим. Несмотря на то, что на дебатах он был пресловутым "адвокатом дьявола", он поделился со мной, что он не против обучения по вопросам безопасности в целом, а против того, как оно сейчас осуществляется.


"Я традиционно был сторонником обучения и ввел его в официальном порядке на моей нынешней работе. Я даже изменил стандартные 10 вопросов на случайные "10 из 50" дабы остановить использование шпаргалок, но это не работает", отметил он.


"После того, как мы поставили себя на место пользователей, посмотрели более внимательно на статистику и, на самом деле, подглядели за сотрудниками на рабочем месте во время обучения, осторожно конечно, - я понял, что обучение не настолько эффективно, как мы считали".

Стоимость тренинга по информационной безопасности

В то время как все, похоже, согласны, что деньги на посредственный тренинг по информационной безопасности тратятся просто в пустую, качественное и непрерывное обучение часто означает более высокие затраты. Это то, на что некоторые компании не готовы, и многие идут по пути наименьшего сопротивления, просто чтобы иметь возможность поставить галочку в списке задач.



Руководители одобряют тренинги низкого уровня потому что цена обычна включена в бюджет на "compliance", утверждает Лэнгфорд, и отделы информационной безопасности запрашивают тройной (или больше) бюджет "на всякий случай", который обычно не используется.

Роер отмечает, что реализованные правильно программы повышения обучения имеют более высокую стоимость и увеличенные сроки по сравнению с обычными опросниками, в то же время требуется другой тип поддержки со стороны руководителей, что в конечном счете создает особую культуру в рамках организации.

"Таким образом, еще один важный критерий успеха - это не думать об информационной безопасности как о отдельной области, а посмотреть, как она вписывается в корпоративную культуру организации. Это означает, что успешная программа обучения включает в себя тренинг Безопасность и Качество Услуг, набор политик, тесно связана с отделом кадров и профессиональна выполнена", говорит он. "Другими словами - для успешного тренинга по информационной безопасности вам необходимо больше чем просто самостоятельное обучение."

Но как убедить руководителей инвестировать в качественный тренинг по информационной безопасности?

Compliance - это важнейший аргумент. Также используется "сохранность репутации" и "снижение операционных расходов и стоимости поддержки".

Роер предпочитает здравый смысл.

"Все мы знаем, что для того, чтобы стать лучше в чем-то, мы должны обучаться и практиковаться, с учетом тех обстоятельств, которые могут быть для нас губительны. Высокий уровень осведомленности в области информационной безопасности означает, что человек поведет себя корректно в данной ситуации, тем самым обеспечив лучший результат," высказывает он свое мнение, и добавляет, что истории с соответствующей толикой юмора также приносят результат.


Продолжение следует.

Комментариев нет:

Отправить комментарий