воскресенье, 17 февраля 2013 г.

Успешный тренинг по ИБ. Часть II


Продолжаю переводы статей журнала www.insecuremag.com.

Вступление от себя:

В 2012 занимался обучением сотрудников своей организации. Проблемы достаточно стандартны: подразделения разнесены, компьютеры есть не у всех сотрудников. Плюс ко всему языковые барьеры, необходимость перевода тренинга на локальные языки, плохая пропускная способность каналов. Нельзя было купить хороший интерактивный тренинг на английском/русском языках. Далее будет перевод статьи и мое мнение.


Что делает тренинг по информационной безопасности успешным?
What makes security awareness training successful?

автор: Zejika Zorz [www.insecuremag.com]
перевод: Рустам Абдуллин [rustam-abdullin.blogspot.com]

Создание качественного тренинга по информационной безопасности

Некоторые организации предпочитают передать задачу на аутсорсинг внешним экспертам. Однако они должны быть осторожны делая выбор между компаниями предлагающими указанный сервис. Лучше всего обратить внимание на тренеров, которые имеют большой опыт по настройке тренингов в соответствии с нуждами заказчиков.

Ресурс US NIST "Building an Information Technology Security Awareness and Training Program" будет отличным источником первоначальной информации для тех, кто предпочитает обходиться собственными силами.

"Суть успешного тренинга - не имеет значения о чем он - это понимание того, что ты хочешь достигнуть (изучить/изменить), знать что тебе известно сейчас, а затем преодолеть этот разрыв," - говорит Роэр, и приводит полезное пошаговое руководство:

  1. Определите измеримую конечную цель.
  2. Определите текущее состояние исходя из метрик для конечной цели.
  3. Наметить набор шагов, которые необходимо предпринять, чтобы достигнуть конечной цели. 
  4. Разработать набор метрик, которые можно было бы использовать для определения успешности ваших шагов.
  5. Разработать стратегию тренинга, тактику, инструменты и методы.
  6. Внедрить тренинг и измерить ситуацию.
  7. Внести изменения в тренинг, если это необходимо.
  8. Повторить процесс.
Более конкретные советы Лэнгфорда основаны на опыте, полученном при попытке внедрить тренинг по информационной безопасности в своей компании.

"Не связывайте тренинг по информационной безопасности с другими тренингами, такими как этика или же борьба со взяточничеством, и не называйте это все "правовой подготовкой", потому что лишь повысит нагрузку на сотрудников и они его просто выключат. Кроме того, все, что занимает у людей более 20 минут побуждает их сжульничать, а не изучать материал и обращаться к своим коллегам в поисках ответов", предупреждает он.

"Убедитесь, что ваш CEO, COO и другие руководители прошли тренинг, если это не так, вы не получите их поддержки, вы тратите деньги и, что более важно, время каждого. Наконец, проводить обучение один раз в год не достаточно - оно должно быть регулярным, многоканальным и активно коммуницироваться на протяжении всего года для того, чтобы сведения об основных положениях тренинга были всегда свежими".

Успешно пройденный тренинг должен быть отражен в оценке эффективности сотрудников, считает он, тестирование и обучение должны быть постоянными, регулярными и присутствовать в ежегодных целях Отдела защиты информации.

Поиск того, что будет мотивировать сотрудников учиться и использовать полученные навыки, как мне кажется, тоже хороший способ гарантировать успех тренинга.

Я полагаю, что денежные премии наиболее успешным сотрудникам - это не то, к чему можно прибегнуть в первую очередь. Есть и другие вещи способы поощрения, такие как публичное признание за обнаружение вредоносной электронной почты или предоставление доступа к тренингу для семей работников, что может вызвать чувство удовлетворения от выполненной работы и понимания того, что информационная безопасность важна не только для компании и ее сотрудников, но и для его близких.

В то же время, четко изложенные последствия отказа от прохождения тренинга и внедренная система штрафов также являются хорошим стимулом для сотрудников поддерживать свой уровень знания основ информационной безопасности на должном уровне.

Продолжение следует.





2 комментария:

  1. Если цель именно натренировать пользователей и снизить риски взлома через них, то нужен короткий, регулярный, разнообразный и встряхивающий интерактив.
    Ежегодный тренинг на флеше\powerpoint решает вопросы, слабо связанные с информационной безопасностью.

    Лично моё мнение, что единственное чему надо научить пользователей - это куда писать\звонить если что-то идёт не так по их мнению.
    А оставшиеся ресурсы потратить на проработку процедур реагирования и оттачивание самого процесса реагирования

    ОтветитьУдалить
  2. Согласен, идеальный вариант "короткий, регулярный, разнообразный и встряхивающий". Если тренинг рассчитан на русско\англо говорящую аудиторию, то это не составит труда, подобрать такой тренинг.

    В моем случае тренинг был осложнен тем, что его было необходимо перевести еще на 5-6 языков (арабский, грузинский, армянский и т.д.). Таким образом отпадают все эти интерактивы. Потому что интерактивов на этих языках просто нет, а под себя писать мы не стали.

    Опять же согласен, что дать пользователям Central Point of Contact - хорошая идея. Но еще важно привить им здоровую подозрительность. Научить их тут же высылать подозрительные письма для анализа. Не открывать подозрительные вложения в почте, skype и т.д. Потому как современное вредоносное ПО действует так, что пользователь его попросту не замечает (исключение WinLocker), до поры до времени.

    Поэтому годичного тренинга явно не достаточно. Нужно создавать "эффект присутсвия службы ИБ":)

    ОтветитьУдалить