пятница, 8 марта 2013 г.

Успешный тренинг по ИБ. Часть III

Что делает тренинг по информационной безопасности успешным?
What makes security awareness training successful?

автор: Zejika Zorz [www.insecuremag.com]
перевод: Рустам Абдуллин [rustam-abdullin.blogspot.com]

Будущее тренингов по информационной безопасности

Кай Роэр объяснил мне, что, хотя у него техническое образование, он поменял  работу с компьютерами на работу с людьми, потому что он нашел компьютеры скучными.

"Людей, в отличие от компьютеров, вовсе не так просто контролировать - вы можете думать, что можно заставить их делать все что угодно, но иногда, ну, они просто этого не делают. Я решил понять, почему у людей есть собственное мнение, что заставляет людей быть разными, и каким шаблонам и правилам они следуют", отмечает он.

Все эти "шаблоны поведения", которые основаны на жизненном опыте, для решения повседневных проблем, обучения и изучения - защищают нас от опасностей и делают наши жизни легче, но проблема в том, что они могут быть с легкостью использованы специалистами по социальной инженерии, которые знают как использовать страх, тревогу, правду, состояние комфорта в необходимых пропорциях, чтобы добиться необходимой реакции от жертвы.

"Люди нажимают (на вредоносные ссылки), даже не смотря на то, что мы говорим им об этих угрозах в течении нескольких лет. Это не означает, что они глупые, или не прислушиваются к информации в тренинге - это шаблоны поведения, которые играют с ними", говорит он.

Использование материалов о человеческой природе в тренинге по информационной безопасности может исправить положение, но изменения IT архитектуры, которые облегчили бы пользователям процесс принятия решений (tinyurl.com/8egmbx2) также может быть неоценимой помощью.


Заключение

В целом, тренинг по информационной безопасности не должен рассматриваться как панацея от угроз связанных с эксплуатацией человеческого фактора.

Роэр поделился со мной очень удачной аналогией, которая многое объясняет:

"Более 90% школ вождения в тех краях где я живу не учат как водить машину, они учат как распознать опасные ситуации, и учат как их избежать. В дополнение к вашим навыкам, машина имеет набор компонент, которые обеспечивают безопасность: подушки безопасности, система АБС, круиз контроль, ремни безопасности и так далее. Добавьте к этому все знаки, отметки, огни и другие меры обеспечения безопасности на дороге, правила дорожного движения и законы, которые наши права на дороге. И даже с таким набором мер обеспечения безопасности, люди разбиваются. Люди умирают. Но мы продолжаем водить. Также как и мы продолжаем усиливать меры по информационной безопасности."

Немного своего опыта

Я проводил тренинг в странах Евразии и Ближнего Востока. У нас был онлайн тренинг https://vle.securingthehuman.org/mod/client/auth/login.php от SANS и лицензия на использование их материалов. Тренинг предоставлялся на четырех языках. Ключевые проблемы были следующие:
1. Русского и английского языка не хватало. Если головные офисы подразделений компании знали эти языки, то в "поле" нужно было использовать перевод. Поэтому тренинг онлайн отпадал. SANS не предоставляет возможности вносить изменения в свою систему.
2. Многие офисы продаж откровенно не могли изучать материалы с онлайн версии тренинга. Не хватало пропускной способности канала.

Для того чтобы решить указанные проблемы мы воспользовались системой ATutor. Перевели материалы тренинга на местные языки. Однако у ATutor тоже есть существенный недостаток: при всей своей развитости система не поддерживает ни доменную аутентификацию, ни добавления пользователей "пачками". Проблема с горем пополам решалась использованием режима "для незарегистрированных пользователей". Сотрудники использовали свой HR ID.

Таким образом удалось обучить порядка 4500 человек в моем регионе.

Во втором полугодии 2013 тренинг надо будет повторить. Постараюсь найти способ избавиться от возни с регистрацией пользователей и тракинга по HR ID.

Предыдущие части:

http://rustam-abdullin.blogspot.com/2013/01/i.html
http://rustam-abdullin.blogspot.com/2013/02/ii.html




Комментариев нет:

Отправить комментарий