Подписка
МЕНЮ
Подписка

Ближайшие онлайн-мероприятия компании "Гротек"  18 июня. Российские платформы виртуализации 20 июня. Автоматизация бизнес-процессов в ритейле 21 июня. AI, BI, RPA, Low-code/No-code для интеллектуального управления  бизнес-процессами цифрового предприятия   Регистрируйтесь и участвуйте!

Повышение осведомленности сотрудников в области информационной безопасности

07/03/2023

Всем нам хорошо известно, что наиболее уязвимый сегмент системы защиты информации в любой компании – это ее сотрудники. Как правило, именно из-за их необдуманных действий организация может понести наибольший ущерб, как технический, так и репутационный. Поэтому очень важно поддерживать осведомленность сотрудников в вопросах информационной безопасности (ИБ) и периодически устраивать проверку их знаний или тестирование реакции на подозрительные письма и файлы. 

Основные угрозы, которые могут быть реализованы внутренним нарушителем

  • Утечка корпоративных данных (конфиденциальной информации, БД).
  • Несанкционированный доступ в информационную систему компании (передача пароля, учетной записи).
  • Непреднамеренное удаление/искажение актива компании (доступ некомпетентного сотрудника к критичным данным).
  • Заражение сети компании вирусом, приостановка основных процессов бизнеса.

Чтобы стабильно повышать информированность коллег в этой сфере, рекомендуется выстроить программу повышения осведомленности сотрудников в информационной безопасности на весь год, чтобы периодически напоминать о важных аспектах информационной безопасности в области их профессиональной деятельности. 

Рекомендуемые основные мероприятия по повышению осведомленности сотрудников в ИБ

  • Создание и распространение небольших дайджестов о критичных опасностях и наиболее актуальных уязвимостях в области информационной безопасности, а также о правилах цифровой гигиены, с акцентом на превентивных мерах.
  • Проведение плановых фишинг-рассылок. Результаты анализируются и сводятся в отчет, далее делается корректировка мероприятий и рассылок. Рекомендуется делать это не более четырех в год.
  • Рассылка сотрудникам, работающим в системах дистанционного банковского обслуживания с электронной подписью (ЭП), тематических материалов/действующих документов, инструкций и правил работы с ЭП.
  • Ежегодная проверка уровня знаний работников в виде электронного тестирования (если итоги предыдущих проверок показывают, что знания не усвоены, необходимо увеличить количество проверок до двух в год).
  • Проведение "работы над ошибками" после возникновения инцидента ИБ с ответственными лицами (для исключения повторения подобного).

В данном процессе очень важно не допустить слишком большого давления на сотрудников и перегрузки их информацией. Рекомендуется в месяц проводить для персонала не больше 1–2 мероприятий на тему информационной безопасности, а также рассылать соответствующие материалы новым работникам перед проведением теста.

На основе анализа статистики инцидентов и результатов тестирования можно выстроить грамотный подход для информирования групп сотрудников, работающих с наиболее критичными информацией и процессами. С учетом этого можно внести изменения в вашу программу повышения осведомленности сотрудников в области информационной безопасности, сделав акцент на наиболее актуальных проблемах, – это значительно повысит ее эффективность.

Денис Богданов, ВЭББАНКИР

 

 

 

Денис Богданов
Независимый эксперт по информационной безопасности
 

Решения на основе ИСКУССТВЕННОГО ИНТЕЛЛЕКТА

Темы:Информационная безопасностьКолонка экспертаЖурнал "Системы безопасности" №1/2023