Повышение осведомленности сотрудников в области информационной безопасности

Всем нам хорошо известно, что наиболее уязвимый сегмент системы защиты информации в любой компании – это ее сотрудники. Как правило, именно из-за их необдуманных действий организация может понести наибольший ущерб, как технический, так и репутационный. Поэтому очень важно поддерживать осведомленность сотрудников в вопросах информационной безопасности (ИБ) и периодически устраивать проверку их знаний или тестирование реакции на подозрительные письма и файлы. 

Основные угрозы, которые могут быть реализованы внутренним нарушителем

• Утечка корпоративных данных (конфиденциальной информации, БД).
• Несанкционированный доступ в информационную систему компании (передача пароля, учетной записи).
• Непреднамеренное удаление/искажение актива компании (доступ некомпетентного сотрудника к критичным данным).
• Заражение сети компании вирусом, приостановка основных процессов бизнеса.

Чтобы стабильно повышать информированность коллег в этой сфере, рекомендуется выстроить программу повышения осведомленности сотрудников в информационной безопасности на весь год, чтобы периодически напоминать о важных аспектах информационной безопасности в области их профессиональной деятельности. 

Рекомендуемые основные мероприятия по повышению осведомленности сотрудников в ИБ

• Создание и распространение небольших дайджестов о критичных опасностях и наиболее актуальных уязвимостях в области информационной безопасности, а также о правилах цифровой гигиены, с акцентом на превентивных мерах.
• Проведение плановых фишинг-рассылок. Результаты анализируются и сводятся в отчет, далее делается корректировка мероприятий и рассылок. Рекомендуется делать это не более четырех в год.
• Рассылка сотрудникам, работающим в системах дистанционного банковского обслуживания с электронной подписью (ЭП), тематических материалов/действующих документов, инструкций и правил работы с ЭП.
• Ежегодная проверка уровня знаний работников в виде электронного тестирования (если итоги предыдущих проверок показывают, что знания не усвоены, необходимо увеличить количество проверок до двух в год).
• Проведение "работы над ошибками" после возникновения инцидента ИБ с ответственными лицами (для исключения повторения подобного).

В данном процессе очень важно не допустить слишком большого давления на сотрудников и перегрузки их информацией. Рекомендуется в месяц проводить для персонала не больше 1–2 мероприятий на тему информационной безопасности, а также рассылать соответствующие материалы новым работникам перед проведением теста.

На основе анализа статистики инцидентов и результатов тестирования можно выстроить грамотный подход для информирования групп сотрудников, работающих с наиболее критичными информацией и процессами. С учетом этого можно внести изменения в вашу программу повышения осведомленности сотрудников в области информационной безопасности, сделав акцент на наиболее актуальных проблемах, – это значительно повысит ее эффективность.