В последнее время кибербезопасность претерпела существенные изменения. Если раньше эта сфера была высокотехничной и почти полностью сосредоточенной на разработке программного обеспечения, то появление таких киберугроз, как фишинг и социальная инженерия, заставило специалистов по кибербезопасности переориентироваться на подготовку сотрудников к противодействию кибератакам.
Современные киберугрозы почти исключительно нацелены на индивидуальных пользователей, поскольку они являются самой распространенной точкой сбоя. При условии надлежащего обучения ваш персонал может стать первой и самой надежной мерой кибербезопасности.
Сложность заключается в разработке учебных программ, которые заинтересуют пользователей и одновременно дадут им ощущение важности кибербезопасности. Такое обучение также должно быть построено с учетом уровня технических навыков и ролей пользователей.
Существуют различные методы привлечения пользователей и повышения их активности, но, прежде чем начинать, важно знать, с чем вы работаете, чтобы разработать самый эффективный для вас план.
Как часто следует проводить тренинги по безопасности?
Независимо от размера вашей компании и отрасли, в которой вы работаете, программы повышения осведомленности по кибербезопасности следует пересматривать и обновлять ежеквартально. В процессе такого пересмотра полезно проводить формальный тест или симуляцию фишинга, чтобы получить общее представление об уровне навыков ваших сотрудников.
В конце концов, частота проведения тренингов по кибербезопасности также должна основываться на данных, которые вы собираете во время обучения: испытывают ли сотрудники трудности с определенными понятиями? Часто ли они нажимают на имитацию фишинговых писем?
Если вам нужно увеличить частоту тренингов, дополнить существующую программу повышения осведомленности по вопросам безопасности, можно не нарушая при этом рабочий процесс ваших пользователей.
“Многие организации, которые внедряют комплексное обучение по кибербезопасности, сочетают ежеквартальные тренинги по повышению осведомленности с ежемесячными мероприятиями, включающими короткие упражнения, игры и киберзадачи, чтобы эффективно информировать своих пользователей об изменяющемся ландшафте рисков кибербезопасности.
Такой многоуровневый подход способствует тому, что работники остаются информированными в течение всего года, сохраняют бдительность и готовы проактивно противодействовать потенциальным угрозам в современном меняющемся ландшафте угроз. Он также позволяет организациям предоставлять информацию и адаптироваться к текущим событиям и новым угрозам.”
— Тео Зафиракос, CISO, Professional Services Lead, Terranova Security
Методы проведения тренингов по кибербезопасности
Формирование культуры кибербезопасности может занять определенное время и осуществлять его следует по тщательно разработанному плану. Важнейшим аспектом является привлечение сотрудников, но это может быть сложной задачей, учитывая специфику контента по кибербезопасности.
Кроме того, важно найти правильный баланс в обучении, чтобы ваши пользователи не воспринимали его как рутинную работу.
Вот несколько советов по разработке программы повышения осведомленности по кибербезопасности, которая понравится вашим сотрудникам:
- Вариативность медиаформатов
Во время обучения по кибербезопасности довольно сложно объяснить определенные сложные концепции аудитории с чрезвычайно разным уровнем понимания. Вот почему очень важно предложить несколько различных путей обучения.
Хотя некоторые традиционные тесты необходимы для проверки знаний и сбора данных об успеваемости, вы также можете использовать графику, фото и видео, чтобы показать киберугрозы там, где они возникают, и помочь участникам попрактиковаться в обнаружении тревожных сигналов.
Противодействие киберугрозам, таким как фишинг и спуфинг, зависит от того, замечают ли пользователи визуальные подсказки.
- Имитация фишинга
3,4 миллиарда фишинговых электронных писем отправляются ежедневно, и это одна из самых распространенных киберугроз. Мошенники постоянно совершенствуют свои методы, что заставляет ИТ-отделы создавать все новый обучающий контент, а это сложная задача без надлежащих данных о возможностях сотрудников.
Имитация фишинга — это отличный способ добавить контекст к обучению по противодействию мошенничеству, поскольку он проверяет знания сотрудников, одновременно предоставляя руководителям службы безопасности данные для дальнейшего планирования обучения.
Важно также отметить, что этот инструмент следует использовать скорее как учебный опыт, независимо от того, нажали ли пользователи на фишинговую ссылку или нет.
- Микро- и нанообучающие модули
Кибербезопасность — не самая интересная тема, но есть способы заинтересовать пользователей.
Быстрые и сжатые курсы могут стать интересным способом пополнения необходимых знаний. Исследования показывают, что короткие микрообучающие модули могут повысить уровень усвоения материала минимум на 80%, минимизируя уязвимости, которые могут привести к утечке данных, с помощью всего лишь нескольких минут контента.
Быстрое, интересное и веселое обучение по безопасности, которое ваши конечные пользователи могут легко вписать в свой рабочий день.
- Геймификация
Геймификация работы в цифрах
90% сотрудников работают продуктивнее благодаря геймификации
72% людей считают, что геймификация вдохновляет их работать усерднее
48% повышение вовлеченности благодаря мотивации на основе игры
95% сотрудников с радостью используют геймифицированные системы
Геймификация — это интеграция учебного контента с элементами, заимствованными из видеоигр. Элементарные видеоигры, викторины и таблицы лидеров делают обучение интересным и увлекательным.
Исследование показало, что для 83% работников геймификация делает их более мотивированными к обучению. Поскольку эти модули проходят быстро и обеспечивают высокий уровень запоминания знаний, они являются идеальным инструментом для ознакомления сотрудников с новыми, постоянно развивающимися киберугрозами.
Выводы
Киберугрозы сейчас часто нацелены на индивидуальных пользователей, подчеркивая важность обучения персонала по кибербезопасности. Сложность этой задачи заключается в разработке учебных программ, которые будут не только интересными, но и смогут учитывать разный уровень технических навыков пользователей. Программы повышения осведомленности следует пересматривать ежеквартально, используя формальные тесты и симуляции фишинга для оценки уровня навыков.
Частота проведения тренингов должна базироваться на собранных данных, учитывая трудности и реакции сотрудников. А внедрять их можно, используя такие методы, как вариативность медиа-форматов, имитация фишинга, микро- и нанообучающие модули и геймификация. В конце концов, активное участие сотрудников и обеспечение баланса в обучении являются ключевыми факторами для успешного формирования культуры кибербезопасности.
Интересует обучение IT-безопасности для сотрудников? Пишите на fortra@bakotech.com и мы подробно расскажем о программах тренингов Terranova от Fortra.
