Артём, обучение сотрудников кибергигиене — задача не из легких. Какие подходы и инструменты Вы используете, чтобы добиться максимального результата с минимальными затратами?

Работая в сфере информационной безопасности на протяжении значительного времени, я столкнулся с различными условиями в компаниях. В некоторых из них мне приходилось единолично отвечать за все аспекты информационной безопасности, в то время как в других бюджеты на эти нужды были весьма ограниченными или наоборот.

В самом начале пути мне необходимо было находить креативные решения для обучения сотрудников, не тратя при этом значительные средства. В связи с этим я начал использовать пилотные программы обучающих компаний, специализирующихся на информационной безопасности. Изучая, как они представляют свои материалы и реализуют обучение, я смог, опираясь на эти примеры и при поддержке технологий вроде Dall-E, Gophish и др., разработать собственные курсы по информационной безопасности и кибергигиене.

Важной частью моих курсов стали реальные кейсы атак на компании, такие как фишинг и социальная инженерия. Я исследовал, читал и анализировал эти живые примеры, которые затем применял на практике, обучая работников. Все используемые материалы доступны в открытых источниках, и их можно реализовать самостоятельно: достаточно скачать нужные ресурсы, установить их, а также зарегистрировать домен за небольшую сумму, похожий на домен компании, и использовать его для рассылки фишинговых сообщений.

Мой опыт показывает, как важно проводить подобные обучения, ведь если их не проводить они могут случайно перейти по ссылке и ввести свои логины и пароли, тем самым подвергая риску не только свои личные устройства, но и рабочие компьютеры, имеющие доступ к корпоративной сети, особенно если нет двухфакторной аутентификация (2FA). В таких крупных компаниях как СОГАЗ, конечно, обучение поставлено совсем на другом уровне и ресурсы не сравнимы, также, как и количество работников. Но основные принципы взаимодействия с пользователями те же.

Рекомендую регулярно в течение года обучать работников кибергигиене, а для тех, кто попадается на фишинговые атаки, делать более глубокий курс и обучать их еще раз, с каждым разом таких работников будет становиться всё меньше.

С какими основными вызовами вы сталкиваетесь в процессе вовлечения сотрудников и руководства в вопросы кибергигиены? Как вы справляетесь с сопротивлением или отсутствием интереса?

Создание обучения по кибергигиене — это не просто задача, а искусство, требующее внимательности, точности и креативности. Независимо от того, кто разрабатывает курс — подрядчик или вы сами — важно помнить, что каждое слово имеет значение. Ваши формулировки должны быть безупречными, чтобы избежать недопонимания и бюрократических споров.

В процессе обучения работники могут задавать множество вопросов: «Почему мы должны следовать именно этим рекомендациям?», «Где это прописано?», «Каковы последствия несоблюдения этих правил?» – и это нормально. Однако, если в вашем материале будут неточности, например, если в политике безопасности указано, что пароли должны содержать не менее 8 символов, а в обучении будет написано 12, это станет предметом обсуждения и сомнений. Каждая буква, каждая запятая, каждое число могут стать поводом для оспаривания, поэтому важно быть предельно внимательным на каждом этапе написания.

Второй вызов — это эффективное взаимодействие с работниками. Иногда может возникнуть ситуация, когда сотрудники игнорируют важные аспекты кибергигиены. Эскалация проблемы через внутренние приказы может быть необходима, но также стоит подумать о том, как заинтересовать сотрудников. Реальные кейсы из жизни, наглядные примеры и истории могут стать мощным стимулом для вовлечения. Не забывайте о визуальном оформлении: анимации, инфографика и яркие изображения помогут сделать обучение более привлекательным и запоминающимся, а минимизация текста — упростит восприятие информации. Ваша цель — донести важные знания так, чтобы они оставили след в сознании работников и стали неотъемлемой частью их повседневной практики. Помните, что обучение по кибергигиене — это не просто формальность, а один из ключевого элемента защиты компании и её сотрудников от киберугроз. Будьте внимательны к каждому слову и творчески подходите к процессу, и тогда ваша работа принесёт максимальную пользу.

Артём, какие управленческие уроки вы извлекли из своего опыта, которые могут быть полезны другим руководителям информационной безопасности?

Другим руководителям информационной безопасности я бы порекомендовал обратить свое внимание на Федерацию управленческой борьбы. В Москве есть несколько клубов по управленческой борьбе. Место где классно можно подтянуть свои софт-скиллы и научиться договариваться.