💡 ИБ за 60 секунд

В прошлом посте мы затронули тему повышения осведомленности очень кратко, однако это очень полезный и эффективный процесс, о котором хочется рассказать подробней. В связи с этим, мы запускаем серию рассказов о процессе повышения осведомленности. Сегодня – о том, как построить этот процесс. 

  Обязательно «узаконьте» свой процесс: создайте положение о повышении осведомленности сотрудников. Это небольшой «легкий» внутренний документ на пару страниц, где вы объявляете о существовании этого процесса, обозначаете цели, которые преследуете, мероприятия, которые проводите в рамках этого документа, а также периодичность. Дополнительно, такой документ можно приложить в ответ на различные опросники бизнес-партнеров об уровне информационной безопасности в вашей компании. 

  Проговорите с вашим HR темы для социотехнических атак: хороший директор по персоналу чувствует, что коллег может разозлить или напугать. Так вы избежите нежелательной реакции – например сотрудник, получивший фишинг о новом штамме вируса может испугаться и срочно увезти своих родных, потратить деньги на товары первой необходимости и просто испытает неоправданный стресс. Когда он узнает, что это обман, в лучшем случае он будет зол, в худшем – подаст в суд и поднимет волну негатива в сторону вашей компании. Такой исход не оценит никто. Помните, что надо соблюдать этичность.

  Определитесь, как вы будете реализовывать ваш процесс технически. Вы можете:

• Поднять почтовый сервер внутри компании. Просто, но ваши письма идут изнутри, это не очень хорошо, так как фишинг зачастую бывает извне, с подменой домена. 

• Нанять подрядчика, который будет проводить полноценные кампании «под ключ». Удобно, эффективно, но дорого на длинной дистанции и вы не накапливаете компетенций внутри отдела.

• Использовать специальное ПО для имитации фишинговых атак. Есть opensourceрешения, есть коробочные продукты. Берете готовое – тратите деньги на покупку ПО + лицензия и возможно, поддержка. Очень схоже с вариантом найма подрядчика, но дешевле, так как все же работаете вы, вдобавок накапливаете компетенции у себя в отделе. Решения opensource бесплатны, с вас только ресурсы для размещения ПО и знания как его настроить и «допилить» под ваши нужды.

При выборе решения я бы исходил из бюджета, уровня зрелости ИБ в компании и уровня компетенций внутри отдела ИБ. Если у Вас есть деньги, но нет возможности настроить ПО, вполне хорошим вариантом будет на какое-то время нанять подрядчика. Позже, когда будут ощутимые результаты от процесса, можно будет легко обосновать выделение ресурсов/людей для перенесения этого процесса внутрь компании. 

Итак, процесс описан, «конфликтные» темы выявлены и техническая реализация готова. Пора переходить к практической части, о которой мы поговорим в следующем посте.