Кризис бьет по экономике, бизнес-руководство "режет косты", т.е сокращает финансирование, но обеспечивать безопасность по-прежнему нужно. И хочешь не хочешь, но необходимо искать какие-то простые (в идеале бесплатные) методы достижения нужного результата. Конечно порой такая погоня за дешевизной в прямом смысле дорого обходится, но пост не об этом.
Одним из самых недорогих, но действенных методов по повышению общего уровня безопасности на мой взгляд является программа повышения персонала в вопросах ИБ. Внедряя такую программу в компании подразделение ИБ убивает сразу 2х зайцев:
- сотрудники становятся более грамотными в плане ИБ, что приводит к меньшему количеству ошибок, обращений в ИТ и ИБ и в конечном итоге уменьшает количество инцидентов;
- программа повышения осведомленности может помочь популяризировать деятельность подразделения ИБ в компании, эдакий способ PR-а внутри компании.
Есть несколько простых инструментов, которые могут составить такую программу повышения осведомленности:
- периодические тренинги персонала - самый очевидный, но при этом самый ресурсозатратный метод, да и часто вызывает определенное отторжение, поэтому я бы рекомендовал его применять крайне дозированно (раз в год, например).
- рассылки внутри компании - метод простой и в меньшей степени напряжный, особенно если удастся обеспечить хороший контент для такой рассылки. Если делать ее не часто (раз в месяц например) и включать советы в том числе по личной компьютерной безопасности, то уверен что найдется немало людей кто будет даже благодарен.
- плакаты, наглядная агитация - хороший метод, но только если прям угадаете с оформлением. Нужно ориентироваться на принятую культуру в компании, средний возраст персонала и проч. Должно быть интересно, немного смешно и должно запомниться. Есть вечные темы вроде полуголых женщин, призывающих "не болтать", есть дизайнерские находки, вроде тех плакатов, которые в свое время делал для себя Билайн (жаль что их нигде в сети нет)
- база знаний - раздел на внутрикорпоративном сайте компании, который содержит в простой и доступной форме описание и разъяснение основных положений политики ИБ компании, описание действий в ситуации "если вдруг ___ то действуйте так ____"
Для реализации всего того, что я написал выше, в первую очередь нужен грамотный контент - материал из которого будут делаться тренинги, рассылки, плакаты и проч. С этим конечно все сложнее и это пожалуй единственный серьезный барьер, о который разбиваются многие попытки внедрить деятельность по повышению осведомленности.
Приведу несколько ссылок, надеюсь что помогут. Практически все на английском, у нас в России по этой теме пока мало кто активно работает. Но ведь стоимость переводчика не такая большая, можно нанять, а можно самому перевести, да еще и знание языка повысить :)
- Проект Так безопасно от компании ЛЕТА - набор готовых плакатов - скринсейверов, с описанием стандартных и очевидных правил информационной безопасности.
- Microsoft Security Awareness Toolkit - тулкит от компании Microsoft, содержащий различные материалы (планы, статьи, презентации), которые могут быть использованы для реализации программы повышения осведомленности.
- ENISA Information Security Awareness Materials - небольшая подборка материалов (постеры, скри-сейверы, картинки) от европейского агентства ENISA.
- Stay Smart Online - Сайт Австралийского агентства Department of Communications and the Arts, содержит набор статей, описывающих основные рекомендации по обеспечению персональной безопасности в сети.
- Stop. Think. Connect - онлайн ресурс, содержащий рекомендации по обеспечению ИБ, а также подборку плакатов
Facebook
Комментариев нет:
Отправить комментарий