Как объяснить сотрудникам важность кибербезопасности | Блог Касперского

Как в компании наладить внутренние коммуникации о кибербезопасности, чтобы объяснить сотрудникам, какие существуют риски, угрозы и способы защиты.

Если спросить любого специалиста по информационной безопасности, что является причиной большинства инцидентов, то вероятно он не задумываясь ответит «человеческий фактор». В основе большей части атак на организации лежат невнимательность, неосведомленность и ошибки сотрудников. При этом угрозу человеческого фактора сложнее всего устранить — ведь для этого приходится работать не с привычными послушными информационными системами, а непосредственно с людьми.

Часто в наших советах мы, помимо всего прочего, рекомендуем донести до сотрудников ту или иную информацию. Но, конечно, это легче сказать, чем сделать. Поэтому сегодня мы поговорим о том, как же все-таки добиться того, чтобы сотрудники компании стали относиться к кибербезопасности серьезнее, а к словам безопасников — внимательнее.

Почему сотрудники не уделяют должного внимания кибербезопасности

Основная проблема состоит, конечно же, в том, что для большинства сотрудников компании кибербезопасность совсем не является приоритетным вопросом. У них есть свои дела и цели, а на всякие второстепенные задачи может банально не хватать времени. В связи с этим стоит осознать и принять следующие два факта.

Первый из них: по умолчанию одним из второстепенных вопросов для нормального сотрудника является и информационная безопасность. Так что не стоит ожидать, что после каждой почтовой рассылки о вреде использования одних и тех же паролей ваши пользователи побегут массово их менять. Или дисциплинированно перестанут скачивать сомнительные вложения, как только вы им расскажете, что так не стоит делать.

Второй факт, который важно иметь в виду: не погруженные в тему ИБ сотрудники вас не обязательно понимают (и даже скорее всего нет). Для специалиста по кибербезопасности в словах вроде «таргетированная атака с использованием целевого фишинга» не содержится никакой сложной информации. А обычному продажнику, бухгалтеру или специалисту по логистике вы с тем же успехом могли бы сказать что-нибудь на баскском языке.

В результате ИБ-специалистам часто кажется, что в сочетании эти два факта делают задачу неразрешимой, поэтому они опускают руки и ограничиваются лишь теми мерами безопасности, которые касаются железа и софта. Но, конечно же, это неправильно, и такой подход часто приводит к серьезным проблемам. Возникает вопрос: как же все-таки достучаться до сотрудников?

Кибербезопасность + коммуникации = ❤️

Хорошая новость состоит в том, что вероятно у вас в компании уже есть практически все компоненты для того, чтобы наладить внутренние коммуникации об информационной безопасности. В вашей организации наверняка есть эксперты по ИБ, которые разбираются в угрозах и защите от них. И у вас скорее всего имеются специалисты по общению с людьми — обычно их можно обнаружить в HR или, еще лучше, в отделе внутренних коммуникаций, если у вас такой есть.

Сразу приготовьтесь к тому, что поначалу может быть нелегко: специалисты по коммуникациям вряд ли разбираются в кибербезопасности и в массе своей, как правило, не горят желанием вникать в подробности. Но не следует опускать руки: надо обнаружить среди них наиболее подходящего кандидата в, так сказать, евангелисты.

В идеале следует искать человека, который уже технически подкован. Если такого в компании нет, можно попытаться нанять нового сотрудника, имеющего и понимание внутренних коммуникаций, и технический бэкграунд. Такие люди встречаются нечасто, но, возможно, вам повезет.

Как только вы смогли раздобыть такого сотрудника — в первую очередь займитесь его «апгрейдом» и постарайтесь научить смотреть на мир через призму информационной безопасности. Для этого хорошо подойдет наша интерактивная платформа Kaspersky Automated Security Awareness Platform, в которой, кстати, есть тестовый бесплатный тренинг.

Важным ингредиентом для успеха всего мероприятия станет доверие. Айтишники в целом и безопасники в особенности часто славятся своим стремлением к тотальному контролю. Однако здесь им придется сделать над собой некоторое усилие и довериться компетентности специалиста по коммуникациям — в той части, которая касается именно общения с сотрудниками, конечно же.

С чего начать

Представители отдела внутренних коммуникаций (а если такого отдела нет, то хотя бы HR) обычно неплохо представляют, какие сотрудники компании чем занимаются и как они это делают. Поэтому, если внятно описать вашему сообщнику общий спектр угроз, то скорее всего он сможет самостоятельно разработать стратегию коммуникации. То есть определить, каким рискам подвержены те или иные отделы и что именно говорить сотрудникам с той или иной специализацией в первую очередь.

Еще одна полезная штука, которую можно сделать совместно с вашим новым союзником, — это разработать простую и доходчивую инструкцию по информационной безопасности для новых сотрудников.

Конечно же, не следует ожидать мгновенного успеха. Вероятно, преодолеть фазу непонимания все равно будет непросто. Кстати, по этому поводу я очень рекомендую послушать весьма познавательный доклад руководителя отдела расследования киберпреступлений полиции Нью-Йорка о том, как они занимались повышением осведомленности, собственно, сотрудников полиции Нью-Йорка (спойлер: это было нелегко). Поделюсь здесь его советами по поводу того, как организовать процесс:

• Не усложняйте. В кампании, которую проводила полиция Нью-Йорка, упор делался на простоту и конкретику — и это сильно помогло.
• Дайте возможность действовать. Важно отладить в коллективе взаимодействие по вопросам безопасности и дать сотрудникам понимание того, какие действия им следует предпринимать в том или ином случае. Условно говоря, рядовой продажник должен знать, к кому идти с подозрительным письмом, чтобы тем самым помочь защитить компанию от взлома.
• Демонстрируйте результаты. Полезно показывать, как совместные действия приводят к позитивному результату. Например, можно время от времени делиться внутри компании информацией о том, какие атаки удалось предотвратить, и поощрять тех сотрудников, которые в этом помогли.

Опять же, хорошим стартом в этом процессе может стать серия интерактивных тренингов, которые помогут сотрудникам проникнуться значимостью кибербезопасности, начать прислушиваться к советам и рекомендациям, а также с большим пониманием относиться к соответствующим требованиям и ограничениям.

Для этого, опять же, можно использовать нашу образовательную платформу Kaspersky Automated Security Awareness Platform. Ваш новый союзник по коммуникации может стать администратором тренингов и с их помощью масштабировать осведомленность об угрозах и методах защиты от них на всю компанию.

13.06.2023