Письмо с подарочным HR-паком уже ждёт вас в почте. Если не нашли его, проверьте категорию «Промоакции» или «Спам».
Представьте, что ваша компания потеряла данные работников или — ещё хуже — клиентов, и они оказались в открытом доступе или в продаже в даркнете… Страшный сон, не так ли? Если он сбудется, то репутационный ущерб вам гарантирован. И этот инцидент привлечёт внимание не только СМИ. Сейчас штраф за утечку персональных данных в России составляет от 15 до 75 тысяч рублей, но наказание планируют ужесточить. Максимальная сумма штрафа может вырасти до более ощутимых 18 миллионов рублей, а в Центробанке предлагают пойти ещё дальше и ввести уголовную ответственность за утечки.
Конечно, порой компании становятся жертвами атак извне. Но в 78% случаев утечки происходят из-за сотрудников, которые не знают или сознательно игнорируют базовые правила кибербезопасности. В эпоху повсеместной цифровизации подобное поведение просто недопустимо. Но можно вовремя выявить и устранить риски — с помощью современных инструментов для оценки и обучения персонала. Более подробно об их правильном использовании рассказал Иван Дмитриев, директор по информационной безопасности IT-холдинга TalentTech.
Как организовать обучение информационной безопасности
Хорошо, когда у вас работают человек 10−20. Можно провести для всех индивидуальный инструктаж по вопросам кибербезопасности. Да и отслеживать нарушения правил при такой численности персонала не так уж сложно. А что если в компании значатся сотни, а то и тысячи сотрудников? А если они распределены по десяткам точек в разных городах России? А кто-то ещё и из дома работает? В таком случае за всеми не уследишь.
Гораздо эффективнее вместо постоянного контроля использовать инструменты оценки, обучения и вовлечения персонала. Этот алгоритм поможет повысить информационную безопасность в любой компании:
- Опишите, какими знаниями и навыками в сфере кибербезопасности должен обладать идеальный сотрудник. Но не увлекайтесь. Подумайте, действительно ли каждый в компании должен отличать фишинг от социальной инженерии. Может быть, достаточно осведомлённости о том, что надо перепроверять буковки в адресах сайтов, которые вы посещаете, не вводить пароли от почты в сторонних сервисах и не открывать письма о якобы выигранных миллионах?
- Выявите разрывы в компетенциях по кибербезопасности. Учитывая статистику, в идеале проверить знания и навыки каждого сотрудника. Оптимальный вариант здесь — адаптивные тесты. Они автоматически подстраивается под уровень отвечающего. Если он справляется с вопросом, то ему предлагают задание посложнее, а если даёт неправильный ответ — полегче. Проверка проходит вдвое быстрее, чем при обычном тестировании, и позволяет автоматически составлять индивидуальные планы развития сотрудников. У TalentTech уже есть такая система тестирования digital-навыков — вы тоже можете ей воспользоваться.
- Заполните пробелы. Чтобы прокачать сотрудников до описанного ранее идеального уровня, используйте различные каналы взаимодействия. Конечно, сразу после тестирования лучше всего подойдёт персональная программа обучения основам кибербезопасности. Но не стоит ограничиваться только этим вариантом. Организуйте митапы. Как показала практика, коллеги внимательно относятся к советам приглашённых экспертов. Также вы можете напоминать о важности тех или иных правил через корпоративную рассылку. А новичков можно погрузить в тему, например, с помощью квестов в приложении TalentTech Адаптация. Не зря ведь говорят, что информационная безопасность — забота каждого члена команды. Поэтому и улучшать её нужно сообща.
Как вовлечь сотрудников в обучение
Чтобы сотрудники сами захотели пройти и проверку, и обучение, используйте отсылки к реальной жизни и «страшилки», не связанные с работой.
Все боятся, что у них уведут профиль в Instagram, выгрузят из электронной почты копии паспорта или обнулят счёт в банке. Чтобы не допустить этого, на базовом уровне достаточно понимать, каким должен быть надёжный пароль, и включать везде двухфакторную аутентификацию, чтобы попасть в аккаунт можно было только после получения SMS-подтверждения.
Если сотрудник привыкнет следить за собственной кибербезопасностью и осознает важность простейших правил, то уже не станет чинить препятствия при их внедрении на корпоративном уровне.