Что это?

Повышение осведомлённости в вопросах информационной безопасности - обязательная в настоящее время активность в компаниях, стремящихся уменьшить вероятность компрометации информационных систем.

Пример социальной инженерии
Пример социальной инженерии

В данной статье попробуем разобраться как должен выглядеть курс по повышению осведомлённости работников.


Базовые особенности курса

Описание курса

Описание курса должно быть ярким. Титульная страница не должна показаться работникам как что-то скучное и вечно обязательное от службы безопасности. Такие курсы работники прокликивают даже не вникая в суть. Наоборот, лучше сразу добавить интересных фраз в описание каждого урока, например:

Урок 4. «Безопасное использование мобильных устройств»: личное или корпоративное устройство имеет доступ к конфиденциальной информации - покажем как с ним обращаться правильно!

Минимальный набор уроков

Каждая компания выбирает свой набор уроков, но обычно в перечень включены следующие:

  1. Парольная защита

  2. Электронная почта

  3. Фишинг

  4. Социальная инженерия

  5. Мобильные устройства

  6. Активы организации

  7. Средства криптографической защиты информации

Важно, каждый урок должен выбираться исходя из актуальных угроз для Вашей организации, например, сотовым операторам актуален урок по противодействию мошенничеству. Такой урок должен раскрывать опасность попадания работников в сговор со злоумышленниками, которых они даже никогда не встретят в живую, а вся ответственность за содеянное ляжет на работников.

Особенности содержимого уроков

Краткость - сестра таланта

Как показывает практика, лучше запоминается та информация, что содержит четко выделеную информацию, без лишних рассуждений и дополнительной несущественной информации:

Пример простого совета
Пример простого совета

Как видим совсем немного информации и основная суть изложена в виде анимации под текстом.

Монотонное чтение текста приводит к желанию просто прокликать урок. Дополнительную информацию лучше преподносить голосовой озвучкой, об этом будет дальше.

Лучше, если каждый урок будет содержать персонажа, который будет попадать во все плохие сценарии, о которых повествуется в учебном курсе. Так, учащиеся (Ваши работники) будут применять ситуации на себе:

Пример персонажа
Пример персонажа

Как видим из слайда, небольшие вставки инфографики полезны, они показывают как дешево стоят на черном рынке информация и вредоносные услуги.

Основные разделы урока

Важно выделять в каждом уроке следующие блоки:

  1. Кто является злоумышленником.

  2. Какая у него цель.

  3. Основные способы атаки/совершения неправомерных действий.

  4. Какие ошибки может допустить работник.

  5. Как защититься/не допустить ошибки.

  6. Что делать если попался на крючок.

Это позволит не потерять нить повествования и связать каждый раздел урока между собой, с работником и злоумышленником. 

Пример возможного слайда с рекомендациями в случае обнаружения факта социальной инженерии:

Пример рекомендации
Пример рекомендации

Иные лучшие практики подачи информации

Обьём информации на слайдах

Не стоит нагружать пользователей всеми возможными вариантами действий, достаточно дать работникам возможность запомнить один адрес электронной почты либо номер телефона, по которым они могут передать информацию о подозрительном событии представителям безопасности. Например, везде заканчивать рекомендациями вида:

напишите на ib@доменкомпании.ru

Если много раз упоминать такой адрес, то в реальной ситуации у работника машинально сработает заложенный план действий - немедленно известить службу безопасности.

Лучше службу безопасности будут заваливать подозрительными событиями, чем однажды кто-то кто не прошел курс не уведомит о реальной атаке.

Не забывайте поощрять работников за ответственность, за своевременное уведомление пусть и по пустяковому уведомлению.

Голосовое сопровождение

Для того, чтобы информация воспринималась максимально эффективно, в обязательном порядке необходима озвучка в курсе. Это позволяет:

  • Избавиться от множества информации на слайдах, оставляя в тексте только самую необходимую информацию.

  • Выделять интонацией важные места.

  • Сделать курс дружелюбнее, подобная подача информации не воспринимается как обычная обязаловка от службы безопасности.

  • Работнику не придется бесконечное количество раз нажимать кнопку «далее».

Подача информации на слайдах должна быть синхронизирована с голосом диктора, не стоит отображать весь текст слайда сразу, лучше если информация на экране будет появляться одновременно с закадровой речью. 

Такая профессиональная озвучка будет стоить совсем не дорого, буквально несколько тысяч рублей, однако оно того стоит!

Заключительные слайды

В конце каждого урока важно ещё раз обозначить, что было изучено в таком уроке:

Пример заключения
Пример заключения

Это позволит пользователю быстро мысленно вернуться к материалам урока и освежить информацию в быстрой памяти.

Отдельно хотелось бы отметить важность анимации. Если просто показывать процесс атаки или наоборот выполнения предупреждающих действий скриншотами либо фотографиям, пользователь не поймёт как происходит атака и что ему делать, лучше если урок будет содержать анимацию действий. Например, ниже приведён пример анимации того, как пользователь может пропасть в настройки безопасности приложения и на что ему обращать внимание, какие настройки переключить:

Пример настройки приложений
Пример настройки приложений
Пример фишинга в SMS
Пример фишинга в SMS

Да, какими-то настройками безопасности того же браузера Вы, вероятно, управляете, но почему бы не рассказать о них и не показать как их включить?

Если пользователь знает как их включить, вероятно, что он выполнит эти настройки и на своих личных устройствах, а это тоже не мало важный фактор защиты корпоративных данных, обрабатываемых на личных устройствах работников. Ваши работники так же оценят вашу заботу и о личных данных, и устройствах работников, а не только лишь о корпоративных.

Важно показать не то какие хакеры опасные и что они в капюшонах в темной комнате, а то как они действуют и как защищаться. Вы хоть раз видели настоящего хакера? Он точно такой страшный и сидит вечно в темноте?

Тестирование знаний

Ну куда же без него?

Говорят, что в тестах должны быть вопросы только по тому материалу, о котором идет речь. Я не согласен, так как я бы малость отступал в вопросе от темы, чтобы пользователю все же приходилось подумать над кейсом в вопросе, а не просто вспомнить то, о чем было изучено на уроке. Однако, скорее это вредный совет.

Старайтесь все же в вопросах старайтесь разбирать те атаки или способы защиты, что были в уроке. Не стоит задавать вопросы, в которых нужно вспомнить определение какого-то термина. Лучше пользователь пусть порассуждает, например:

Пример вопроса
Пример вопроса

И в заключении

Если понравилась статья, попробуйте пройти все уроки: курс.

Комментарии (0)