Поделиться
ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%
Формирование культуры кибергигиены помогает сократить число ИБ-ошибок со стороны персонала в среднем на 70% за год, выяснили эксперты сервиса повышения киберграмотности сотрудников Security Awareness ГК «Солар». Это критически важно для общего снижения риска взломов и утечек данных, поэтому компания Secure-T (входит в ГК «Солар») разработала первую в РФ комплексную стратегию и фреймворк по выстраиванию корпоративной культуры кибербезопасности – они бесплатно доступны на сайте сервиса. Документы помогут организациям сформировать осознанное и ответственное поведение сотрудников в цифровой среде.
Низкая культура информационной безопасности становится причиной большей части киберинцидентов, отмечают аналитики «Солара». Например, более чем в 50% проектов по внутреннему тестированию на проникновение специалистам удалось достичь поставленных целей из-за уязвимых паролей в организациях. Далее более чем в 20% случаев слабые и повторяющиеся пароли позволяли повышать привилегии в инфраструктуре. Также в подавляющем большинстве случаев сотрудники компаний оказывались уязвимы для фишинга, что подтвердили проводимые экспертами «Солара» социотехнические исследования.
Развитие киберграмотности сотрудников – один из базовых механизмов защиты от взломов по вине человеческого фактора. Однако далеко не в каждой компании знают, как эффективно организовать процесс обучения персонала, либо не располагают ресурсами для проработки комплексного подхода к Security Awareness.
Стратегия от Secure-T создана с целью помочь организациям сформировать у себя полноценную киберкультуру. Документ отвечает на самые популярные вопросы корпоративной кибербезопасности: какие участки периметра могут стать источником угрозы, как подготовить сотрудников к возможным действиям злоумышленников, какими мерами дополнить технические средства защиты и др.
Руководство включает в себя: общий план реализации стратегии повышения киберкультуры в компании – со сроками, ключевыми принципами и приоритетами; описание комплекса мероприятий по обучению правилам кибергигиены разных групп персонала – от обычных сотрудников до ИТ/ИБ-специалистов и топ-менеджеров; пошаговый план обучения персонала; метрики для оценки уровня подготовки и вовлеченности сотрудников в сферу киберкультуры; возможные риски и вызовы в ходе реализации стратегии; критерии успеха формирования киберкультуры.
Стратегию можно применять не только к проекту повышения кибеграмотности у персонала, но и к процессам обработки и хранения данных, работе с удаленными сотрудниками и использованию информационных систем. Документ представлен в открытом доступе и будет обновляться в соответствии с динамикой киберугроз.
В дополнение Secure-T подготовил и опубликовал практический фреймворк по повышению уровня киберграмотности рядовых офисных сотрудников. Он содержит еще больше полезной информации: какие приказы и документы необходимы для старта проекта (готовые шаблоны прилагаются), полный перечень тем для уроков и вебинаров, подробный план обучения и метрики эффективности. Фреймворки для обучения топ-менеджеров, технических специалистов и сотрудников ИБ-отдела находятся в разработке и также появятся на сайте.
«В последние пару лет компании осознали необходимость обучения сотрудников основам информационной гигиены и безопасности, однако данный процесс был абсолютно не структурирован. Возникало множество вопросов: как наиболее эффективно организовать обучение, какие метрики отслеживать, как оценить результативность программ и действительно ли они помогают? Мы стали изучать международные стандарты и пришли к выводу, что никто не собирал структуру воедино, поэтому решили взять эту задачу на себя и выпустили первую полноценную стратегию по киберкультуре для коммерческих организаций. Ее мы, естественно, сделали публичной и призываем комьюнити включаться в процесс ее развития — общее дело делаем. Также мы готовим набор фреймворков – практических пошаговых руководств по выстраиванию каждого из описанных в стратегии процессов. Сейчас мы выпустили первый – для обучения рядовых сотрудников, – но будут и другие», — отметил генеральный директор Secure-T Харитон Никишкин.
Поделиться
Короткая ссылка
