Тренинговые программы персонала по обнаружению и предотвращению киберугроз
Компания Rapid7, предлагающая услуги в сфере кибербезопасности, насчитывает тысячу сотрудников. Кэти Леду, старший аналитик компании, в интервью редактору журнала Chief Security Magazine рассказывает об интенсивных программах тренинга по киберугрозам, которые проводятся как с персоналом компании, так и в виде оказания услуг другим организациям.
Такие программы включают широкий круг тем и предметов: фишинг, безопасность мобильных гаджетов, правила пользования паролями и т.п. Задача: учить работников компании обнаруживать и информировать о возникающих угрозах и рисках. При этом нельзя забывать, что бизнес подразделения компании, их работники имеют ограниченное время для занятий с учетом прямых обязанностей. Поэтому тренинги необходимо подстраивать под рабочее расписание слушателей, а также учитывать особенности их служебных функций. К примеру, для каждого из профильных направлений бизнеса компании выделять наиболее характерные и опасные риски, выявлению которых уделять первоочередное внимание на занятиях.
Кэти подчеркивает, каждая организация может выбирать – проводить тренинги собственными силами либо привлекать внешних экспертов. Выбор зависит от размера компании, ресурсов, финансов. Автор публикации взвешивает за и против аутсорсинга.
Преимущества аутсорсинга:
· Он необходим, когда компании не хватает ресурсов и компетенций самой организовывать программы осведомления об угрозах и рисках
· Тренинговый проект не является разовым мероприятием. Программы должны иметь регулярный характер, систематически дополняться и перерабатываться с учетом постоянно возникающих новых видов киберугроз. Такая работа под силу специалистам.
· Внешний консультант может создать для компании программный продукт, позволяющий измерять и сравнивать результаты тренингов.
Преимущества собственной тренинговой программы:
Легче выстраивать методологию занятий, которая бы отвечала специфике бизнеса, условиям среды, в которой находится организация, а, кроме того, разрабатывать варианты учебы для каждого из направлений, отделов компании.
Кэти приводит пример из опыта работы Rapid7 с другими организациями: нередко уже в ходе занятий слушатели обнаруживают, что некоторые универсальные рекомендации если не противоречат, то, по меньшей мере, расходятся с внутренними политиками и инструкциями. В частности, обычно работникам предписывается немедленно удалять электронное послание при подозрении на фишинг. А консультанты Rapid7 рекомендуют тотчас информировать специалистов по кибербезопасности, которые и должны принимать решение, что делать с подозрительным письмом.
Автор считает идеальным вариантом сочетание внутренней учебы и аутсорсинга. Последний может предложить высокотехнологичную ролевую игру в режиме онлайн, которая, по мнению эксперта, наиболее эффективна для обучения персонала.
И, наконец, вопрос: как часто проводить такие тренинги. Ответ: как минимум, раз в год, но лучше чаще. Конечно, обучение персонала само по себе не гарантирует защиты от успешных хакерских атак. Но в сочетании с эффективными техническими средствами информационной защиты они позволяют существенно снизить риски.
|
вернуться назад
