На фоне непрекращающейся активности злоумышленников особенно остро встаёт вопрос о цифровой зрелости организации. Но этот параметр впрямую зависит от цифровой зрелости сотрудников, где цифровая зрелость сотрудников — это совокупность знаний, умений и навыков, которые позволяют сотруднику эффективно, безопасно и ответственно работать в цифровой среде. В центре цифровой зрелости организации — осведомлённость: постоянно поддерживаемая, развивающаяся, связанная с деловыми процессами и корпоративной культурой и впрямую зависящая от уровня подготовки и сознательности персонала.

Практика специалистов по информационной безопасности и различные исследования всё убедительнее показывают: человеческий фактор остаётся одним из ключевых источников инцидентов ИБ:

• согласно отчету Verizon 2024 Data Breach Investigations Report, 68% утечек связаны с человеческим фактором;
• 85% ИT-специалистов считают основной причиной киберугроз для инфраструктуры человеческий фактор.

Недостаточная цифровая зрелость сотрудников, незнание элементарных правил цифровой гигиены, доверчивость к фишинговым письмам — всё это делает даже самую технологически оснащённую компанию уязвимой.

В этой связи, последнее время все большее количество специалистов по ИБ серьезно задумывается о выстраивании системы мероприятий по повышению осведомленности, направленных на формирование цифровой зрелости сотрудников.

Разберём, как может выглядеть система мероприятий по повышению осведомленности в организации: 
 

Информирование: фундамент цифровой зрелости

Первым шагом в формировании цифровой зрелости становится регулярное информирование персонала о рисках и угрозах ИБ, их возможном влиянии на бизнес, на функционирование организации. Важно, чтобы формат подачи информации соответствовал деловой среде:

• One-page справки — короткие, сфокусированные на сути материалы, содержащие описание актуальной угрозы или кейса с инцидентом ИБ (не обязательно происшедшим в вашей организации), примеры и рекомендации по действиям.
• Pitch deck-презентации — краткие визуальные доклады для руководства и ключевых подразделений, нацеленные на быстрое понимание угроз ИБ и принятие решений (могут периодически проводится на оперативных совещаниях).

Такие материалы позволяют превратить абстрактные понятия ИБ в конкретные сценарии, понятные сотрудникам любого уровня.

Информационные рассылки: регулярность и заточенность под аудиторию

Информационные рассылки являются важным каналом распространения полезной информации, особенно если они:

• Адаптированы под целевую аудиторию: отдельные блоки для ИБ (ИТ)-специалистов и для широкого круга сотрудников.
• Включают в себя актуальные кейсы, советы по поведению (в т.ч. и с точки зрения бытовой цифровой гигиены — как обезопасить использование мессенджеров и т.п.), предупреждения о фишинговых атаках и изменениях в правилах ИБ организации.

Хорошо структурированная рассылка формирует привычку к постоянному вниманию к вопросам ИБ.

Изменения законодательства: вовлечение всех уровней

Один из важных аспектов цифровой зрелости — способность быстро адаптироваться к меняющейся нормативной среде.

Изменения в законодательстве по ИБ следует доносить:

• до руководства — с акцентом на стратегические и юридические риски;
• до всех сотрудников — в виде кратких пояснений, как изменения повлияют на их повседневную работу.

В целом, обзоры изменений законодательства периодически публикуются в специализированных изданиях по информационной безопасности. Например, в каждом номере журнала InformationSecurity их ведет независимый эксперт в ИБ, работающий на стороне заказчика. Подобные обзоры также выпускают ИБ-интеграторы. Однако, рекомендую учитывать специфику их деятельности и критически относиться к сделанным выводам.

Вы можете адаптировать материалы таких обзоров в виде кратких справок под специфику организации, формировать внутренние рассылки.

Обучающие курсы и тренинги: развитие умений и привычек

Обучение — это следующий уровень после информирования. Оно позволяет закрепить знания. Важно различать:

1. Внутренние курсы и тренинги — разработанные с учётом специфики организации, её рисков и инфраструктуры.

По опыту автора:

• На практике обычно применяется два формата курсов — общий (базовый) по ИБ, охватывающий основные принципы ИБ организации и назначаемый для прохождения всем сотрудникам, и специализированные, заточенные под специфику деятельности различных категорий работников (например, отдельно для ИБшников, для работников, обеспечивающих функционирование значимых объектов КИИ, и т.п.).
• Тренинги обычно предшествуют антифишинговым тренировкам (см. ниже). На них работникам рассказывается небольшая лекция про то, что такое фишинг, и далее сотрудники самостоятельно пытаются определить признаки фишинга на примере конкретных кейсов под руководством тренера — специалиста ИБ.
• Еще один формат тренингов — это штабные и командно-штабные учения (про них см. ниже).

2. Внешние курсы — позволяют получить независимую экспертизу и доступ к лучшим практикам рынка. Проводятся различными образовательными организациями (вузами, учебными центрами) по широкому спектру тематик в ИБ.

По опыту автора: не всегда проводящие обучение преподаватели обладают хорошей квалификаций. В этой связи рекомендуется изучать не только программу курса, но и «послужной список» преподавателя: это можно сделать либо по открытым источникам, либо запросив резюме преподавателя в образовательной организации.

Повышение квалификации ИБ-специалистов: поддержание актуальности знаний, умений и навыков

Цифровая зрелость организации невозможна без постоянного профессионального роста самой службы ИБ. Специалисты должны регулярно:

• проходить курсы повышения квалификации;
• участвовать в отраслевых мероприятиях, форумах, CTF-соревнованиях;
• обмениваться опытом через профессиональные сообщества.

Такой подход позволяет не только следить за трендами, но и быть готовыми к быстрому внедрению новых подходов в работу.

Митапы: неформальный обмен опытом

Организация митапов внутри организации способствует повышению вовлечённости и осознанности. На митапах:

• обсуждают интересные и актуальные темы;
• делятся кейсами и «граблями» из практики;
• обсуждают нововведения и меры защиты;
• формируют среду доверия и открытого общения по теме ИБ.

По опыту автора:

• такой формат особенно эффективен для формирования доверительных отношений и нравится сотрудникам;
• эффективным является проведение митапов с периодичностью раз в месяц;
• на митапы можно приглашать внешних экспертов (коллег из других компаний);
• мероприятие может проводится онлайн (в формате вкс).

Киберучения: тренировка навыков цифровой зрелости

Форматы киберучений разнообразны, по направленности их можно классифицировать на 2 вида:

1.Киберучения, нацеленные на формирование цифровой зрелость широкого круга сотрудников:

• Штабные учения — моделируют инциденты и отрабатывают действия работников по их нейтрализации.
• Командно-штабные учения — по сути, то же, что и штабные учения, но работа осуществляется в командах (как правило, специалистов разных подразделений).
• Антифишинговые тренировки — регулярные мероприятий по выявлению устойчивости к фишингу, проводимые для работников всех подразделений организации, за исключением ИБ специалистов.

2.Киберучения, направленные на повышение квалификации ИБ специалистов:

• Киберполигоны — отработка способов реагирования на компьютерные атаки в виртуальной инфраструктуре — цифровом двойнике информационной инфраструктуры организации (сегмента информационной инфраструктуры).
• Red Teaming — проверка способности ИБ подразделения организации обнаружить и отразить целевую атаку.

Такие тренировки позволяют не просто теоретически понимать угрозы, но и эффективно действовать в стрессовых условиях.

Подробнее об организации киберучений читайте в следующей статье автора.