19.08.2011

Как оценить программу повышения осведомленности?

К теме повышения осведомленности я обращался не раз. К теме оценки эффективности и измерению ИБ тоже. И вот решил я объединить их, тем более, что в курсе по измерению ИБ я эту тему освещаю. Как измерить эффективность программы повышения осведомленности? Очевидно, что не по посещаемости и не по отношению посетивших и не посетивших тренинги по безопасности. Ведь задача таких курсов (очных или онлайн) - не галочку поставить, а научить пользователей правильно действовать и реагировать на те или иные события ИБ.

Я могу выделить следующие метрики для оценки программы повышения осведомленности:
  • Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)?
  • Сколько инцидентов ИБ связано с человеческим фактором?
  • Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ - аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)?
  • Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?
  • Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)?
  • Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)?
  • Сколько пользователей открывают письмо от незнакомца?
  • Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).
  • Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности.
  • Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности? В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная - никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.

10 коммент.:

Евгений Родыгин комментирует...

Алексей - критерии правильные.
Но первым критерием я бы поставил два вопроса:
1 - какая информация считается конфиденциальной?
2 - от кого/чего компания защищает эту конфиденциальную информацию?

Алексей Волков комментирует...

Евгению: это не каждый ИБ-шник может сказать, а ты - пользователей просишь :))

На самом деле новизны нет. Любая нормативка, которая что-то предписывает должностным лицам, должна быть соответствующим образом до этих лиц доведена, понята и регулярно им напоминаема. Приведенный перечень вопросов - это в большинстве своем список для анкеты - опросника, который сами пользователи должны заполнить. Как мотивировать их это сделать - другой вопрос.

Алексею: по поводу "нуля" и "фантастики" - отнюдь ;) Просто это не разглашается, а проблемы решаются в досудебном порядке.

Michael комментирует...

Спасибо! Никак сам не собрался проделать сей титатический труд.

1-ый пункт можно развить в виде упомянутых опросников и получить то, что Евгений упомянул как необходимые пп. 1-2.

Хотя ИМХО, в такой постановке на них сотрудник не ответит - надо будет упростить в опроснике.

Евгений Родыгин комментирует...

А.Волкову
Ну если сотрудник не понимает что конфиденциально то дальше о чем говорить !

Александр Дорофеев комментирует...

"Сколько пользователей открывают письмо от незнакомца?" - опасный критерий.

Запретив открывать такие письма, можно отдел продаж без работы оставить.

Алексей Лукацкий комментирует...

Евгению: Твои вопросы не измеримы в явной форме. А речь идет именно о количественном измерении. Твои вопросы более философского склада ;-)

Александру: Ну решать надо не "в лоб", а дифференцировано.

Евгений Родыгин комментирует...

Любит руководство такие вопросы:
- так, кто Вы такой?
- инженер отдела разработок Иванов
- чем занимаетесь?
- ну.. э.. разрабатываю это.. ну..
- конкретно сейчас что делаете?
- думаю как бы это...
- какая информация у нас в компании считается конфиденциальной?
- Ааа.а.а..аааааа.а.аааа не убивайте дяденька...

Nikita Rrrr комментирует...

Алексей,
Ты размышлял о том, как часто и каким образом делать эти замеры?

Алексей Лукацкий комментирует...

Чаще, чем раз в квартал точно не имеет смысла. Имхо, достаточно два раз в год.

tiger-66 комментирует...

>Алексею: по поводу "нуля" и "фантастики" - отнюдь ;)

У вас люди именно выговоры получали? Сколько человек? )
Или их просто пожурили.. или указали, что мол нехорошо?
Я скорее с Алексеем Л. соглашусь про фантастику.