14.03.2018

Реальные примеры повышения осведомленности по ИБ и киберучения для руководства

Начну короткие обзоры прошедшего в Москве "Код ИБ. Профи", где мне довелось быть куратором программы, которая была посвящена различным аспектам управления информационной безопасности. Одним из них является повышение осведомленности и обучение сотрудников разных уровней - от рядовых работников до топ-менеджмента. Этой теме изначально было посвящено 3 доклада, но один в последний момент не случился по уважительной причине. Поэтому расскажу только о двух из них.

Первый был сделан Кириллом Мартыненко из Сбербанка, который рассказывал об эволюции технологий повышения осведомленности, обучения сотрудников и формирования у них культуры ИБ. Учитывая практическую направленность мастер-класса и масштаб Сбербанка рассказ Кирилла оказался очень познавательным. Особенно учитывая манеру подачи материала, который описывал типовые подходы по "окультуриванию" с его плюсами и минусами.

Как и многие организации, Сбербанк тоже начинал с проведения различных тестов, этакого анахронизма в области обучения, который до сих пор активно реализуется многими компаниями ввиду его простоты, но полнейшей бесполезности для людей, не вовлеченных в ежедневный процесс обеспечения ИБ. Для неспециалистов все эти тесты - бесполезная трата времени, так как по их окончании мало что запоминается и тем более они не дают никаких навыков, которые и должны стать целью любой программы формирования культуры ИБ.


Как и тост, который должен быть коротким как выстрел, так и информация, доносимая до работников, должна быть короткой, четкой и понятной. И так как в мозг работников надо внедряться везде, где только можно (а не только через скринсейверы на компьютере), то для этой цели замечательно подходят плакаты, которые развешиваются в совершенно различных местах - в столовой, у мест печати, у лифтов и т.п.


Кирилл Мартыненко показал несколько примеров таких плакатов и рассказал о том, с какими особенностями их разработки и размещения пришлось столкнуться в Сбербанке.


Помимо пассивной информации, необходимо также регулярно проверять навыки работников по противостоянию постоянно развивающимся методам злоумышленникам. Кирилл рассказал о нескольких кампаниях, которые были запущены в масштабах Сбербанка для проверки того, насколько работают плакаты, тесты, скринсейверы и другие способы донесения правил ИБ до всех работников самого крупного банка страны. Например, интересная обманка в виде якобы созданной авиакомпании "Sberbank Airlines", которая предлагала билеты в разные части света "со скидкой". Учитывая различные сферы деятельности Сбера, такие рекламные сообщения, рассылаемые по электронной почте, выглядели вполне правдоподобно.


Аналогичную цель преследовала фишинговая кампания, посвященная "черной пятнице", эксплуатирующей желание людей получить что-то со скидкой и поучаствовать в благотворительности.


Но технологии погружения в мозг человека не стоят на месте и поэтому Сбербанк стал разрабатывать и внедрять различные игры, симуляции, заставки и ролики, созданные по технологии Flash. Одной из таких разработок стала интерактивная игра "Агент кибербезопасности", которая в игровой форме позволяет сотрудникам не только ознакомиться с нужными правилами ИБ, но и проверить их в виртуальном мире, повышая запоминаемость и вовлеченность.


Апофеозом мастер-класса, который проводил Кирилл Мартыненко, стал рассказ и показ применения виртуальной реальности в вопросах повышения осведомленности ИБ.


Кирилл продемонстрировал два VR-проекта, которые были уже реализованы в "зеленом банке". Первый - это обычная стрелялка, в качестве мишеней в которой выбраны различные угрозы ИБ, которые надо уничтожать с помощью виртуального оружия.


Второй проект - это виртуальное посещение Центра киберзащиты Сбербанка (SOC). На прошлогодней выставке RSA в Сан-Франциско было представлено немало проектов применения VR в ИБ (у нас в Cisco они тоже применяются) и вот теперь они доступны и в России. Да, понятно, что не все могут позволить себе внедрять такие инновации для формирования культуры ИБ, но сама демонстрация таких проектов была очень и очень интересной. 


В своем мастер-классе уже я продолжил тему геймификации в ИБ, но уже немного с другой стороны - я говорил о том, как проводить кибер-учения по кибербезопасности для топ-менеджмента руководства предприятия. Так случилось, что я до сих не могу забыть, как Рустэм Хайретдинов сказал год назад, что из меня хреновый докладчик. Запала в душу мне его критика и я стал погружаться в новые методы донесения информации до людей, отходя от лекционного монолога в сторону диалога, вовлечения участников в дискуссию, геймификации и т.п. А тут еще стали приглашать для выступления перед высокими начальниками различных компаний, которым бессмысленно рассказывать презентации, столь привычные для обычных ИБшников.


Так родилась тема проведения киберучений для топ-менеджмента, которые, безусловно, требуют совершенно иной подготовки, но и эффект от них будет коренным образом отличаться от пассивных и односторонних презентаций, которые люди слушают, но не редко запоминают, что там говорилось. Следая правилу, что из прочитанного усваивается только 10%, из услышанного - только 20%, из увиденного - 30%, из проработанного в упражнениях - 90%, именно вовлечение позволяет донести нужную информацию до столь непростой аудитории, такой как руководители разных мастей - CEO, CFO, CLO, COO и др.

Сложно пересказывать самого себя, поэтому выложу несколько слайдов с мастер-класса, который я читал на "Код ИБ. Профи". Правда, изначальный материал у меня получился не на час, который был выделен на конференции, а часа на 3-4 (а то и больше). Но пришлось ужиматься :-) 


Третий доклад по геймификации в ИБ должен был делать Вячеслав Борилин из Лаборатории Касперского, но по уважительной причине он не смог быть на мероприятии. Вячеслав должен быть подвести базу под тему геймификации и наши с Кириллом мастер-классы и на различных примерах показать, что лучше работает в разных форматах обучения – очном, онлайн, смешанном формате; в том числе и для разных аудиторий - рядовые сотрудники, руководители, топ-менеджмент. Увы, не получилось. Но Вячеслав обещал записать отдельный вебинар для участников "Код ИБ. Профи" - он будет выложен, как и все материалы, на сайте конференции.

ЗЫ. Участники "Кода ИБ. Профи" могут получить доступ к презентациями и видео всех мастер-классов в рамках своего приобретенного пакета. Для тех, кто не смог поучаствовать очно, но хотел бы ознакомиться со всеми материалами, есть возможность приобрести пакет "КОНТЕНТ", который не заменит личного присутствия и возможности задавать вопросы, но все-таки позволит погрузиться в практику управления ИБ от одних из лучших спикеров России по ИБ, которые преимущественно являются и практикующими специалистами в области кибербезопасности.

2 коммент.:

Сергей Борисов комментирует...

По поводу сценариев не совсем понятно. Вот собрали мы например 40 человек. Рассказали им ситуацию, говорим - что будете делать? Допустим в этой компании оказалось 2-3 активиста, которые все время будут говорить, а остальные будут молчать. Как с этим бороться?

И ещё такая проблема - стали сотрудники высказывать идеи и предложения по ситуации. Что с этим делать записывать? оценивать? как оценить? как понять что это правильное решение? нужно ли понимать что были приняты правильные решения или достаточно самого процесса моделирования

Алексей Лукацкий комментирует...

Вот не было тебя на мероприятии :-) Задача фасилитатора учений как раз и разруливать такие ситуации. И 40 человек не участвуют в одной группе - обычно их разбивают на команды. Вбросы, раскрутка как раз и нужны, чтобы растормошить участников. Ну и правильно выбранное задание позволяет вовлечь аудиторию, которая "проживает" кейс.

Задача фасилитатора и помощников записывать абсолютно ВСЕ, что предлагается. Потом осуществляется разбор полетов и уже со специалистами оценивается применимость тех илих идей.