К теме повышения осведомленности я обращался не раз. К теме оценки эффективности и измерению ИБ тоже. И вот решил я объединить их, тем более, что в курсе по измерению ИБ я эту тему освещаю. Как измерить эффективность программы повышения осведомленности? Очевидно, что не по посещаемости и не по отношению посетивших и не посетивших тренинги по безопасности. Ведь задача таких курсов (очных или онлайн) - не галочку поставить, а научить пользователей правильно действовать и реагировать на те или иные события ИБ.
Я могу выделить следующие метрики для оценки программы повышения осведомленности:
Я могу выделить следующие метрики для оценки программы повышения осведомленности:
- Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)?
- Сколько инцидентов ИБ связано с человеческим фактором?
- Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ - аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)?
- Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?
- Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)?
- Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)?
- Сколько пользователей открывают письмо от незнакомца?
- Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).
- Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности.
- Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности? В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная - никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.
Алексей - критерии правильные.
ОтветитьУдалитьНо первым критерием я бы поставил два вопроса:
1 - какая информация считается конфиденциальной?
2 - от кого/чего компания защищает эту конфиденциальную информацию?
Евгению: это не каждый ИБ-шник может сказать, а ты - пользователей просишь :))
ОтветитьУдалитьНа самом деле новизны нет. Любая нормативка, которая что-то предписывает должностным лицам, должна быть соответствующим образом до этих лиц доведена, понята и регулярно им напоминаема. Приведенный перечень вопросов - это в большинстве своем список для анкеты - опросника, который сами пользователи должны заполнить. Как мотивировать их это сделать - другой вопрос.
Алексею: по поводу "нуля" и "фантастики" - отнюдь ;) Просто это не разглашается, а проблемы решаются в досудебном порядке.
Спасибо! Никак сам не собрался проделать сей титатический труд.
ОтветитьУдалить1-ый пункт можно развить в виде упомянутых опросников и получить то, что Евгений упомянул как необходимые пп. 1-2.
Хотя ИМХО, в такой постановке на них сотрудник не ответит - надо будет упростить в опроснике.
А.Волкову
ОтветитьУдалитьНу если сотрудник не понимает что конфиденциально то дальше о чем говорить !
"Сколько пользователей открывают письмо от незнакомца?" - опасный критерий.
ОтветитьУдалитьЗапретив открывать такие письма, можно отдел продаж без работы оставить.
Евгению: Твои вопросы не измеримы в явной форме. А речь идет именно о количественном измерении. Твои вопросы более философского склада ;-)
ОтветитьУдалитьАлександру: Ну решать надо не "в лоб", а дифференцировано.
Любит руководство такие вопросы:
ОтветитьУдалить- так, кто Вы такой?
- инженер отдела разработок Иванов
- чем занимаетесь?
- ну.. э.. разрабатываю это.. ну..
- конкретно сейчас что делаете?
- думаю как бы это...
- какая информация у нас в компании считается конфиденциальной?
- Ааа.а.а..аааааа.а.аааа не убивайте дяденька...
Алексей,
ОтветитьУдалитьТы размышлял о том, как часто и каким образом делать эти замеры?
Чаще, чем раз в квартал точно не имеет смысла. Имхо, достаточно два раз в год.
ОтветитьУдалить>Алексею: по поводу "нуля" и "фантастики" - отнюдь ;)
ОтветитьУдалитьУ вас люди именно выговоры получали? Сколько человек? )
Или их просто пожурили.. или указали, что мол нехорошо?
Я скорее с Алексеем Л. соглашусь про фантастику.