Главная   Аналитика   Безопасность    Наука и технологии   Проекты    Soft   Hard   О том, о сём    Контакты

Наибольшая угроза системе корпоративной безопасности – сами сотрудники

1.04.2019

Вячеслав Борилин, руководитель программы Kaspersky Cubersecurity Awareness «Лаборатории Касперского»

Первоапрельское мероприятие «Лаборатории Касперского» было посвящено представлению нового продукта – автоматизированной платформы для освоения навыков кибербезопасности. Это Kaspersky Automated Security Awareness Platform (ASAP). Платформа – это новый подход к организации тренингов по защите от киберугроз. Kaspersky ASAP – онлайн-инструмент, позволяющий сформировать и закрепить у сотрудников навыки безопасной работы в цифровой среде.

Вячеслав Борилин, руководитель программы Kaspersky Cubersecurity Awareness «Лаборатории Касперского» рассказал, что по данным «Лаборатории» 52% компаний по всему миру считают наибольшей угрозой системе корпоративной безопасности самих сотрудников. Из-за собственных ошибок, невнимательности и низкой цифровой грамотности сотрудники проходят по фишинговым ссылкам, используют небезопасные корпоративные пароли, самостоятельно пытаются бороться с вирусами-шифровальщиками и так далее. Исследование «Лаборатории Касперского» выявило, что ошибка одного сотрудника даже в секторе малого или среднего бизнеса, приводящая к успешной атаке злоумышленников может принести ущерб порядка 4,3 миллиона рублей. Причем речь о компаниях СМБ-сегмента.

Не удивительно, что компании вкладывают немалые средства в обучение персонала. Рынок ИБ-тренингов растет на 50% в год, и продолжит расти в ближайшие несколько лет. По прогнозам аналитиков, к 2027 году объем этого рынка может достичь 10 миллиардов долларов.

Тем не менее, по словам Вячеслава Борилина, сегодняшние тренинги по информационной безопасности, в большинстве своем, представляют собой скучные, унылые мероприятия, приносящие мало пользы. Как правило, на тренингах делается акцент на запреты, а не на то, как надо поступать в той или иной критической ситуации. Не мудрено, что пользователи видят в ограничениях ИБ помеху, это вызывает у них естественный протест и желание эти ограничения обойти. Ситуацию усложняет и то, что функции тренера порой исполняют люди, не владеющие темой, да и у слушателей курсов нет мотивации к обучению, им скучно и не интересно.

В платформе Kaspersky ASAP реализован инновационный подход к организации тренингов по защите от киберугроз. Хотя, новым является хорошо забытое старое: повторение пройденного материала до тех пор, пока он не усвоится. Вячеслав Борилин пояснил, что продукт построен с учетом особенностей человеческой памяти. Во время каждого урока, который длится не более 10 минут, несколько раз делается акцент на ключевых сообщениях. Урок включает в себя интерактивный модуль и видеоролики, а также упражнения на закрепление и проверку (тест на имитацию фишинговой атаки). Упражнения на закрепление представляют собой наглядные задания, применимые к повседневной работе сотрудника. Отработка навыков (всего их более 350) основана на принципе «от простого к сложному» - то есть пока проверка не будет пройдена, следующий этап тренинга не будет доступен. Такая структура позволяет наиболее эффективно запоминать и использовать полученные знания.

Одной из проблем обычных тренингов является трудность управления обучением: разделить учащихся на группы согласно цели обучения. Решение Kaspersky ASAP позволяет оценить текущие знания сотрудника в сфере кибербезопасности, определить в соответствии с этим набор навыков, необходимых именно ему в зависимости от его рабочих обязанностей и профиля риска, выстроить график прохождения программы. Например, рядовым сотрудникам необходимы лишь базовые умения, в то время как старшему менеджеру для работы с конфиденциальной информацией нужно знать, как обезопасить данные целого департамента.

Автоматизированное управление в Kaspersky ASAP помогает компаниям контролировать процесс на всех этапах: от постановки цели до оценки эффективности. Благодаря удобной панели управления и подробным отчётам руководство компании всегда будет иметь информацию для оценки прогресса.

Вячеслав Борилин подчеркнул: «Главная цель таких тренингов заключается не столько в том, чтобы просто повысить осведомленность сотрудников об онлайн-опасностях, сколько в том, чтобы развить у них навыки безопасного поведения и сформировать устойчивые привычки. Вариантов действий у киберпреступников масса, и предусмотреть в инструкции все сценарии атак просто невозможно. Наша новая платформа – это эффективный онлайн-инструмент, который учит сотрудников принимать более безопасные решения в любой, даже неизвестной заранее, ситуации. Кроме того, он лёгок в настройке и управлении, что повышает удобство и эффективность работы менеджера, ответственного за программу обучения кибербезопасности».

Елена Шашенкова

Тема:Безопасность

© 2014. ИТ-Текст. Все права защищены.