Пять причин, по которым тренинги по кибербезопасности могут быть пустой тратой денег

9760

Если при подготовке к тренингу не ставить целью сформировать устойчивые привычки безопасного поведения, результат всегда останется непредсказуемым

Фото: pixabay.com

Сотрудники – самое слабое звено в системе кибербезопасности. Согласно статистике «Лаборатории Касперского», именно так считают более половины опрошенных в мире компаний. По прогнозам, рынок тренингов по информационной безопасности (ИБ) вырастет к 2027 году до $10 млрд. Однако немало руководителей скептически относятся к этому, считая, что люди всё равно будут совершать ошибки, вне зависимости от полученных знаний.

Более 20 лет опыта изучения киберугроз дают нам возможность сформулировать пять причин, по которым тренинги могут быть пустой тратой денег.

1. Неэффективный формат. Скучная лекция вряд ли поможет улучшить практические навыки. В онлайн-обучении же можно сочетать разные виды контента (видео, тексты, тесты) и добавлять игровые элементы, которые делают процесс занимательным. Кроме того, этот формат даёт возможность проходить подготовку в удобном графике и уделять больше внимания более сложным темам.

2. Обучение одним и тем же навыкам разных категорий сотрудников. То, каким именно навыкам нужно научить конкретного сотрудника, зависит от информации и систем, к которым он имеет дос­туп. Абсолютно каждому следует научиться распознавать вредоносные сайты, но тем сотрудникам, у которых есть доступ к конфиденциальной информации и системам, критически важным для бизнеса, следует научиться, к примеру, распознавать фишинговые письма.

3. Информационная перегрузка. Часто программа тренингов по информационной безопасности формируется так, чтобы вместить все важные темы. Однако это едва ли поможет поменять привычки сотрудников. Короткий урок, посвященный одной-единственной теме, с небольшим количеством важных выводов, поможет ученикам лучше запомнить, как они должны реагировать на конкретную угрозу.

4. Недостаточное закрепление материала. Тренинги по ИБ часто проводятся для несфокусированных на теме людей, поэтому особенно важно выделить ключевое сообщение. Например, чтобы подчеркнуть важность сильных паролей, можно напомнить об этом несколько раз: в ходе уроков про защиту конфиденциальной информации, социальные медиа и т. д.

5. Оторванность от реальной жизни. Стратегия передачи знаний не сработает, если конечной целью не является изменение поведения сотрудников. Большинство не имеют никаких базовых знаний и могут просто не понять, почему им, скажем, нужно осторожно относиться к письмам с вложениями. Чтобы преодолеть этот коммуникационный барьер, во время обучения следует имитировать реальные инциденты, например смоделировать получение соответствующего электронного письма.

Один из наших клиентов, казахстанская компания, специализирующаяся на производстве различных химических материалов, проводила традиционные офлайн-тренинги, которые не давали результата. Когда компания внедрила тренинг, содержащий игровой подход, практические занятия, имитацию атак, ситуация кардинально изменилась. Так, число кликов на симулированные фишинговые ссылки (входят в топ-3 атак, ведущих к потере данных) теперь составляет менее 2%.

Другой клиент, морская нефтегазовая компания «КазМунайТениз», провела тренинг с учётом специфики нефтяной отрасли. Демонстрация атак на реальных контроллерах позволила участникам наглядно убедиться в опасности киберинцидентов при реализации технологических процессов.

Ключевая цель тренинга по повышению осведомлённости о кибер­угрозах заключается в том, чтобы заложить основы безопасного поведения и сформировать устойчивые привычки. Если не ставить при его подготовке именно такие задачи, результат всегда останется непредсказуемым.

   Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter

Орфографическая ошибка в тексте:

Отмена Отправить