Security awareness: осведомлен — значит защищен
Эпидемия программ-вымогателей потрясла нас этим летом. Вспышки WannaCry и Petya прокатились по всему миру и затронули сотни тысяч компьютеров. Бизнесу нужно делать выводы и внедрять современные практики информационной безопасности.
Аналитический центр компании Falcongaze рассказывает о программе security awareness и ее применении.
Все чаще компании и государственные учреждения внедряют программы «повышения осведомленности об информационной безопасности» (security awareness). И это становится обязательной практикой. Так, в начале августа Иллинойс стал 15-м штатом, требующим обучения государственных служащих основам кибербезопасности — все сотрудники исполнительной власти штата Иллинойс обязаны пройти ежегодную тренировку.
Давайте разберемся почему программы security awareness становятся столь популярны как в государственных, так и в коммерческих организациях.
Сотрудники — ваша первая линия обороны в борьбе с вымогателями
Масштабные эпидемии шифровальщиков принесли серьезный урон. Так, ущерб от WannaCry оценили в $1 млрд. Преступники достигли беспрецедентных успехов при взломе корпоративных сетей. Для предприятий, которые становятся жертвами вымогательских атак, последствия разрушительны — шифровальщик при попадании в сеть может буквально парализовать работу организации.
Меры по предотвращению и защите от таких атак жизненно необходимы для бизнеса. Однако даже те, кто обновили ПО и антивирус, могут стать жертвой вымогателя, ведь у злоумышленников всегда остается козырь в кармане — фишинг. Люди открывают вложения в мошеннических письмах и заражают корпоративный компьютер вредоносной программой, в том числе и программой-вымогателем. Фишинг опасен тем, что использует социальную инженерию, и чтобы спастись от него, нужно обучить пользователей правильному поведению. Эксперты утверждают, что осторожность в интернете, вероятно, предотвратило бы такое массовое заражение.
Для успешной программы повышения осведомленности понадобится совместное участие специалистов по кибербезопаности и корпоративной коммуникации.
Важно не ограничивается обучением в формате лекций и презентаций. Уроки усваиваются, когда запоминаешь на собственных ошибках. Для этого разработаны симуляторы фишинга, о которых мы писали не так давно в материале о безопасности электронной почты.
Кроме того, важно вовлечь в программу повышения осведомленности сам персонал. Помочь в это может система поощрений. Такая тактика, построенная на игровых принципах, популярна в бизнесе. Структура вознаграждений стимулирует людей вести себя правильно. Скажем, если человек нашел тематическую публикацию или обнаружил фишинговае сообщение, он получает баллы. Во что они будут конвертироваться, решать руководству компании.
Эффективная программа повышения осведомленности об информационной безопасности с симуляцией и игровыми подходами вовлекает сотрудников и мотивирует использовать полученные знания в повседневной работе.