Проведение любого тренинга для компании – расход. И не только денег на сам тренинг, но и времени сотрудников, его организаторов, выступающих специалистов. Тренинги по безопасности никто не любит: надо слушать нудный текст о том, как правильно организовывать работу с точки зрения тех, кто в твоей работе ничего не понимает. А потом еще дадут непонятную бумагу подписать о том, что-де пароли надо придумывать сложные, флешки не разбрасывать и все платежки с опечатками непременно скармливать шредеру.
Вообще, люди не любят чтобы их учили как жить: диетологи выпустили миллионы книг о здоровом питании, полицейские выбились из сил, рассказывая о пользе правил дорожного движения, а результат известен. Люди любят нарушать правила и нарушать ТБ, если прямо сейчас это сэкономит силы, а серьезные последствия нарушения мало вероятны. Так устроен наш мозг: мы всегда выбираем сиюминутную выгоду вместо долгосрочной, иначе все бы питались сбалансировано, ездили на малолитражках и не играли в азартные игры.
Да и с формальной точки зрения, если измерить эффективность тренинга количественно, то усилия выглядят тщетными. 15-20% сотрудников не придет по той или иной причине: любой руководитель знает, что из 10 один всегда в отпуске, а еще один болеет. Из тех, кто придет на тренинг, внимательно будут слушать не более 20%. Из этих немногих половину услышанного они не поймут, а 80% от понятного они забудут в первые сутки. Что же нам останется, кроме бумаги «С регламентом ознакомлен»?
Кстати, это интересная бумага, которая дает офицеру ИБ чувство, что если информация будет потеряна или скомпрометирована, то лично для него последствия каким-то образом смягчатся. Это ощущение очень вредно для бизнеса как такового: инцидент-то уже произошел, враг победил и «разбор полетов», с точки зрения процесса получение прибыли, будет опять же расходом. Даже материальное наказание сотрудников бессмысленно: ни один сотрудник, ни один контрагент не сможет возместить потери от простоя станка, веб-магазина или почтового сервера.
Конечно, есть случаи, когда тренинг по ИБ будет иметь эффективность, близкую к 100%. Например, в закрытом НИИ с полноценным Первым Отделом, классификацией всех проводимых работ, секретной сетью и всем полагающимся. В первую очередь, с реальной уголовной ответственностью за нарушение режима. Люди будут следовать процедурам, если важность процедур понятна, а последствия их нарушения будут однозначными и неотвратимыми.
Что же делать? Прежде всего, отталкиваться от задач. Для бизнеса важно извлекать прибыль максимально эффективно, а для отдела ИБ важно обеспечивать целостность, доступность, аутентичность и сохранность данных. «Обеспечение паролей в 20 символов», «доступа к почте по e-token’у» или «не допущение использования интернета для доступа в Facebook» не является задачей ИБ, хотя многие CSO начинают свою деятельность именно с этого, проводя тренинги и донося инструкции под роспись. Следует выяснить у бизнеса (взяв недостающие 80% сведений из лучших практик, стандартов и собственного опыта), какие именно данные являются критичными, какие сегменты сети представляют интерес для конкурентов, какова ценность этих данных в долларах США, какие роли имеют критическое значение. Исходя из этих сведений, построить политики, рассматривая не конкретных людей и оборудование, а роли и функции. И уже после этого понимать, что бухгалтеру требуется двухфакторная аутентификация, тренинг и контроль. Что роботам с широким доступом к критическим данным, пароли для которых часто вообще пишут в открытом виде и не меняют годами, нужна централизованная система контроля доступа. И что продаже или внедрению хватит базовой фильтрации и стандартных настроек, все равно ничем секретным они не владеют.
А тренинг по внедренным в компании политикам сотрудникам нужен только как часть пакета общего знакомства с компанией при найме.
Leave a Reply