Когда вы слышите фразу «повышение осведомленности об информационной безопасности», что приходит на ум в первую очередь? Учите пользователей не открывать электронные письма от незнакомцев и не переходить по фишинговым ссылкам? Учите, как распознавать социальную инженерию? Мониторинг, чтобы в кабинет больше никто не заходил, как будто он был с вами? У нас в Cisco тоже есть такая программа и мы тоже регулярно проходим соответствующее обучение.
Но сегодня я хотел бы поговорить о другой нашей добровольной информационной программе, которая была создана менее чем за шесть месяцев командой всего из четырех человек с бюджетом менее 50 000 долларов.
Обратите внимание еще раз.
Добровольная программа! Создано четырьмя людьми! Меньше чем за полгода! Всего за 50 тысяч долларов! А более 20 тысяч сотрудников Cisco — инженеров и разработчиков — прошли обучение и успешно сдали экзамен по этой программе.
История создания Идея создания этой инициативы возникла в мае 2012 года, когда на конференции по разработке безопасности компания Adobe рассказала о своей программе обучения Adobe по безопасности.
Тогда нам в голову пришла идея, а почему бы не создать такую программу в Cisco. Причем проблема назревала уже давно.
Программы обучения разработчиков как таковой не было.
Принципы безопасного программирования ( Жизненный цикл безопасной разработки Cisco , CSDL) были известны многим, но не все понимали, как их применять на практике для уменьшения количества ошибок и потенциальных уязвимостей.
Более того, разработчики традиционно мало задумывались о том, как развивается мир безопасности по ту сторону баррикад, как действуют злоумышленники, что они могут сделать и куда направлены их стремления? Идея была идеей, но нам не хотелось идти по проторенной дорожке с организацией очередного тренинга по технике безопасности.
Всё-таки, чего скрывать, многие программы обучения, даже корпоративные, даже бесплатные, многими сотрудниками рассматриваются как наказание и необходимое зло.
При таком подходе не стоит ожидать большого эффекта.
Поэтому мы решили объединить нашу практику безопасного программирования и создания доверенных систем, которую мы активно развиваем в последние годы, с опытом нашего подразделения по реагированию на инциденты в собственных продуктах ( Группа реагирования на инциденты, связанные с безопасностью продуктов Cisco , ПСИРТ).
И добавьте к этому сочетанию игровую составляющую, вовлекая сотрудников по собственному желанию в увлекательную игру, в которой они смогут зарабатывать очки, получать признание от окружающих и попутно и ненавязчиво получать новые знания и компетенции.
Как известно, информация, полученная в форме игры, запоминается гораздо дольше, чем общепринятая теория, даже если она оформлена в красивых презентациях и видеороликах.
Сказано - сделано.
В основу легла идея обучения боевым искусствам, с ее сочетанием изучения философии и техники, тренировок в тренажерном зале (так называемое додзё) и в жизни, прохождения различных степеней (поясов), отражающих определенные достижения студент. Участников нашей программы называют Cisco Security Ninjas. Почему ниндзя? Вероятно, потому, что на протяжении многих десятилетий или даже столетий вокруг этих японских воинов сложилось множество легенд и их имя стало окружено множеством тайн.
Причастность к «секрету» CSDL служит отличительной чертой разработчиков и инженеров, прошедших соответствующую подготовку.
Девизом этой инициативы стало перефразированное высказывание: «Безопасность — это путешествие, а не пункт назначения».
Ремни Cisco Security Ninja
В отличие от традиционных десяти поясов в боевых искусствах, мы решили ограничиться пятью – белым, зеленым, синим, коричневым и черным, «приемом» которых было продемонстрировать приобретение определенных знаний и навыков, а также прохождение соответствующих экзамен.
На первом уровне, который служит основой для дальнейшего роста, мы знакомим начинающих ниндзя с базовыми концепциями информационной безопасности, терминологией, основами безопасного программирования и CSDL. Обучение на этом уровне состоит из 16 модулей – введение, терминология, основы информационной безопасности, оценка соответствия, хакеры и атаки, типичные мифы о безопасности, CSDL, проверка ввода, перерасход ресурсов, аутентификация, авторизация, безопасная конфигурация, утечки информации, криптография , аппаратная безопасность ,ПСИРТ.
Зеленый пояс подразумевал приобретение углубленных знаний определенных концепций безопасности, а также практическое применение принципов и практик безопасности, в зависимости от роли студента.
Мы выделили шесть из них — менеджер по продукту, менеджер программ, менеджер, инженер-конструктор, инженер-разработчик, инженер по тестированию.
Для получения зеленого пояса необходимо было пройти около 50 модулей — начиная с изучения различных атак (XSS, CSRF, SQL-инъекция, социальная инженерия, аппаратные атаки) и CSDL (моделирование угроз, поиск уязвимостей, анализ кода, типичные ошибки программирования в в) основам безопасности Linux, изучение Secure Boot, SSL, управление цепочками поставок и «управленческие» темы.
Следующие три пояса подразумевали уже не изучение каких-либо теоретических или практических тем, а содействие внедрению практик безопасного программирования в деятельность Cisco. И чем выше пояс, тем больше таких действий нужно осуществлять.
Чтобы исключить неопределенность в процессе завоевания «высших» поясов, все действия, которые должны были выполнять кандидаты на получение синего/коричневого/черного пояса, были разделены на 4 группы – изобретение (например, создание полезного инструмента или процесса или поддержание сообщества ), обучение (наставничество, проведение или разработка курсов, выступление), исследование (анализ проблемы, участие во внутренней рабочей группе или комитете, разработка функции безопасности) и внедрение (тестирование, функция, процесс CSDL и т. д.).
За каждое действие начисляются определенные баллы, количество которых зависит от затраченного времени (1 балл = 1 час) и масштаба деятельности (только внутри команды, межкомандная деятельность, внешняя и т. д.).
Затем эти баллы суммируются и в зависимости от общей суммы присваивается та или иная степень.
Например, для получения синего пояса достаточно «заработать» всего 75 баллов, а для черного пояса необходимо не менее 400 баллов по всем четырем группам деятельности, описанным выше.
Черный пояс — это высший уровень не только по боевым искусствам, но и по программе Cisco Security Ninja. Это означает признание как внутри, так и за пределами Cisco. 
Cisco Security Ninja в цифрах
Мы запустили программу в декабре 2012 года, попросив некоторых коллег «опробовать ее».
После получения положительных отзывов программа Cisco Security Ninja официально стартовала в феврале 2013 года.
В декабре 2013 года к программе первоначального обучения для «белого» пояса была добавлена расширенная программа (для «зеленого» пояса), а через несколько месяцев мы добавили ролевое обучение.
Декабрь 2014 года ознаменовался запуском оставшихся трех программ для синих, коричневых и черных поясов.
В 2014 году программа получила поддержку на уровне руководства компании, которое стало настоятельно рекомендовать всем заинтересованным лицам получить как минимум белый пояс.
Стоит отметить, что до сегодняшнего дня данная программа не является обязательной для сотрудников, присоединяющихся к ней исключительно добровольно.
В марте 2015 года мы достигли лимита в 20 000 сотрудников, получивших пояс, из них 47 получили черный пояс, 22 – коричневый, 72 – синий, 2640 – зеленый (из них).
Додзё для тренировок и экзаменов Додзё – это место, где проходят тренировки, соревнования и сертификации по восточным боевым искусствам.
У нас есть такое додзё (Cisco Security Dojo).
Это специально разработанная платформа, включающая в себя различные активности и инструменты, с помощью которых можно было пройти обучение в различных формах, сдать соответствующие экзамены и получить заслуженный пояс.
Также с помощью этой платформы все ниндзя-охранники могут отслеживать статус себя и своих коллег, фиксировать свою деятельность для достижения более высоких степеней и выполнять ряд других задач.
Геймификация
Одним из важнейших элементов программы, позволившим привлечь к ней более 20 тысяч человек, является геймификация, которая достигалась за счет различных элементов:
- Метафоры информационной безопасности, которые в веселой и юмористической форме иллюстрируют ключевые концепции и принципы безопасности и безопасного программирования.
- Комикс «Маленький ниндзя», состоящий из 3-х иллюстраций, поясняющих отдельные положения обучающего курса.
- Забавные ролики «Мы все ниндзя-охранники», в которых случайно застают наших сотрудников в костюмах ниндзя при выполнении своих повседневных дел (в кафе, в спортзале, на отдыхе, на телефонном звонке и т. д.).
- «Поп-идол» — это люди, известные внутри или за пределами компании, высказывавшиеся по тем или иным вопросам информационной безопасности.
В целом геймификация — очень интересный способ донести тему информационной безопасности.
Они у нас часто бывают наслаждаться в компании.
Есть стенды информационной безопасности, флеш игры, игры для смартфонов, CTF и многое другое.
Признание Одним из важных элементов нашей программы является признание специалистов, прошедших обучение и успешно получивших тот или иной пояс.
Мы используем разные варианты – сертификаты, логотипы, которые можно использовать в профиле на корпоративном портале или в подписи в электронных письмах, соответствующие ремешки для ношения корпоративного бейджа, финансовые стимулы.
Ключевые факторы успеха
За последние почти три года мы смогли сформулировать 10 критериев успеха нашей программы:
- Не более 20 минут на модуль; а еще лучше десять.
На длинные модули труднее смотреть, чем на короткие.
Но создать их еще и сложнее.
Я часто записываю валки для нашего корпоративного YouTube-канала и прекрасно понимаю, какая непростая задача уместить необходимый контент в ограниченный временной интервал.
- Группа экспертов.
Именно они должны создавать контент и, возможно, участвовать в его записи.
- Признание.
Универсальных рецептов не существует – все зависит от конкретной организации.
В нашем случае нам удалось найти недорогие, но эффективные варианты, что в итоге позволило привлечь в ряды охранных ниндзя чуть меньше трети всей компании.
- Вирусный маркетинг.
Это позволяет вовлечь в процесс распространения информации о программе самих сотрудников, которые с радостью поделятся с друзьями «крутой фишкой» и «частицей секрета».
- Обучение дизайнеров курсов.
По-английски таких специалистов называют учебными дизайнерами, и они проектируют не только курс, но и, что очень важно, тесты и экзамены.
- Соревнование.
Руководители любят конкурировать друг с другом – дайте им такую возможность, запустив сайт со статистикой по своим подчиненным; они сами будут мотивировать свои подразделения становиться лучше.
- Нарушать правила.
Когда мы запускали программу Cisco Security Ninja, мы не знали никаких правил проведения классического обучения.
Мы делали то, что считали нужным и делали это весело, с шутками и шутками.
Люди это чувствуют и легче включаются в тренировки с игровыми элементами.
- Творческие люди.
Запуск такой программы – задача не «для галочки».
Здесь не помогут люди, которые делают что-то под давлением, и люди, не заинтересованные в результате.
Только творческий подход помог нам сделать то, что мы сделали с минимумом ресурсов.
- Участие руководства.
Ну, тут никаких дополнительных пояснений не требуется.
- Геймификация.
Мы сделали интерфейс, который показывал движение, помогал добиться большего и вовлекал людей в игру.
Людям нравилось пользоваться додзё, созданным для них.
Можно ли повторить эту программу в другой организации? В таком же виде вряд ли.
Тем не менее, культура, уровень зрелости и сами компании могут сильно отличаться друг от друга.
Но ключевые факторы успеха будут одинаковыми для всех.
Главное не сидеть на месте! И помните: безопасность – это движение, а не пункт назначения! Теги: #sdl #cisco #cisco #безопасность #обучение #разработка программного обеспечения #информационная безопасность #разработка веб-сайтов
-
Урановая Промышленность
19 Oct, 24 -
Виртуальная Реальность 2.0
19 Oct, 24 -
Как Избавиться От Gpl?
19 Oct, 24
