Информационная безопасность – это 90% работы с людьми.
Никогда не устану повторять фразу выше.
Какой бы технической ни была ваша система безопасности, насколько бы безупречно и четко ни была построена система управления информационной безопасностью, всегда присутствует человеческий фактор.
Люди отвлекаются, забывают, забывают или просто игнорируют некоторые правила и нормы.
Под хаком я опишу достаточно эффективный способ снизить процент инцидентов, связанных с человеческим фактором.
Быть доступным
Не нужно запираться в кабинете и с важным видом ходить по коридорам.Посмотрите, как работают ребята из отделов маркетинга или отделов продаж.
Помните, что вам нужно представлять на рассмотрение твоя мысль, как будто ты хочешь продавать ее.
Не нужно экстренно отправлять презентацию по почте, проводите ее лично, уделяйте больше времени вопросам и комментариям, даже если они повторяют 99% того, что было в презентации.
В презентациях avrness обязательно указывайте свою контактную информацию.
Из личного опыта: после пары экстренных презентаций сотрудники подходили и писали не только с инцидентами, но и с комментариями, дополнениями и советами по самой презентации, системе ИБ и т.д.
Будь проще
Подумайте о том, что многие вещи, которые являются базовыми для вас как специалиста по ИТ и/или безопасности, могут быть просто непонятны остальным сотрудникам вашей организации.Не нужно приправлять свою речь узкоспециализированными или жаргонными терминами.
Постарайтесь объяснить и передать все простыми словами и на простых примерах.
Ликбез начните с простых вещей, объясните, что такое информация, какими свойствами она обладает. И не простым списком, типа: конфиденциальность, целостность и доступность, а показать это свойство на примере вашей организации или общепонятном примере.
Будьте регулярными
Не думайте, что пройдя обучение или образовательную программу, вы сможете забыть об этом навсегда.Базовые «курсы» необходимо периодически (например, раз в год) повторять со всеми сотрудниками.
Также хорошей практикой является проведение подобных презентаций с вновь прибывшими сотрудниками.
В настоящее время очень распространена практика вводных курсов, обычно на это отводится 1-2 дня, в течение которых собираются новички и рассказываются об организации, функциях, отделах и правилах.
Проведите презентацию на этих вводных курсах, чтобы новые сотрудники знали вас, что делать и куда обращаться в случае возникновения инцидента.
Составить курс презентаций по различным направлениям информационной безопасности.
Например, раз в квартал организуйте факультативную образовательную программу для сотрудников, расскажите им о рисках, уязвимостях и о том, как с ними можно бороться на уровне пользователя.
Не забывайте, что помимо вирусов, троянов и спама существует физическое проникновение, фишинг и даже простое воровство.
Попробуйте использовать такие презентации для повышения бдительности и наблюдательности сотрудников.
Из личного опыта: после одного из выступлений по защите конфиденциальной и внутренней информации появилось сообщение от сотрудника о том, что в холле (примыкающем к другой организации) вывешены документы отдела кадров с пометкой: Для внутреннего использования.
Помните главный принцип построения системы информационной безопасности: Безопасность начинается с каждого сотрудника! УПД: Исправлены непонятные формулировки, ошибки и опечатки.
Спасибо Эрикбро Теги: #информационная безопасность #советы и рекомендации #информационная безопасность
-
Как Круто (Не)Работать В Телекоме
19 Oct, 24 -
Devops В Сервисах Amazon Aws
19 Oct, 24 -
«Мегафон» Обратился К Социальной Рекламе
19 Oct, 24
