Чтение онлайн

на главную - закладки

Жанры

Искусство обмана
Шрифт:

Тренинг по безопасности должен быть более важной целью, чем простые правила для ознакомления. Создатель тренинга должен признать сильное желание части сотрудников, которые под давлением желания окончить работу не обратят внимание или проигнорируют обязанности по обеспечению защиты. Знание тактик и приемов социнженерии и пути их предотвращения безусловно важны, но они будут бесполезны без фокусирования создателя тренинга на мотивации работников использовать эти знания.

Компания может считать цель достигнутой, если все ее сотрудники свыкнуться с мыслью, что защита информации — часть их работы.

Сотрудники должны прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной корпоративной информации может угрожать не только компании, но персонально каждому из них, их работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно не заботиться о своем PIN-коде или номере кредитной карты. Эту аналогию можно использовать, чтобы вызвать энтузиазм в тренинге со стороны подчиненных.

Учреждение обучающего тренинга

Ответственный за разработку программы информационной безопасности должен свыкнуться с мыслью, что это не проект «один размер на всех». В некоторой степени данный тренинг нуждается в выработке специфических требований для отдельных групп сотрудников, участвующих в делопроизводстве. В то время как описанные в главе 16 политики безопасности применимы ко всем без исключения работникам, другие уникальны. По минимуму, большинство компаний должно иметь в своем арсенале тренинги для следующих групп персонала: менеджеры, IT-сотрудники, пользователи ПК, обслуживающий персонал, администраторы и их ассистенты, техники связи, охранники. (Смотри деление полиции по роду занятий в главе 16.)

Начнем с персонала отдела технической безопасности: удивительно надеяться на неопытность в компьютерах и на ограниченность его сотрудников, которые не будут, как вам кажется, входить в контакт с другими компьютерами компании и экспериментировать — обычно это упускается из внимания при подготовке программы этого типа. Также социнженер может убедить охрану или другого работника впустить его в здание, или офис, или предоставить доступ, результатом которого станет компьютерное проникновение. Проще говоря — взлом. Пока охранники конечно не нуждаются в прохождении полного курса тренировочной программы, которая необходима персоналу, непосредственно работающему с компьютерами, но и они недолжны быть забыты.

В корпоративном мире существует несколько положений о том, чему должны быть обучены все сотрудники. Они одновременно и важны, и скучны, что присуще безопасности. Действительно хорошая программа по повышению информационной безопасности должна как информировать, так и захватывать внимание, рождать энтузиазм у обучающихся.

Целью должна стать увлекательная, интерактивная программа. Технические приемы обучения должны включать демонстрацию социнженерии с помощью игры по ролям; обзорные медиа-отчеты о последних атаках на других менее удачливых конкурентов и обсуждения путей предотвращения потери информации; просмотр специальных видео-материалов по безопасности, которые непосредственно вводят в курс и обучают одновременно. Такие материалы всегда можно найти в компаниях, занимающихся обеспечением информационной безопасности.

Заметка:

Для тех компаний, которые не имеют средств для самостоятельной разработки программы информационной безопасности существуют компании, предоставляющие данную услугу. Их можно найти на одной из выставочных площадок, например на http://www.secureworldexpo.com .

Истории в этой книге представляют собой огромное количество материала для объяснения методов и тактик социальной инженерии, поднятия уровня осведомленности и демонстрации уязвимостей человеческой натуры. Можно полагать, что использование этих историй даст необходимую базу для ролевых игр. Истории также являются яркими темами для оживленных дискуссий о том, как жертвы должны действовать, чтобы предотвратить успешную атаку.

Грамотные разработчики и преподаватели данных тренингов найдут множество трудностей, но также множество возможностей оживить учебный процесс, заставить окружающих стать его частью.

Структура тренинга

В своей основе обучающая программа должна быть спроектирована таким образом, чтобы посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как часть первоначального ознакомления и знакомства с новым местом работы. Я рекомендую вообще не допускать сотрудника до работы с компьютерами, пока он не ознакомится с основами программы информационной безопасности.

Для начала я рекомендую занятие, посвященное внештатным ситуациям и системе оповещений. Пока бОльшая часть материала еще впереди, ознакомление с набором коротких важных сообщений значительно облегчит восприятие на полудневных и полнодневных занятиях, когда людям сложно усвоить такое количество материла.

Особое значение первого занятия будет в выражении особой роли гармонии, которая будет царить в компании, пока все руководствуются данной программой. Более важным, нежели обучающие тренировки, будет мотивация, побуждающая сотрудников принять персональную ответственность за безопасность.

В ситуациях, когда некоторые работники не могут посещать общие занятия, компания должна прибегнуть к иным формам обучения, таким как видео, компьютерные программы, онлайн-курсы или печатные материалы.

После короткого вводного занятия остальные более длинные уроки должны быть спланированы таким образом, чтобы все работники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно к ним соответственно занимаемым местам в компании. Необходимо раз в год проводить занятия для повторения и освежения данных правил. Природа угроз и методов использования людей постоянно меняются, поэтому весь материал программы должен постоянно обновляться. Более того, осведомленность и бдительность людей со временем ослабляется, поэтому тренинги должны повторяться через определенные промежутки времени. Особое значение имеет здесь убеждение рабочих в важности политик безопасности и мотивация следовать им, чем демонстрация специфических угроз и методов социнженерии.

Менеджеры должны бать готовы к трате времени на своих подчиненных, чтобы помочь им вникнуть и самим поучаствовать в процессе обучения. Сотрудники далеко не будут довольны, если им придется посещать занятия в нерабочее время. Это стоит учитывать и при ознакомлении с положениями новых сотрудников — они должны иметь достаточно свободного времени, чтобы освоиться со своими рабочими обязанностями.

Сотрудники, получающие повышение с доступом к важной информации несомненно должны пройти тренинг соответственно их новым обязанностям. Например, когда оператор ПК становится системным администратором, или секретарь переходит на должность ассистента администратора — тренинг необходим.

Поделиться:
Популярные книги

Воплощение Похоти

Некрасов Игорь
1. Воплощение Похоти
Фантастика:
юмористическое фэнтези
попаданцы
рпг
аниме
5.00
рейтинг книги
Воплощение Похоти

Двойник Короля 5

Скабер Артемий
5. Двойник Короля
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Двойник Короля 5

Последний Паладин. Том 12

Саваровский Роман
12. Путь Паладина
Фантастика:
аниме
фэнтези
попаданцы
5.00
рейтинг книги
Последний Паладин. Том 12

Эпоха Опустошителя. Том I

Павлов Вел
1. Вечное Ристалище
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Эпоха Опустошителя. Том I

Древесный маг Орловского княжества 9

Павлов Игорь Васильевич
9. Орловское княжество
Фантастика:
аниме
фэнтези
попаданцы
5.00
рейтинг книги
Древесный маг Орловского княжества 9

Кодекс Крови. Книга ХVI

Борзых М.
16. РОС: Кодекс Крови
Фантастика:
попаданцы
аниме
фэнтези
5.00
рейтинг книги
Кодекс Крови. Книга ХVI

Бояръ-Аниме. Газлайтер. Том 30

Володин Григорий Григорьевич
30. История Телепата
Фантастика:
альтернативная история
аниме
фэнтези
5.00
рейтинг книги
Бояръ-Аниме. Газлайтер. Том 30

Князь Целитель 5

Ткачев Андрей Юрьевич
5. Князь Целитель
Фантастика:
боевая фантастика
городское фэнтези
аниме
фэнтези
фантастика: прочее
5.00
рейтинг книги
Князь Целитель 5

Беглец

Бубела Олег Николаевич
1. Совсем не герой
Фантастика:
фэнтези
попаданцы
8.94
рейтинг книги
Беглец

Кодекс Охотника. Книга ХХХ

Винокуров Юрий
30. Кодекс Охотника
Фантастика:
попаданцы
аниме
фэнтези
5.00
рейтинг книги
Кодекс Охотника. Книга ХХХ

Запечатанный во тьме. Том 1. Тысячи лет кача

NikL
1. Хроники Арнея
Фантастика:
уся
эпическая фантастика
фэнтези
5.00
рейтинг книги
Запечатанный во тьме. Том 1. Тысячи лет кача

Убивать чтобы жить 5

Бор Жорж
5. УЧЖ
Фантастика:
боевая фантастика
космическая фантастика
рпг
5.00
рейтинг книги
Убивать чтобы жить 5

Я все еще царь. Книга XXXI

Дрейк Сириус
31. Дорогой барон!
Фантастика:
юмористическое фэнтези
аниме
попаданцы
5.00
рейтинг книги
Я все еще царь. Книга XXXI

Последний Паладин. Том 11

Саваровский Роман
11. Путь Паладина
Фантастика:
попаданцы
аниме
фэнтези
5.00
рейтинг книги
Последний Паладин. Том 11