Рубрикатор | ![]() |
![]() |
Блоги | ![]() |
Алексей ЛУКАЦКИЙ | ![]() |
![]() |
Реальные примеры повышения осведомленности по ИБ и киберучения для руководства
19 марта 2018 |
![]() |
Первый был сделан Кириллом Мартыненко из Сбербанка, который рассказывал об эволюции технологий повышения осведомленности, обучения сотрудников и формирования у них культуры ИБ. Учитывая практическую направленность мастер-класса и масштаб Сбербанка рассказ Кирилла оказался очень познавательным. Особенно учитывая манеру подачи материала, который описывал типовые подходы по "окультуриванию" с его плюсами и минусами.
Как и многие организации, Сбербанк тоже начинал с проведения различных тестов, этакого анахронизма в области обучения, который до сих пор активно реализуется многими компаниями ввиду его простоты, но полнейшей бесполезности для людей, не вовлеченных в ежедневный процесс обеспечения ИБ. Для неспециалистов все эти тесты - бесполезная трата времени, так как по их окончании мало что запоминается и тем более они не дают никаких навыков, которые и должны стать целью любой программы формирования культуры ИБ.
![](/data/2018/03/19/1237692858/Screen Shot 2018-03-13 at 20.31.03.png)
Как и тост, который должен быть коротким как выстрел, так и информация, доносимая до работников, должна быть короткой, четкой и понятной. И так как в мозг работников надо внедряться везде, где только можно (а не только через скринсейверы на компьютере), то для этой цели замечательно подходят плакаты, которые развешиваются в совершенно различных местах - в столовой, у мест печати, у лифтов и т.п.
![](/data/2018/03/19/1237692856/sber-awareness3.png)
Кирилл Мартыненко показал несколько примеров таких плакатов и рассказал о том, с какими особенностями их разработки и размещения пришлось столкнуться в Сбербанке.
![](/data/2018/03/19/1237692862/Screen Shot 2018-03-13 at 20.31.44.png)
Помимо пассивной информации, необходимо также регулярно проверять навыки работников по противостоянию постоянно развивающимся методам злоумышленникам. Кирилл рассказал о нескольких кампаниях, которые были запущены в масштабах Сбербанка для проверки того, насколько работают плакаты, тесты, скринсейверы и другие способы донесения правил ИБ до всех работников самого крупного банка страны. Например, интересная обманка в виде якобы созданной авиакомпании "Sberbank Airlines", которая предлагала билеты в разные части света "со скидкой". Учитывая различные сферы деятельности Сбера, такие рекламные сообщения, рассылаемые по электронной почте, выглядели вполне правдоподобно.
![](/data/2018/03/19/1237692860/sber-awareness2.png)
Аналогичную цель преследовала фишинговая кампания, посвященная "черной пятнице", эксплуатирующей желание людей получить что-то со скидкой и поучаствовать в благотворительности.
![](/data/2018/03/19/1237692834/sber-awareness.png)
Но технологии погружения в мозг человека не стоят на месте и поэтому Сбербанк стал разрабатывать и внедрять различные игры, симуляции, заставки и ролики, созданные по технологии Flash. Одной из таких разработок стала интерактивная игра "Агент кибербезопасности", которая в игровой форме позволяет сотрудникам не только ознакомиться с нужными правилами ИБ, но и проверить их в виртуальном мире, повышая запоминаемость и вовлеченность.
![](/data/2018/03/19/1237692832/Screen Shot 2018-03-13 at 20.32.28.png)
Апофеозом мастер-класса, который проводил Кирилл Мартыненко, стал рассказ и показ применения виртуальной реальности в вопросах повышения осведомленности ИБ.
![](/data/2018/03/19/1237692838/Screen Shot 2018-03-13 at 20.33.34.png)
Кирилл продемонстрировал два VR-проекта, которые были уже реализованы в "зеленом банке". Первый - это обычная стрелялка, в качестве мишеней в которой выбраны различные угрозы ИБ, которые надо уничтожать с помощью виртуального оружия.
![](/data/2018/03/19/1237692836/28618883_1214627988673624_8526599612259002036_o.jpg)
Второй проект - это виртуальное посещение Центра киберзащиты Сбербанка (SOC). На прошлогодней выставке RSA в Сан-Франциско было представлено немало проектов применения VR в ИБ (у нас в Cisco они тоже применяются) и вот теперь они доступны и в России. Да, понятно, что не все могут позволить себе внедрять такие инновации для формирования культуры ИБ, но сама демонстрация таких проектов была очень и очень интересной.
![](/data/2018/03/19/1237692842/29027621_1214629612006795_4871014118446917408_n.jpg)
В своем мастер-классе уже я продолжил тему геймификации в ИБ, но уже немного с другой стороны - я говорил о том, как проводить кибер-учения по кибербезопасности для топ-менеджмента руководства предприятия. Так случилось, что я до сих не могу забыть, как Рустэм Хайретдинов сказал год назад, что из меня хреновый докладчик. Запала в душу мне его критика и я стал погружаться в новые методы донесения информации до людей, отходя от лекционного монолога в сторону диалога, вовлечения участников в дискуссию, геймификации и т.п. А тут еще стали приглашать для выступления перед высокими начальниками различных компаний, которым бессмысленно рассказывать презентации, столь привычные для обычных ИБшников.
![](/data/2018/03/19/1237692840/28619145_1211420608994362_1061261390376554539_o.jpg)
Так родилась тема проведения киберучений для топ-менеджмента, которые,
безусловно, требуют совершенно иной подготовки, но и эффект от них будет
коренным образом отличаться от пассивных и односторонних презентаций,
которые люди слушают, но не редко запоминают, что там говорилось. Следая
правилу, что из прочитанного усваивается только 10%, из услышанного -
только 20%, из увиденного - 30%, из проработанного в упражнениях - 90%,
именно вовлечение позволяет донести нужную информацию до столь непростой
аудитории, такой как руководители разных мастей - CEO, CFO, CLO, COO и
др.
Сложно пересказывать самого себя, поэтому выложу несколько слайдов с
мастер-класса, который я читал на "Код ИБ. Профи". Правда, изначальный
материал у меня получился не на час, который был выделен на конференции,
а часа на 3-4 (а то и больше). Но пришлось ужиматься :-)
![](/data/2018/03/19/1237692846/cyberexercises.png)
Третий доклад по геймификации в ИБ должен был делать Вячеслав Борилин из Лаборатории Касперского, но по уважительной причине он не смог быть на мероприятии. Вячеслав должен быть подвести базу под тему геймификации и наши с Кириллом мастер-классы и на различных примерах показать, что лучше работает в разных форматах обучения – очном, онлайн, смешанном формате; в том числе и для разных аудиторий - рядовые сотрудники, руководители, топ-менеджмент. Увы, не получилось. Но Вячеслав обещал записать отдельный вебинар для участников "Код ИБ. Профи" - он будет выложен, как и все материалы, на сайте конференции.
ЗЫ. Участники "Кода ИБ. Профи" могут получить доступ к презентациями и видео всех мастер-классов в рамках своего приобретенного пакета. Для тех, кто не смог поучаствовать очно, но хотел бы ознакомиться со всеми материалами, есть возможность приобрести пакет "КОНТЕНТ", который не заменит личного присутствия и возможности задавать вопросы, но все-таки позволит погрузиться в практику управления ИБ от одних из лучших спикеров России по ИБ, которые преимущественно являются и практикующими специалистами в области кибербезопасности.
Источник:
![](/data/2018/03/19/1237692846/cyberexercises.png)
Третий доклад по геймификации в ИБ должен был делать Вячеслав Борилин из Лаборатории Касперского, но по уважительной причине он не смог быть на мероприятии. Вячеслав должен быть подвести базу под тему геймификации и наши с Кириллом мастер-классы и на различных примерах показать, что лучше работает в разных форматах обучения – очном, онлайн, смешанном формате; в том числе и для разных аудиторий - рядовые сотрудники, руководители, топ-менеджмент. Увы, не получилось. Но Вячеслав обещал записать отдельный вебинар для участников "Код ИБ. Профи" - он будет выложен, как и все материалы, на сайте конференции.
ЗЫ. Участники "Кода ИБ. Профи" могут получить доступ к презентациями и видео всех мастер-классов в рамках своего приобретенного пакета. Для тех, кто не смог поучаствовать очно, но хотел бы ознакомиться со всеми материалами, есть возможность приобрести пакет "КОНТЕНТ", который не заменит личного присутствия и возможности задавать вопросы, но все-таки позволит погрузиться в практику управления ИБ от одних из лучших спикеров России по ИБ, которые преимущественно являются и практикующими специалистами в области кибербезопасности.
Источник:
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.