Информационная безопасность — это на 90% работа с людьми.
Фразу выше я не устану повторять никогда. Какой бы технически совершенной ни была ваша система безопасности, как бы безупречно и чётко ни была бы выстроена система управления ИБ, всегда есть человеческий фактор. Люди отвлекаются, забывают, «забивают» или просто игнорируют какие-то правила и порядки.
Под хабракатом я опишу довольно действенный способ снизить процент инцидентов связанных с человеческим фактором.
Будь доступен
Не нужно закрываться в своём кабинете и с важным видом ходить по коридорам. Посмотрите, как работают ребята в маркетинговых отделах или сейлы. Помните, что вам нужно подать свою мысль так, как-будто вы хотите продать её.
Не нужно рассылать аварнесс-презентации по почте, проведите её лично, отведите побольше времени для вопросов и комментариев, даже если они будут на 99% повторять то, что было в презентации.
В аврнесс-презентациях обязательно укажите свои контакты для связи.
Из личного опыта: после пары аварнесс-презентаций сотрудники подходили и писали не только с инцидентами, но и с комментариями, дополнениями и советами по-поводу самой презентации, системы ИБ и тд.
Будь проще
Подумайте о том, что многие вещи, элементарные для вас как айтишника и/или безопасника, могут быть просто непонятны остальным сотрудникам вашей организации. Не нужно пересыпать свою речь сугубо специализированными или сленговыми терминами. Старайтесь объяснить и донести всё простыми словами и на простых примерах. Ликбез начните с простых вещей, объясните что такое информация, какие у неё свойства. И не простым перечислением, вроде: конфиденциальность, целостность и доступность, а покажите это свойство на примере своей организации или общепонятного примера.
Будь регулярным
Не стоит думать, что, проведя обучение или ликбез, можно забыть об этом насовсем. Базовые «курсы» нужно повторять периодически (к примеру раз в год) со всеми сотрудниками. Так же хорошей практикой является проводить подобные презентации с новоприбывшими сотрудниками.
Сейчас очень распространена практика вводных курсов, обычно на это отводится 1-2 дня, во время которых собирают новичков и рассказывают им об организации, функциях, отделах и правилах. Выступайте со своей презентацией на таких вводных курсах, чтобы новоприбывшие сотрудники знали вас, знали что им делать и куда в случае инцидента обратиться.
Сделайте курс презентаций по различным направлениям ИБ. К примеру, раз в квартал организуйте необязательный ликбез для сотрудников, расскажите им о рисках, уязвимостях и о том, как можно с ними бороться на пользовательском уровне.
Не забывайте, что кроме вирусов, троянов и спама есть физическое проникновение, фишинг да даже банальное воровство. Постарайтесь с помощью таких презентаций повысить бдительность, наблюдательность сотрудников.
Из личного опыта: после одной из презентаций по защите конфиденциальной и внутренней информации было сообщение от сотрудника, что в холле (смежном с другой организацией) были вывешены документы отдела кадров с пометкой: Для внутреннего использования.
Запомните главный принцип построения системы информационной безопасности: Безопасность начинается с каждого сотрудника!
UPD: Поправил непонятные формулировки и ошибки, опечатки. Спасибо ericbro
