 |
 |
 |
 |
|
 |
 |
Начнем с персонала отдела технической безопасности: удивительно надеяться на
неопытность в компьютерах и на ограниченность его сотрудников, которые не будут, как вам
кажется, входить в контакт с другими компьютерами компании и экспериментировать –
обычно это упускается из внимания при подготовке программы этого типа. Также
социнженер может убедить охрану или другого работника впустить его в здание, или офис,
или предоставить доступ, результатом которого станет компьютерное проникновение.
Проще говоря – взлом. Пока охранники конечно не нуждаются в прохождении полного курса
тренировочной программы, которая необходима персоналу, непосредственно работающему с
компьютерами, но и они недолжны быть забыты.
В корпоративном мире существует несколько положений о том, чему должны быть
обучены все сотрудники. Они одновременно и важны, и скучны, что присуще безопасности.
Действительно хорошая программа по повышению информационной безопасности должна
как информировать, так и захватывать внимание, рождать энтузиазм у обучающихся.
Целью должна стать увлекательная, интерактивная программа. Технические приемы
обучения должны включать демонстрацию социнженерии с помощью игры по ролям;
обзорные медиа-отчеты о последних атаках на других менее удачливых конкурентов и
обсуждения путей предотвращения потери информации; просмотр специальных
видео-материалов по безопасности, которые непосредственно вводят в курс и обучают
одновременно. Такие материалы всегда можно найти в компаниях, занимающихся
обеспечением информационной безопасности.
Заметка:
Для тех компаний, которые не имеют средств для самостоятельной разработки
программы информационной безопасности существуют компании, предоставляющие
данную услугу. Их можно найти на одной из выставочных площадок, например на
Истории в этой книге представляют собой огромное количество материала для
объяснения методов и тактик социальной инженерии, поднятия уровня осведомленности и
демонстрации уязвимостей человеческой натуры. Можно полагать, что использование этих
историй даст необходимую базу для ролевых игр. Истории также являются яркими темами
для оживленных дискуссий о том, как жертвы должны действовать, чтобы предотвратить
успешную атаку.
Грамотные разработчики и преподаватели данных тренингов найдут множество
трудностей, но также множество возможностей оживить учебный процесс, заставить
окружающих стать его частью.
Структура тренинга
В своей основе обучающая программа должна быть спроектирована таким образом,
чтобы посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как
часть первоначального ознакомления и знакомства с новым местом работы. Я рекомендую
вообще не допускать сотрудника до работы с компьютерами, пока он не ознакомится с
основами программы информационной безопасности.
Для начала я рекомендую занятие, посвященное внештатным ситуациям и системе
оповещений. Пока бОльшая часть материала еще впереди, ознакомление с набором коротких
важных сообщений значительно облегчит восприятие на полудневных и полнодневных
занятиях, когда людям сложно усвоить такое количество материла.
Особое значение первого занятия будет в выражении особой роли гармонии, которая
будет царить в компании, пока все руководствуются данной программой. Более важным,
нежели обучающие тренировки, будет мотивация, побуждающая сотрудников принять
персональную ответственность за безопасность.
В ситуациях, когда некоторые работники не могут посещать общие занятия, компания
должна прибегнуть к иным формам обучения, таким как видео, компьютерные программы,
онлайн-курсы или печатные материалы.
После короткого вводного занятия остальные более длинные уроки должны быть
