Татьяна Шумайлова
Эксперт направления повышения цифровой грамотности Kaspersky Security Awareness
Зачем учить сотрудников информационной безопасности
Работа в офисе часто предполагает наличие конфиденциальной информации. Согласно отчету Kaspersky Incident Response, кража этой информации — основная цель кибератак. Защитой данных занимается отдел безопасности, но роль HR в этом важном деле тоже очень большая, считает Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness.
И чем в этом может помочь HR-отдел
Человеческий фактор — одна из основных причин кибератак. 52% организаций по всему миру признают, что наибольшую угрозу системе корпоративной безопасности представляют сами сотрудники.
91% всех кибератак начинается с того, что сотрудники открывают фишинговые письма
Конечно, люди уже научились определять откровенный обман. Но мошенники постоянно учатся и понимают, что сегодня может «зацепить» человека, побудить его открыть письмо и нажать на вредоносную ссылку. Так, согласно данным Kaspersky Automated Security Awareness Platform, треть сотрудников российских компаний попадаются на фишинговые письма о проблемах с доставкой, почти четверть — на письма с безобидными темами вроде «Письмо не доставлено из-за перегрузки почтового сервера».
Еще одна угроза — переходы на фишинговые страницы
Они мимикрируют под настоящие сайты компаний: полностью имитируют оформление, но в адресе меняют пару букв. Обмана часто не замечают даже опытные пользователи. В 2021 году эксперты «Лаборатории Касперского» заблокировали 1,2 млн фишинговых страниц, созданных с помощью 469 фиш-китов.
И здесь в игру вступает отдел кибербезопасности. Правда, без поддержки HR им сложно убедить сотрудников поменять привычки и рабочие процессы.
И здесь в игру вступает отдел кибербезопасности. Правда, без поддержки HR им сложно убедить сотрудников поменять привычки и рабочие процессы.
В чем сила HR
Эйчары часто общаются с представителями самых разных отделов по административным вопросам и лучше других понимают ожидания команд.
Они зачастую знакомы лично со многими коллегами из других департаментов.
У отдела кадров есть инструменты, чтобы распространить информацию, помочь создать регламент или администрировать процессы, когда это необходимо.
Скидки до 50% для тех, кто продолжает нанимать
Все акции и спецпредложения сервиса Работа.ру на одной странице
Почему HR выгодно заниматься безопасностью
У HR-отдела масса своих забот, и может показаться, что брать на себя задачи коллег из смежного отдела нет резона. Но совместная работа двух отделов улучшит и HR-метрики:
- Растет качество найма и лояльность сотрудников
“
Сотрудничество HR-отдела и отдела кибербезопасности компании не только обеспечивает безопасность сотрудников и защиту корпоративных данных от угроз, но и улучшает репутацию компании.
HR-отдел от этого только выигрывает:
HR-отдел от этого только выигрывает:
- Сотрудники начинают больше доверять работодателю. Когда люди понимают, что компания прилагает максимум усилий, чтобы обеспечить их безопасность, они чувствуют себя более уверенно. Растет мотивация и продуктивность.
- Качество найма растет. Если HR-отдел учитывает требования службы кибербезопасности, подбирая персонал, то проще находить сотрудников с нужными навыками и знаниями в этой области. Такие кандидаты готовы бережно вести себя с информацией, не допускают возникновения киберугроз.
2. Сотрудники становятся внимательнее и меньше ошибаются, причем не только на работе
“
Если планомерно проводить работу по повышению цифровой грамотности, то люди действительно начинают вести себя более осознанно, причем не только в корпоративной среде, но и в обычной жизни: внимательнее относиться к информации, совершать меньше ошибок.
3. Обучение кибербезопасности помогает формировать корпоративную культуру
“
Любое успешное обучение, особенно таким условно-скучным темам, как информационная безопасность, начинается с осознания установок аудитории. А тема информационной безопасности отлично подходит для рефлексии. Как должно быть у вас в компании — всегда «абсолютно безопасно» или важнее «быстро делать дело»? Ответ зависит от корпоративных принципов.
Так что обучение, каким бы оно ни казалось техническим и узкоспециальным, — всегда про способы принятия решений и культуру поведения на рабочем месте. Информационная безопасность — практичная тема, которая позволяет проработать общие принципы делового взаимодействия.
Так что обучение, каким бы оно ни казалось техническим и узкоспециальным, — всегда про способы принятия решений и культуру поведения на рабочем месте. Информационная безопасность — практичная тема, которая позволяет проработать общие принципы делового взаимодействия.
Создайте вакансию со скидкой! По промокоду PRORABOTA — на 20% дешевле. Подробности акции — по ссылке.
HR и служба безопасности: с чего начать
В первую очередь эйчарам и безопасникам нужно вместе ответить на несколько вопросов:
1
Какова текущая роль HR-отдела в повышении безопасности, участвует ли он в обучении сотрудников? Что можно сделать, чтобы позиция HR в этом вопросе стала более проактивной?
2
Какая информация о сотрудниках есть у компании, где и в каком виде она хранится? У кого доступ к этим ресурсам? Как компания защищает эту информацию?
3
Какой сейчас у сотрудников уровень цифровой грамотности? Как и по каким критериям его обычно оценивают, как часто и какие меры принимают в итоге?
4
Есть ли в вашей системе безопасности слабые места, связанные с человеческим фактором, и какие «быстрые» решения можно внедрить в ближайшие месяцы, чтобы снизить риск киберинцидентов?
5
Собираетесь ли вы проводить дополнительное обучение сотрудников? Если да, то как его организовать? Это будет тренинг, созданный своими силами, или готовое решение стороннего разработчика?
По итогам общения с отделом безопасности работу можно разделить на два ключевых направления:
разработка политики, которая позволяет разграничивать права доступа. Это задача IT-отдела и специалистов по кибербезопасности;
регулярные тренинги по цифровой грамотности. Этим должны заняться эйчары. Именно они создают и внедряют обучающие программы, разбираются в современных методологиях — значит, именно они могут выбрать наиболее прогрессивный тренинг по цифровой грамотности.
Что важно донести до сотрудников
В первую очередь эйчарам и безопасникам нужно вместе ответить на несколько вопросов:
Каждый может невольно стать причиной заражения всей корпоративной сети
Безопасность компании может оказаться под угрозой из-за чьей-то невнимательности, неопытности или низкой цифровой грамотности, привычки хранить пароли «на листочке», а рабочие файлы — на домашних устройствах. Из-за неосведомленности или небрежности могут пострадать как репутация и финансы компании, так и персональные данные сотрудника.
Кибератаки крадут время и влияют на эффективность работы
Сотрудники, которые получают до 30 внешних писем в день, тратят на разбор спама около пяти часов ежегодно. Те, кому ежедневно приходит от 30 до 60 писем, теряют до 11 часов в год, а те, кому от 60 до 100, — 18 часов. Из-за высокой загрузки и больших объемов корпоративной переписки сотрудник может случайно открыть фишинговое письмо, перейти по вредоносной ссылке, и тогда работа встанет на несколько часов, а то и дней.
Знать правила кибербезопасности нужно не только для работы
В наше время очень важно уметь отличать фишинговые письма от настоящих, устанавливать правильные пароли и вообще быть в курсе уловок мошенников. Обучение правилам кибербезопасности — win-win как для компании, так и для работника.
СберПодбор экономит время рекрутеров и ускоряет согласование кандидатов. Зарегистрируйтесь и получите доступ к бесплатному базовому функционалу!
Как выбрать тренинг для развития цифровой грамотности
HR и специалисты по кибербезопасности могут совместно разработать курс по цифровой грамотности для сотрудников с нуля. Главный плюс в том, что материал можно полностью подстроить под нужды своей компании. Минусы — это долго и часто дорого.
Второй вариант ― выбрать уже готовый курс от надежного поставщика. Главная задача HR на этом этапе — подобрать программу с человеческим лицом, понятную любому сотруднику.
Второй вариант ― выбрать уже готовый курс от надежного поставщика. Главная задача HR на этом этапе — подобрать программу с человеческим лицом, понятную любому сотруднику.
Как выбрать курс:
В наше время очень важно уметь отличать фишинговые письма от настоящих, устанавливать правильные пароли и вообще быть в курсе уловок мошенников. Обучение правилам кибербезопасности — win-win как для компании, так и для работника.
1
Исходите из задач. Рядовым сотрудникам нужны базовые умения, а руководители, которые работают с конфиденциальной информацией, должны знать, как обезопасить данные целого департамента. Поэтому программу обучения нужно кастомизировать в зависимости от позиции и отдела. Обучающая платформа Kaspersky ASAP позволяет поставить учебные цели в зависимости от рабочих обязанностей и профиля риска. Бесплатный урок можно попробовать тут.
2
Опирайтесь на эффективные методики обучения. Человеку сложно воспринимать долгие однообразные учебные видео или «бумажные» инструкции. Лучше всего люди воспринимают уроки в пределах 10 минут с небольшим количеством ключевых сообщений. Здорово, если есть интерактивные модули и видеоролики.
3
Ориентируйтесь на практику. Упражнения на закрепление и проверку знаний могут быть построены как тест или имитация фишинговой атаки. Задания должны идти по принципу «от простого к сложному», быть наглядными и легко применимыми в повседневной работе.
Как поддерживать цифровую грамотность
Мало получить новые знания: важно их не растерять. Регулярно напоминайте сотрудникам о правилах кибербезопасности — тогда они правильно отреагируют на атаки мошенников. Для этого можно:
периодически устраивать дни кибербезопасности;
проводить викторины для сотрудников или соревнования между отделами;
делать рассылки про киберинциденты, актуальные мошеннические схемы и т. п.;
регулярно освежать знания из курса по кибербезопасности (достаточно периодических тестирований по темам, в которых сотрудники делают больше всего ошибок).
Читайте также
Есть что сказать по теме? Напишите нам.
Нажимая на кнопку, вы даете Согласие на обработку персональных данных, принимаете Правила и условия Соглашения об условиях использования сайта rabota.ru.