По данным «Лаборатории Касперского», 52% компаний мире считают наибольшей угрозой систем корпоративной безопасности своих сотрудников — из-за их низкой цифровой грамотности. Так, 60% сотрудников хранят на своих рабочих устройствах конфиденциальные данные (например, финансовую информацию), 30% когда-либо делились логином и паролем от рабочего компьютера с коллегами. Треть кибер-инцидентов связана с ненадлежащим использованием сотрудниками ИТ-ресурсов. При этом сами компании тоже не всегда стремятся обезопасить себя: 23% организаций не создают для сотрудников правил безопасности относительно хранения рабочих данных. Ущерб от недостаточной защищенности оценивается в 14,3 млн руб. для крупных компаний.
Понимая необходимость информационной защиты, все больше организаций все же стремятся предпринять какие-либо меры, поэтому рынок тренингов в области информационной безопасности показывает устойчивый рост. Только за последний год крупные мировые компании увеличили расходы на тренинги на 40%, а малый и средний бизнес — даже на 60%. Руководитель программы Kaspersky Cybersecurity Awareness Вячеслав Борилин отмечает, что рынок информационной безопасности начинал развиваться как бизнес крупных компаний, современный же тренд таков, что на эти проблемы все больше внимания обращают как раз средние и малые компании.
Однако, по мнению Борилина, большинство существующих тренингов неэффективны. Основные причины — методика этих тренингов, отсутствие мотивации к обучению у сотрудников и видение ими средств информационной безопасности как помехи работе. Минусы методик заключаются в неправильном подходе к аудитории. Например, топ-менеджерам нужен один объем знаний, а рядовым сотрудникам — другой. Все люди усваивают информацию по-разному: кто-то быстрее, кто-то медленнее. Поэтому и программы обучения должны быть если не индивидуальными, то близкими к этому. К отсутствию же мотивации приводит необходимость дополнительной нагрузки: в компании платят за работу, а не безопасность, так зачем ею заниматься? Таким образом, для работников она становится не важным сопутствующим труду элементом, а помехой.
Организации, которые озаботились информационной безопасностью, не знают, как грамотно построить процесс обучения, управлять им с минимальными денежными и временными потерями и использовать отчеты об обучении для его корректировки. Как итог — «ученикам» становится скучно, они не запоминают и не пользуются полученными знаниями, а компания тратит деньги впустую.
Проанализировав все эти проблемы, «Лаборатория Касперского» разработала Kaspersky ASAP, автоматизированный онлайн-инструмент для формирования и закрепления навыков и устойчивых привычек ИТ-безопасности в широком смысле. Решение позволяет определить знания сотрудников в области информационной безопасности, понять, чему их следует обучить в зависимости от рабочих обязанностей, и выстроить индивидуальный график обучения. Программа построена с учетом особенностей человеческой памяти: урок длится не более 20 минут, в течение этого времени для запоминания постоянно делается акцент на ключевых сообщениях. Для закрепления полученной информации используются упражнения (наглядные задания) и тесты, причем последние не сразу, а через несколько дней после урока. Еще через какое-то время прохождение модуля завершается практической проверкой, например, фишинговой атакой, которую надо распознать и отразить. Если все это не будет успешно преодолено, к следующему уроку приступить не получится.
.png)
Kaspersky ASAP позволяет определить знания сотрудников в области информационной безопасности, понять, чему их следует обучить в зависимости от рабочих обязанностей, выстроив индивидуальный график обучения
Обучение построено на принципе «от простого к сложному». Всего можно отработать 350 навыков. Программа все делает сама, работодателю необходимо только на первом этапе разделить сотрудников на группы риска, чтобы было понятно, кого и чем следует учить, и раз в неделю проверять отчетность по обучению персонала. Отчетность и аналитика используются программой для корректировки занятий. Таким образом, программа экономит время и трудозатраты.
Разработчики называют следующие плюсы продукта: интерактивность предлагаемого обучения, мотивирующий соревновательный дух, актуальность рассматриваемых вопросов (все примеры по темам встречаются в корпоративной среде) и отсутствие лишней нагрузки (миниуроки, удобный темп обучения, только нужные навыки).
Главная цель тренингов — не натаскать на какие-то схемы, а развить навыки и сформировать устойчивые привычки безопасного поведения. Может быть, сотрудникам когда-нибудь придется столкнуться с угрозами, противодействовать которым они не обучались, но полученная база знаний и навыков поможет им сообразить, что делать и, наоборот, не делать в критической ситуации.
Максимальная стоимость на одного работника составляет 4300 руб. в год при минимальной поставке продукта на пять человек. С увеличением числа купленных лицензий цена за единицу уменьшается.
