Тренинги персонала по безопасности: как это делать и делать лучше
На сайте csoonline.com 16 июня 2014 г. размещена статья Т. Армединга о проблемах, связанных с тренингами персонала компаний по безопасности. Автор отмечает, что человеческий фактор выступает самым слабым звеном в охране предприятия. А между тем, как показывают опросы, более половины компаний вообще не проводят занятия со своими сотрудниками по вопросам безопасности.
Недавний отчет EMA (Enterprise Management Associates – основанная в 1996 году исследовательская и консалтинговая организация) дал такие результаты:
- треть персонала (33%) опрошенных 600 компаний использует одни и те же пароли для офисных и собственных девайсов;
- 35% признались, что открывают письма незнакомых корреспондентов;
- почти две трети хранят информацию в «облачных исчислениях»;
- почти столько же хранят конфиденциальные данные компании на своих мобильных устройствах.
К сожалению, многие компании не видят смысла в проведении занятий с персоналом в рамках «программы повышения осведомленности» (awareness program). Часто это объясняется слабым качеством самих программ, даже если они и есть в наличии. Такая форма тренинга как семинары с упором на монологи, сходные с лекциями, не дает должного результата, отмечают эксперты.
Говорит Дж.-Л. Хеймерл, старший стратег по безопасности компании Solutionary: «Эффективная программа повышения осведомленности имеет мало общего с презентацией концепций безопасности. Ее цель – привить сотрудникам новые навыки и привычки, отвечающие задачам безопасности».
При этом огромную роль играет индустриальный профиль компании. Что хорошо для банков, возможно, не будет работать применительно к сфере здравоохранения.
Имеет место быть фаталистическое убеждение, отмечает Хеймерл, что затраты времени и денег на такие тренинги обесцениваются при малейшей оплошности кого-то из работников, ошибочно, случайно кликнувшего на вредоносную ссылку. Да, такое может быть. Но цель программы – минимизировать подобные риски.
Все же в отношении персонала компаний к тренингам по безопасности происходят позитивные сдвиги. Отвечая на вопрос, что им представляется наиболее важным относительно обучения, 66% ответили: «доступность в понимании», а 61% - «легкость в использовании рекомендаций на практике».
Организация Information Security Forum (независимая ассоциация по вопросам информационной защиты) выработала рекомендации по изменению поведения и мышления персонала компаний в правильном направлении. В частности, предлагается:
- помогать работникам осознавать важность мер предосторожности;
- добиваться, чтобы такие меры были понятными и легко усваиваемыми;
- мотивировать, в том числе материально, верные решения;
- не приказывать подчиненным, а вырабатывать правильные привычки;
- разработать и осуществлять политику поощрений и наказаний.
|
вернуться назад
