Повышение осведомлённости сотрудников о правилах кибербезопасности — один из вечных трендов ИБ-сферы. И один из тех, которыми особенно часто пренебрегают, согласно ежегодно публикуемой статистике. Финансовые потери, операционные сбои, утрата партнёров и клиентов и, как следствие, ухудшение делового имиджа случаются гораздо чаще, чем это можно себе представить.
- Введение
- Очное vs дистанционное
- С чего начать
- Тренды дистанционного обучения
- Проверяем знания
- Не забываем о реальности
- Печать в помощь
- Выводы
Введение
В любой уважающей себя компании существуют внутренние регламенты, политики и методики, посвящённые правилам хранения и обработки конфиденциальной информации. Увы, само по себе наличие этих документов не даёт ровным счётом ничего. Реальную защиту обеспечивают сотрудники, которые точно следуют прописанным в документах требованиям. Но где найти таких идеальных защитников?
Хитрость — в том, что их нужно не искать, а, скажем так, выращивать. Комплекс мероприятий и материалов, направленных на повышение осведомлённости в сфере ИБ, позволяет сформировать в компании культуру работы с ценными данными. Если всё подобрано верно, сотрудники начинают соблюдать правила информационной безопасности на рефлекторном уровне — и вам уже не придётся заботиться о том, что кто-то из них не заблокирует экран компьютера, потеряет токен или забудет квартальный отчёт в лотке принтера.
Очное vs дистанционное
Не секрет, что большинство российских компаний обучает своих сотрудников — если вообще обучает — по старинке, в очном формате. Чаще всего это — вводные инструктажи по информационной безопасности для новичков, которые проводят сотрудники соответствующих подразделений. Реже инструктажи дополняются почтовыми рассылками с выдержками из уже упомянутых регламентов и политик конфиденциальной информации.
Та же статистика показывает, что такой подход больше не работает. Во всём мире очное обучение быстро уступает место обучению дистанционному. И на это есть ряд причин. Самая приятная для бизнеса — снижение затрат: электронные материалы разрабатываются и покупаются один раз, а используются столько, сколько необходимо. Ещё одна причина выбрать e-learning — удобство: интерактивные курсы, видеоролики и браузерные игры можно просматривать на разных видах устройств — компьютере, планшете или смартфоне — в любое время. Немаловажно и то, что при выборе дистанционного обучения мероприятия проводятся для неограниченного количества сотрудников, в разных регионах страны — без затрат на выезд тренеров и решение организационных вопросов.
Есть и такое, неочевидное на первый взгляд, преимущество: все давно знают, чего можно ожидать от очного обучения. Грубо говоря, оно не способно удивить сотрудника, по-настоящему вовлечь его в процесс повышения осведомлённости. В то же время дистанционное обучение каждый год демонстрирует новые методы и технологии. Онлайн-тренажёры, симуляторы бизнес-процессов, VR-кейсы, многопользовательские игры — все эти форматы доказывают, что своего «потолка» e-learning достигнет ещё очень нескоро.
Рисунок 1. Примеры дистанционных обучающих материалов. Электронные курсы
С чего начать
Конечно, с целевой аудитории. Разделите ваших сотрудников на группы и найдите темы, актуальные для каждой из них. Топ-менеджерам вряд ли будет интересно изучать уязвимости программного обеспечения, а для разработчиков это — один из главных аспектов ИБ.
Когда темы определены, подумайте о форматах обучающих материалов: их тоже нужно персонализировать. Например, у сотрудников фронт-офиса не так много свободного времени, а иногда и нет личного рабочего компьютера. Им подойдут короткие видеоролики и яркие плакаты — их можно размещать и демонстрировать и в рабочих помещениях, и в комнатах отдыха. Сотрудники бек-офиса могут уделить обучению больше внимания, поэтому им лучше адресовать электронные курсы со включённой проверкой знаний и периодические почтовые рассылки.
Ещё одна хорошая практика — перед тем, как проводить обучение по информационной безопасности, проверить, что ваши сотрудники уже знают. Самый простой способ это сделать — провести тестирование, даже небольшое, и разослать письма, имитирующие настоящие вредоносные послания. Собрав статистику, вы поймёте, на каких темах нужно сделать основной акцент.
Тренды дистанционного обучения
Собственно, об одном из трендов я уже упомянула — это персонализация, разработка материалов с учётом потребностей целевой аудитории. Персонализации можно достигнуть не только за счёт подбора разных форматов, но и с помощью вариативности внутри одного из них — например, создавая несколько траекторий прохождения электронного курса, давая возможность выбрать сложность практических заданий или повторить пройденный материал. Если сотрудник понимает, что ему предоставлена определённая степень свободы, обучающий процесс становится для него более приятным и менее стрессовым, а значит, приносит лучшие результаты.
Следующий тренд e-learning — геймификация. Помимо собственно игр геймификация также активно используется в электронных курсах. Она предполагает добавление в материалы игровых элементов — персонажей, анимации, увлекательного и нестандартного сюжета. Задания в геймифицированных курсах, как правило, постепенно усложняются, а за их успешное прохождение сотрудникам выдаются награды. Главное здесь — не заиграться, совместить приятное с полезным именно в той пропорции, которая даст максимальный обучающий эффект.
Наконец, ещё один тренд — микрообучение. Оно предполагает подачу теории небольшими блоками и закрепление каждого из них практикой. Например, после пяти-шести слайдов курса пользователь должен ответить на тестовый вопрос или выполнить простое упражнение. Если речь идёт о видеороликах, то их лучше делать длиной не более двух минут. Три коротких, объединённых забавным сюжетом ролика будут для сотрудников гораздо полезнее, чем тягомотная шестиминутная проповедь. Впрочем, дробить обучение до бесконечности не стоит: так легко потерять и логику повествования, и интерес аудитории.
Рисунок 2. Примеры дистанционных обучающих материалов. Браузерные игры
Проверяем знания
В качестве средств проверки знаний чаще всего выступают тесты, упражнения и кейсы в рамках электронных курсов, а также тренажёры и бизнес-симуляторы, направленные на отработку чёткой последовательности действий. В любом случае, они эффективны главным образом тогда, когда вы можете отслеживать, насколько успешно сотрудники компании их проходят. А это значит, что вам очень желательно обзавестись системой дистанционного обучения (СДО) и загружать материалы уже в неё. Рынок предлагает достаточно вариантов — подобрать нужный не составит труда.
Раньше я упоминала о рассылках, имитирующих вредоносные письма. Учебные фишинговые рассылки хорошо использовать и для периодической проверки знаний. В этом случае они отправляются пользователям выборочно, по разным сценариям и в разных шаблонах — и идут в тесной связке с основными обучающими материалами. Например, если ваш сотрудник «поддался на провокацию» и открыл скомпилированное фишинговое письмо, то его можно повторно направить на изучение курса, посвящённого социальной инженерии. Кстати, в некоторые СДО входит учебный фишинговый модуль — тоже повод задуматься о приобретении такой системы.
Не забываем о реальности
Обучение становится вдвойне приятным, когда его результаты можно сравнить с достижениями других пользователей, а ещё лучше — увидеть в реальной жизни. С первым поможет создание рейтингов обучения и выделение лидеров. В ряде СДО есть такая возможность, а если нет — рейтинг достаточно просто разместить и обновлять на корпоративном портале. Визуализация может быть самой разной, от стандартного покорения горных вершин до, скажем, прохождения процесса эволюции.
Что касается реальной жизни, то здесь нужно вспомнить о геймификации и свойственных ей системах достижений — медалях, кубках, звёздочках, щитах (от ассоциирования информационной безопасности со щитом никуда не деться). Создайте систему премирования за наибольшее количество достижений, и рост мотивации не заставит себя долго ждать. Кому не захочется получить, к примеру, дополнительный день отпуска или скидки на фирменную продукцию за успешное прохождение электронных курсов!
Печать в помощь
Электронное обучение принято дополнять печатными материалами — памятками, буклетами, плакатами, стикерами. Они добавляют ещё одну монетку в копилку «реальности» обучения и отлично справляются с задачей сделать его разнообразным и запоминающимся. Не бойтесь привлекать к их оформлению профессиональных дизайнеров и иллюстраторов: экономить на внешнем виде в данном случае не стоит.
Кстати, именно памятки и буклеты имеет смысл внедрять в обучающий процесс первыми. Если разработанные для них концепции и персонажи понравятся и запомнятся сотрудникам, их вполне можно будет применять и в других материалах.
Выводы
Заставить человека учить то, что ему не интересно, и соблюдать то, что ему не понятно, — невозможно. Создавая для сотрудников комплексные программы повышения осведомлённости, излагая материал простым и доступным языком и облекая его в игровую форму, вы делаете вклад в безопасность — вашу, вашей компании и ваших клиентов. И если всё сделано «по науке», то эти вложения непременно окупятся.
