Программа в действии
Многие убеждены в том, что результаты обучения, пусть даже фундаментальным основам, со временем сходят на «нет», если не заботиться о постоянном обновлении собственной базы знаний. И именно поэтому в области социоинженерной защиты крайне важно поддерживать знания сотрудников на должном уровне. Действующая программа информационной безопасности призвана поддерживать этот уровень компетентности.
Один из способов «заставить» служащего принимать решения, не забывая об аспектах безопасности, это превратить саму информационную безопасность в одну из обязанностей, пусть и несколько специфическую. Так можно добиться неплохого результата в том смысле, что сотрудник найдет свое место в деле информационной защиты предприятия. Можно сказать и так – если не прибегнуть к этому методу, то в штате возникнет синдром «безопасность-это-не-моя-забота».
Если обобщенная ответственность за программу безопасности ложится на профессионала – служащего отдела безопасности или IT-департамента, то программа в своем развитии может рассматриваться как совместный проект, в рамках которого один из отделов занимается проведением тренингов.
Реализованная и развивающаяся программа – дело творческое и требует поиска всех возможных каналов воздействия на персонал, причем сообщения и события не должны оставаться незамеченными: хороший пример должен быть на виду. Методология должна задействовать как традиционные способы предоставления информации, так и нетрадиционные – все, что может предложить воображение разработчика программы. Как и в случае с обычной рекламой, на помощь приходит юмор и талант. А разнообразие форм и словосочетаний поможет избежать скучной повторяемости, которую нормальные люди стараются вообще игнорировать.
Действующая программа повышения компетентности может включать в себя:
·
Предоставление копий данной книги всем слушателям программы.
· Тематические вставки в корпоративной литературе или на интранет-сайте (выделяющиеся короткие блоки в тексте, привлекающая внимание графика и т.п.)
· Позиционирование Человека месяца от Безопасности.
· Настенные плакаты в комнатах отдыха и в рекреациях.
· Заметки на доске объявлений в холле.
· Приложения – небольшие брошюрки в конверте с очередным чеком.
· Напоминания по электронной почте.
· Использование тематических экранных заставок на рабочих местах, ориентированных на информационную безопасность.
· Широковещательные сообщения в системе голосовой почты.
· Распечатка стикеров с надписями вроде «Вы уверены, что говорите с тем, с кем Вы думаете, что говорите?»
· Установка напоминаний, возникающих на экране компьютера при входе в систему или по окончании рабочего дня. Например, «Если Вам необходимо отправить письмо, содержащее сведения ДСП, не забудьте зашифровать вложенный файл!»
· Включение категории «компетентность в области информационной безопасности» в стандартные отчеты о проделанной работе и в ежегодные корпоративные обзоры.
· Установка дисплея, например, в кафетерии, на котором время от времени появляются напоминания.
· Распространение на фирме вкладышей и брошюр.
Информационная угроза – величина постоянная, и напоминать об этой угрозе надо с не меньшим постоянством.