Искусство обмана


Структура тренинга


Прежде всего необходим вводный курс по информационной безопасности, обязательный для всех служащих предприятия. Новые сотрудники, в свою очередь, обязаны закончить этот курс в рамках подготовительного периода. Я лично не рекомендую допускать новых сотрудников к компьютерной технике без прохождения курса повышения компетентности.

Этот начальный курс должен фокусировать внимание слушателей на социоинженерной проблеме, но, одновременно с этим, должен быть достаточно кратким, чтобы запомнились его основные установки. По моему мнению, важна именно концентрация и мотивация, а не длительные лекции, которые приводят сотрудников в полное оцепенение от объема свалившейся на них информации.

Акцент вводного курса должен быть поставлен на понимание серьезности ущерба, который может быть нанесен как всей компании, так и каждому служащему в отдельности. Еще раз повторюсь, что мотивация, личная ответственность в защите данных видится здесь делом более важным, чем изучение специфики информационной безопасности.

В тех случаях, когда некоторые сотрудники не могут посещать очные курсы, можно подумать об иных методиках – видео-уроки, компьютерные обучающие программы, печатные материалы.

Вслед за коротким вводным курсом, одинаковым для всех, следует более длительный курс, освещающий отдельные потенциальные уязвимости, способы нападения и предупреждения атак. Причем преподносимая информация должна непосредственно зависеть от должности служащего. Сама сущность угрозы, так же как и методы воздействия на людей постоянно совершенствуются, так что этот курс необходимо актуализировать. Кроме того, осторожность у людей со временем ослабевает и в противовес этому курс необходимо проводить снова и снова. В нем, кроме обновления знаний, стоит делать ударение на мотивацию и важность информационной защиты для предприятия.

Менеджеры должны уделять определенное время обучению своих подчиненных правилам и процедурам безопасности и всестороннее поддерживать программу повышения компетентности. От служащих нельзя требовать «зубрежки» политики безопасности или посещения тренингов и семинаров в нерабочее время. Новым сотрудникам, до фактического принятия должностных обязанностей, следует выделить некоторое время, достаточное для обзорного изучения этой политики.

Служащие, которые поменяли должность или должностные обязанности должны, конечно же, посетить курс безопасности, соответствующий своим новым обязанностям и новым типам служебных данных. Например, если оператор становится администратором, или секретарь переходит на должность помощника администратора, то такое дополнительное обучение крайне актуально.



Содержание раздела