Некоторые из вас уже начали составлять бюджет на 2024 год и выделять средства на области безопасности в вашей организации. Можно с уверенностью сказать, что обучение сотрудников по вопросам безопасности также является одной из статей расходов. Однако его эффективность остается открытым вопросом, поскольку люди по-прежнему ведут себя небезопасно на рабочем месте. Кроме того, социальная инженерия остается одной из наиболее распространенных атак, за которой следует успешная утечка данных. Microsoft обнаружила, что популярная форма обучения на основе видео снижает вероятность фиш-кликов в лучшем случае примерно на 3%. По словам Microsoft, это число остается стабильным на протяжении многих лет, в то время как фишинговые атаки увеличиваются с каждым годом.
Несмотря на это, организации верят в тренинги и, как правило, увеличивают свои инвестиции в обеспечение безопасности при обучении сотрудников после атак. Оно занимает второе место в списке приоритетов для 51% организаций сразу после планирования и тестирования реагирования на инциденты, согласно IBM Security "Отчет о стоимости утечки данных за 2023 год".
Итак, что же в обучении по повышению осведомленности о безопасности удерживает нас от отказа от этого? Мы изучили опросы, поговорили с инженерами по ИТ-безопасности и обсудили содержание обучения с создателями нового курса по кибербезопасности.
Время - самый важный ресурс, который используется на пути обучения кибербезопасности. Часто ожидается, что сотрудники выполнят условия поставки в короткие сроки. В быстро меняющейся рабочей среде отказаться от длительного обучения и выполнять ежедневные задачи в соответствии с KPI просто проще.
Но есть специалисты по кибербезопасности, которые настроены адаптироваться к текущему способу работы и короткой концентрации внимания. Cybersecuritoons - это курс по кибербезопасности, предназначенный для изучения основ безопасности всего за 1 минуту и 30 секунд. Вместо обычных длинных видеороликов и презентаций Cybersecuritoons освещает четыре основные темы в 4 коротких мультфильмах: пароли, фишинг, удаленная работа и вредоносное ПО. В целом весь курс занимает 6 минут.
Создатели Cybersecuritoons - это команда экспертов Moonlock, подразделения кибербезопасности компании–разработчика программного обеспечения MacPaw. "Миссия Moonlock - сделать кибербезопасность доступной для всех", - говорит Олег Стукаленко, ведущий менеджер по продуктам Moonlock. "Во-первых, мы интегрировали нашу собственную технологию защиты от вредоносных программ Moonlock Engine в один из самых популярных очистителей macOS в App Store – CleanMyMac X. У него есть одна большая кнопка, которая решает все системные проблемы, включая удаление вредоносных программ. Теперь мы запускаем увлекательный и короткий курс по кибербезопасности, доступный для всех на YouTube ".
Moonlock попадает в точку, выбирая короткий контент. Создатели контента больше не могут рассчитывать на безраздельное внимание людей, и это также относится к контенту по кибербезопасности. Учитывая плотный график работы, небольшое обучение, сопровождаемое соответствующей практикой и интерактивными занятиями, является предпочтительным и более эффективным способом освежить знания в области кибербезопасности.
Отделы безопасности могут устанавливать самые передовые технологии на нескольких линиях защиты, но всего один щелчок, сделанный человеком, может сделать ненужными все инструменты и брандмауэры. В любой из своих форм тренинги по повышению осведомленности - это мягкое напоминание о повседневной рутине, которая может спасти наши организации от финансовых и репутационных потерь в миллионы долларов. IBM Security заявляет, что разница в стоимости утечки данных между компаниями с высоким и низким уровнем внедрения тренингов по повышению осведомленности о безопасности на рабочем месте составила 1,5 миллиона долларов, или 33,9%.
Реальность такова, что мы должны учить сотрудников лучше владеть технологиями корпоративной безопасности. Вместе у нас есть инструменты для создания человеческого фактора устойчивости к кибератакам и непосредственного влияния на формирование процессов обеспечения безопасности в наших организациях. Статистика безжалостно показывает, что большинство атак можно предотвратить, придерживаясь минимальных мер безопасности. Вот почему в ближайшем будущем мы увидим больше контента, подобного Cybersecuritoons: короткого, рассчитанного на разные уровни знаний в области безопасности и доступного. Фактически, ожидается, что рынок тренингов по кибербезопасности достигнет 10 миллиардов долларов к 2026 году. Это далеко от примерно 1 миллиарда долларов годового дохода в 2014 году.
В MacPaw, компании-разработчике программного обеспечения и родине Moonlock и Cybersecuritoons, твердо убеждены, что безопасность организации зависит от всей команды. Артем Бовтюх, инженер по ИТ-безопасности MacPaw, говорит, что, хотя основная цель регулярных тренингов по повышению осведомленности - напомнить основы гигиены безопасности, наиболее важным является развитие культуры безопасности обратной связи в компании. "Эффективность тренингов видна по результатам наших внутренних аудитов. Но самый ценный результат - это то, как наши коллеги обращают внимание на подозрительные события и сообщают о них нам", - говорит Артем.
Обратная связь также помогает команде безопасности формировать проведение тренинга. Артем отмечает, что каждый может прийти к ним с вопросами, подозрениями и мнениями по повседневным вопросам кибербезопасности. Все они будут рассмотрены при составлении контента на следующем тренинге для сотрудников. "Наш опыт показывает, что лучшим стимулом для прохождения занятий по безопасности является не время прохождения или сам факт завершения", - делится Анастасия Хуторова, специалист по обучению и развитию MacPaw. "Мы прозрачно рассказываем о целях тренинга, его последствиях, о том, как он согласуется с бизнес-целями и / или одобрениями компании, и о том, какую роль он играет в профессиональном развитии наших коллег".
MacPaw рекомендует всем командам брать выходные для ознакомления с материалами по повышению осведомленности о безопасности. Согласно политике, для обучения предусмотрены специальные дни, которые все члены команды могут использовать, чтобы сосредоточиться на получении новых знаний, включая знания по кибербезопасности. Возвращаясь к нехватке времени как основной причине, по которой сотрудники пропускают тренинги или ведут себя небезопасно на работе, идея выделения выделенного времени звучит более чем разумно.
Несмотря на это, организации верят в тренинги и, как правило, увеличивают свои инвестиции в обеспечение безопасности при обучении сотрудников после атак. Оно занимает второе место в списке приоритетов для 51% организаций сразу после планирования и тестирования реагирования на инциденты, согласно IBM Security "Отчет о стоимости утечки данных за 2023 год".
Итак, что же в обучении по повышению осведомленности о безопасности удерживает нас от отказа от этого? Мы изучили опросы, поговорили с инженерами по ИТ-безопасности и обсудили содержание обучения с создателями нового курса по кибербезопасности.
Люди хотят учиться, но у них нет времени
Низкая эффективность обучения больше не может быть оправдана отсутствием интереса со стороны сотрудников. Ошеломляющие 64% опрошенных CybSafe research попросили выделить время для включения занятий по повышению осведомленности о безопасности в их рабочий график. Кроме того, 43% сотрудников сочли вовлеченность и интерактивность более убедительными стимулами, чем финансовое вознаграждение, что свидетельствует о потребности в динамичном и практическом опыте. По словам CybSafe, "Это указывает на то, что сотрудники ценят интеграцию обучения в свою рутину больше, чем внешнее вознаграждение".Время - самый важный ресурс, который используется на пути обучения кибербезопасности. Часто ожидается, что сотрудники выполнят условия поставки в короткие сроки. В быстро меняющейся рабочей среде отказаться от длительного обучения и выполнять ежедневные задачи в соответствии с KPI просто проще.
Но есть специалисты по кибербезопасности, которые настроены адаптироваться к текущему способу работы и короткой концентрации внимания. Cybersecuritoons - это курс по кибербезопасности, предназначенный для изучения основ безопасности всего за 1 минуту и 30 секунд. Вместо обычных длинных видеороликов и презентаций Cybersecuritoons освещает четыре основные темы в 4 коротких мультфильмах: пароли, фишинг, удаленная работа и вредоносное ПО. В целом весь курс занимает 6 минут.
Создатели Cybersecuritoons - это команда экспертов Moonlock, подразделения кибербезопасности компании–разработчика программного обеспечения MacPaw. "Миссия Moonlock - сделать кибербезопасность доступной для всех", - говорит Олег Стукаленко, ведущий менеджер по продуктам Moonlock. "Во-первых, мы интегрировали нашу собственную технологию защиты от вредоносных программ Moonlock Engine в один из самых популярных очистителей macOS в App Store – CleanMyMac X. У него есть одна большая кнопка, которая решает все системные проблемы, включая удаление вредоносных программ. Теперь мы запускаем увлекательный и короткий курс по кибербезопасности, доступный для всех на YouTube ".
Moonlock попадает в точку, выбирая короткий контент. Создатели контента больше не могут рассчитывать на безраздельное внимание людей, и это также относится к контенту по кибербезопасности. Учитывая плотный график работы, небольшое обучение, сопровождаемое соответствующей практикой и интерактивными занятиями, является предпочтительным и более эффективным способом освежить знания в области кибербезопасности.
Человеческое решение человеческих ошибок
Стресс, необходимость соблюдать сроки и эмоциональное выгорание - вот причины, по которым люди совершают ошибки и прибегают к взлому социальной инженерии. Когда Tessian опросила сотрудников для отчета "Психология человеческих ошибок", 50% респондентов заявили, что на них оказывалось давление из-за нехватки времени, когда они отправляли не то электронное письмо не тому человеку или с неправильным вложением.Отделы безопасности могут устанавливать самые передовые технологии на нескольких линиях защиты, но всего один щелчок, сделанный человеком, может сделать ненужными все инструменты и брандмауэры. В любой из своих форм тренинги по повышению осведомленности - это мягкое напоминание о повседневной рутине, которая может спасти наши организации от финансовых и репутационных потерь в миллионы долларов. IBM Security заявляет, что разница в стоимости утечки данных между компаниями с высоким и низким уровнем внедрения тренингов по повышению осведомленности о безопасности на рабочем месте составила 1,5 миллиона долларов, или 33,9%.
Реальность такова, что мы должны учить сотрудников лучше владеть технологиями корпоративной безопасности. Вместе у нас есть инструменты для создания человеческого фактора устойчивости к кибератакам и непосредственного влияния на формирование процессов обеспечения безопасности в наших организациях. Статистика безжалостно показывает, что большинство атак можно предотвратить, придерживаясь минимальных мер безопасности. Вот почему в ближайшем будущем мы увидим больше контента, подобного Cybersecuritoons: короткого, рассчитанного на разные уровни знаний в области безопасности и доступного. Фактически, ожидается, что рынок тренингов по кибербезопасности достигнет 10 миллиардов долларов к 2026 году. Это далеко от примерно 1 миллиарда долларов годового дохода в 2014 году.
Как обратная связь трансформирует тренинги по повышению осведомленности
Как и при любом подходе, ориентированном на человека, при создании персонального брандмауэра следует учитывать тот факт, что люди разные. Это дает командам безопасности возможность постоянно пересматривать свою стратегию обучения по повышению осведомленности в области безопасности. Они переключают внимание с формального образования на оснащение своих коллег инструментами, помогающими специалистам по безопасности в случае кибератаки.В MacPaw, компании-разработчике программного обеспечения и родине Moonlock и Cybersecuritoons, твердо убеждены, что безопасность организации зависит от всей команды. Артем Бовтюх, инженер по ИТ-безопасности MacPaw, говорит, что, хотя основная цель регулярных тренингов по повышению осведомленности - напомнить основы гигиены безопасности, наиболее важным является развитие культуры безопасности обратной связи в компании. "Эффективность тренингов видна по результатам наших внутренних аудитов. Но самый ценный результат - это то, как наши коллеги обращают внимание на подозрительные события и сообщают о них нам", - говорит Артем.
Обратная связь также помогает команде безопасности формировать проведение тренинга. Артем отмечает, что каждый может прийти к ним с вопросами, подозрениями и мнениями по повседневным вопросам кибербезопасности. Все они будут рассмотрены при составлении контента на следующем тренинге для сотрудников. "Наш опыт показывает, что лучшим стимулом для прохождения занятий по безопасности является не время прохождения или сам факт завершения", - делится Анастасия Хуторова, специалист по обучению и развитию MacPaw. "Мы прозрачно рассказываем о целях тренинга, его последствиях, о том, как он согласуется с бизнес-целями и / или одобрениями компании, и о том, какую роль он играет в профессиональном развитии наших коллег".
MacPaw рекомендует всем командам брать выходные для ознакомления с материалами по повышению осведомленности о безопасности. Согласно политике, для обучения предусмотрены специальные дни, которые все члены команды могут использовать, чтобы сосредоточиться на получении новых знаний, включая знания по кибербезопасности. Возвращаясь к нехватке времени как основной причине, по которой сотрудники пропускают тренинги или ведут себя небезопасно на работе, идея выделения выделенного времени звучит более чем разумно.
