Вильям Саймон и др.: «Искусство обмана»
Так как многие аспекты информационной безопасности являются «вовлекающей» техноло-
гией, то сотрудникам легко представить, что проблема обнаружится файерволом или другими 
средствами защиты. Главная цель здесь – заставить находящихся на ответственных местах со-
трудников осознать, как усилить информационную «броню» организации.
Тренинг по безопасности должен быть более важной целью, чем простые правила для озна-
комления. Создатель тренинга должен признать сильное желание части сотрудников, которые 
под давлением желания окончить работу не обратят внимание или проигнорируют обязанности 
по обеспечению защиты. Знание тактик и приемов социнженерии и пути их предотвращения без-
условно важны, но они будут бесполезны без фокусирования создателя тренинга на мотивации 
работников использовать эти знания.
Компания может считать цель достигнутой, если все ее сотрудники свыкнуться с мыслью, 
что защита информации – часть их работы.
Сотрудники должны прийти к серьезному убеждению, что атаки социальной инженерии 
реальны, что потеря важной корпоративной информации может угрожать не только компании, 
но персонально каждому из них, их работе и благосостоянию. Не заботиться об информацион-
ной безопасности эквивалентно не заботиться о своем PIN-коде или номере кредитной карты. 
Эту аналогию можно использовать, чтобы вызвать энтузиазм в тренинге со стороны подчинен-
ных.
Учреждение обучающего тренинга
Ответственный за разработку программы информационной безопасности должен свык-
нуться с мыслью, что это не проект «один размер на всех». В некоторой степени данный тренинг 
нуждается в выработке специфических требований для отдельных групп сотрудников, участвую-
щих в делопроизводстве. В то время как описанные в главе 16 политики безопасности примени-
мы ко всем без исключения работникам, другие уникальны. По минимуму, большинство компа-
ний должно иметь в своем арсенале тренинги для следующих групп персонала: менеджеры, IT-
сотрудники, пользователи ПК, обслуживающий персонал, администраторы и их ассистенты, тех-
ники связи, охранники. (Смотри деление полиции по роду занятий в главе 16.)
Начнем с персонала отдела технической безопасности: удивительно надеяться на неопыт-
ность в компьютерах и на ограниченность его сотрудников, которые не будут, как вам кажется, 
входить в контакт с другими компьютерами компании и экспериментировать – обычно это упус -
кается из внимания при подготовке программы этого типа. Также социнженер может убедить 
охрану или другого работника впустить его в здание, или офис, или предоставить доступ, ре-
зультатом которого станет компьютерное проникновение. Проще говоря – взлом. Пока охранни-
ки конечно не нуждаются в прохождении полного курса тренировочной программы, которая 
необходима персоналу, непосредственно работающему с компьютерами, но и они недолжны 
быть забыты.
В корпоративном мире существует несколько положений о том, чему должны быть обуче-
ны все сотрудники. Они одновременно и важны, и скучны, что присуще безопасности. Действи-
тельно хорошая программа по повышению информационной безопасности должна как инфор-
мировать, так и захватывать внимание, рождать энтузиазм у обучающихся.
Целью должна стать увлекательная, интерактивная программа. Технические приемы обуче-
ния должны включать демонстрацию социнженерии с помощью игры по ролям; обзорные медиа-
отчеты о последних атаках на других менее удачливых конкурентов и обсуждения путей предот-
вращения потери информации; просмотр специальных видео-материалов по безопасности, кото-
рые непосредственно вводят в курс и обучают одновременно. Такие материалы всегда можно 
найти в компаниях, занимающихся обеспечением информационной безопасности.

Download 0.94 Mb.

Do'stlaringiz bilan baham: