ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%

Формирование культуры кибергигиены помогает сократить число ИБ-ошибок со стороны персонала в среднем на 70% за год,
выяснили эксперты сервиса повышения киберграмотности сотрудников Security Awareness ГК «Солар». Это критически важно
для общего снижения риска взломов и утечек данных, поэтому компания Secure-T (входит в ГК «Солар») разработала
первую в РФ комплексную стратегию и фреймворк по выстраиванию корпоративной культуры кибербезопасности — они
бесплатно доступны на сайте. Документы помогут организациям сформировать
осознанное и ответственное поведение сотрудников в цифровой среде.


Низкая культура информационной безопасности становится причиной большей части киберинцидентов, отмечают аналитики
«Солара». Например, более чем в 50% проектов по внутреннему тестированию на проникновение специалистам удалось
достичь поставленных целей из-за уязвимых паролей в организациях. Далее более чем в 20% случаев слабые и
повторяющиеся пароли позволяли повышать привилегии в инфраструктуре. Также в подавляющем большинстве случаев
сотрудники компаний оказывались уязвимы для фишинга, что подтвердили проводимые экспертами «Солара» социотехнические
исследования.


Развитие киберграмотности сотрудников — один из базовых механизмов защиты от взломов по вине человеческого фактора.
Однако далеко не в каждой компании знают, как эффективно организовать процесс обучения персонала, либо не
располагают ресурсами для проработки комплексного подхода к Security Awareness.


Стратегия от Secure-T
создана с целью помочь организациям сформировать у себя полноценную киберкультуру. Документ отвечает на самые
популярные вопросы корпоративной кибербезопасности: какие участки периметра могут стать источником угрозы, как
подготовить сотрудников к возможным действиям злоумышленников, какими мерами дополнить технические средства защиты и
др.


Руководство включает в себя:



Общий план реализации стратегии повышения киберкультуры в компании — со сроками, ключевыми принципами и
приоритетами;


Описание комплекса мероприятий по обучению правилам кибергигиены разных групп персонала — от обычных сотрудников
до ИТ/ИБ-специалистов и топ-менеджеров;


Пошаговый план обучения персонала;


Метрики для оценки уровня подготовки и вовлеченности сотрудников в сферу киберкультуры;


Возможные риски и вызовы в ходе реализации стратегии;


Критерии успеха формирования киберкультуры.



Стратегию можно применять не только к проекту повышения кибеграмотности у персонала, но и к процессам обработки и
хранения данных, работе с удаленными сотрудниками и использованию информационных систем. Документ представлен в
открытом доступе и будет обновляться в соответствии с динамикой киберугроз.


В дополнение Secure-T подготовил и опубликовал практический фреймворк по повышению уровня киберграмотности рядовых
офисных сотрудников. Он содержит еще больше полезной информации: какие приказы и документы необходимы для старта
проекта (готовые шаблоны прилагаются), полный перечень тем для уроков и вебинаров, подробный план обучения и метрики
эффективности. Фреймворки для обучения топ-менеджеров, технических специалистов и сотрудников ИБ-отдела находятся в
разработке и также появятся на сайте.



Харитон Никишкин
Генеральный директор Secure-T


«В последние пару лет компании осознали необходимость обучения сотрудников основам информационной гигиены и
безопасности, однако данный процесс был абсолютно не структурирован. Возникало множество вопросов: как наиболее
эффективно организовать обучение, какие метрики отслеживать, как оценить результативность программ и действительно
ли они помогают? Мы стали изучать международные стандарты и пришли к выводу, что никто не собирал структуру воедино,
поэтому решили взять эту задачу на себя и выпустили первую полноценную стратегию по киберкультуре для коммерческих
организаций. Ее мы, естественно, сделали публичной и призываем комьюнити включаться в процесс ее развития — общее
дело делаем. Также мы готовим набор фреймворков — практических пошаговых руководств по выстраиванию каждого из
описанных в стратегии процессов. Сейчас мы выпустили первый — для обучения рядовых сотрудников, — но будут и
другие».



Компания Secure-T была создана в 2019 году. За первые три года на платформе прошли обучение более 300 000
пользователей. Решением компании пользуются более 150 организаций, среди которых РЖД, Фаберлик, Додо Пицца и др. В
марте 2024 года компания вошла в состав ГК «Солар».

Формирование культуры кибергигиены помогает сократить число ИБ-ошибок со стороны персонала в среднем на 70% за год, выяснили эксперты сервиса повышения киберграмотности сотрудников Security Awareness ГК «Солар». Это критически важно для общего снижения риска взломов и утечек данных, поэтому компания Secure-T (входит в ГК «Солар») разработала первую в РФ комплексную стратегию и фреймворк по выстраиванию корпоративной культуры кибербезопасности — они бесплатно доступны на сайте. Документы помогут организациям сформировать осознанное и ответственное поведение сотрудников в цифровой среде.

Низкая культура информационной безопасности становится причиной большей части киберинцидентов, отмечают аналитики «Солара». Например, более чем в 50% проектов по внутреннему тестированию на проникновение специалистам удалось достичь поставленных целей из-за уязвимых паролей в организациях. Далее более чем в 20% случаев слабые и повторяющиеся пароли позволяли повышать привилегии в инфраструктуре. Также в подавляющем большинстве случаев сотрудники компаний оказывались уязвимы для фишинга, что подтвердили проводимые экспертами «Солара» социотехнические исследования.

Развитие киберграмотности сотрудников — один из базовых механизмов защиты от взломов по вине человеческого фактора. Однако далеко не в каждой компании знают, как эффективно организовать процесс обучения персонала, либо не располагают ресурсами для проработки комплексного подхода к Security Awareness.

Стратегия от Secure-T создана с целью помочь организациям сформировать у себя полноценную киберкультуру. Документ отвечает на самые популярные вопросы корпоративной кибербезопасности: какие участки периметра могут стать источником угрозы, как подготовить сотрудников к возможным действиям злоумышленников, какими мерами дополнить технические средства защиты и др.

Руководство включает в себя:

• Общий план реализации стратегии повышения киберкультуры в компании — со сроками, ключевыми принципами и приоритетами;
• Описание комплекса мероприятий по обучению правилам кибергигиены разных групп персонала — от обычных сотрудников до ИТ/ИБ-специалистов и топ-менеджеров;
• Пошаговый план обучения персонала;
• Метрики для оценки уровня подготовки и вовлеченности сотрудников в сферу киберкультуры;
• Возможные риски и вызовы в ходе реализации стратегии;
• Критерии успеха формирования киберкультуры.

Стратегию можно применять не только к проекту повышения кибеграмотности у персонала, но и к процессам обработки и хранения данных, работе с удаленными сотрудниками и использованию информационных систем. Документ представлен в открытом доступе и будет обновляться в соответствии с динамикой киберугроз.

В дополнение Secure-T подготовил и опубликовал практический фреймворк по повышению уровня киберграмотности рядовых офисных сотрудников. Он содержит еще больше полезной информации: какие приказы и документы необходимы для старта проекта (готовые шаблоны прилагаются), полный перечень тем для уроков и вебинаров, подробный план обучения и метрики эффективности. Фреймворки для обучения топ-менеджеров, технических специалистов и сотрудников ИБ-отдела находятся в разработке и также появятся на сайте.

Харитон Никишкин

Генеральный директор Secure-T

«В последние пару лет компании осознали необходимость обучения сотрудников основам информационной гигиены и безопасности, однако данный процесс был абсолютно не структурирован. Возникало множество вопросов: как наиболее эффективно организовать обучение, какие метрики отслеживать, как оценить результативность программ и действительно ли они помогают? Мы стали изучать международные стандарты и пришли к выводу, что никто не собирал структуру воедино, поэтому решили взять эту задачу на себя и выпустили первую полноценную стратегию по киберкультуре для коммерческих организаций. Ее мы, естественно, сделали публичной и призываем комьюнити включаться в процесс ее развития — общее дело делаем. Также мы готовим набор фреймворков — практических пошаговых руководств по выстраиванию каждого из описанных в стратегии процессов. Сейчас мы выпустили первый — для обучения рядовых сотрудников, — но будут и другие».

Компания Secure-T была создана в 2019 году. За первые три года на платформе прошли обучение более 300 000 пользователей. Решением компании пользуются более 150 организаций, среди которых РЖД, Фаберлик, Додо Пицца и др. В марте 2024 года компания вошла в состав ГК «Солар».