ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%

Формирование культуры кибергигиены помогает сократить число ИБ-ошибок со стороны персонала в среднем на 70% за год, выяснили эксперты сервиса повышения киберграмотности сотрудников Security Awareness ГК «Солар». Это критически важно для общего снижения риска взломов и утечек данных, поэтому компания Secure-T (входит в ГК «Солар») разработала первую в РФ комплексную стратегию и фреймворк по выстраиванию корпоративной культуры кибербезопасности – они бесплатно доступны на сайте. Документы помогут организациям сформировать осознанное и ответственное поведение сотрудников в цифровой среде.

Низкая культура информационной безопасности становится причиной большей части киберинцидентов, отмечают аналитики «Солара». Например, более чем в 50% проектов по внутреннему тестированию на проникновение специалистам удалось достичь поставленных целей из-за уязвимых паролей в организациях. Далее более чем в 20% случаев слабые и повторяющиеся пароли позволяли повышать привилегии в инфраструктуре. Также в подавляющем большинстве случаев сотрудники компаний оказывались уязвимы для фишинга, что подтвердили проводимые экспертами «Солара» социотехнические исследования.

Развитие киберграмотности сотрудников – один из базовых механизмов защиты от взломов по вине человеческого фактора. Однако далеко не в каждой компании знают, как эффективно организовать процесс обучения персонала, либо не располагают ресурсами для проработки комплексного подхода к Security Awareness.

Стратегия от Secure-T создана с целью помочь организациям сформировать у себя полноценную киберкультуру. Документ отвечает на самые популярные вопросы корпоративной кибербезопасности: какие участки периметра могут стать источником угрозы, как подготовить сотрудников к возможным действиям злоумышленников, какими мерами дополнить технические средства защиты и др.

Руководство включает в себя:

• Общий план реализации стратегии повышения киберкультуры в компании – со сроками, ключевыми принципами и приоритетами;
• Описание комплекса мероприятий по обучению правилам кибергигиены разных групп персонала – от обычных сотрудников до ИТ/ИБ-специалистов и топ-менеджеров;
• Пошаговый план обучения персонала;
• Метрики для оценки уровня подготовки и вовлеченности сотрудников в сферу киберкультуры;
• Возможные риски и вызовы в ходе реализации стратегии;
• Критерии успеха формирования киберкультуры.

Стратегию можно применять не только к проекту повышения кибеграмотности у персонала, но и к процессам обработки и хранения данных, работе с удаленными сотрудниками и использованию информационных систем. Документ представлен в открытом доступе и будет обновляться в соответствии с динамикой киберугроз.

В дополнение Secure-T подготовил и опубликовал практический фреймворк по повышению уровня киберграмотности рядовых офисных сотрудников. Он содержит еще больше полезной информации: какие приказы и документы необходимы для старта проекта (готовые шаблоны прилагаются), полный перечень тем для уроков и вебинаров, подробный план обучения и метрики эффективности. Фреймворки для обучения топ-менеджеров, технических специалистов и сотрудников ИБ-отдела находятся в разработке и также появятся на сайте.

Харитон Никишкин

Генеральный директор Secure-T

«В последние пару лет компании осознали необходимость обучения сотрудников основам информационной гигиены и безопасности, однако данный процесс был абсолютно не структурирован. Возникало множество вопросов: как наиболее эффективно организовать обучение, какие метрики отслеживать, как оценить результативность программ и действительно ли они помогают? Мы стали изучать международные стандарты и пришли к выводу, что никто не собирал структуру воедино, поэтому решили взять эту задачу на себя и выпустили первую полноценную стратегию по киберкультуре для коммерческих организаций. Ее мы, естественно, сделали публичной и призываем комьюнити включаться в процесс ее развития — общее дело делаем. Также мы готовим набор фреймворков – практических пошаговых руководств по выстраиванию каждого из описанных в стратегии процессов. Сейчас мы выпустили первый – для обучения рядовых сотрудников, – но будут и другие».

Компания Secure-T была создана в 2019 году. За первые три года на платформе прошли обучение более 300 000 пользователей. Решением компании пользуются более 150 организаций, среди которых РЖД, Фаберлик, Додо Пицца и др. В марте 2024 года компания вошла в состав ГК «Солар».