IT ManagerБезопасностьУправление ИБ

Сотрудники и кибербезопасность: обучит Kaspersky ASAP

Сергей Грицачук | 09.12.2019

Сотрудники и кибербезопасность: обучит Kaspersky ASAP

В заголовке статьи нет опечатки, хотя так может показаться на первый взгляд: речь идет не о традиционной расшифровке аббревиатуры ASAP — As Soon As Possible («Так быстро, как только возможно»), а о новом продукте — Kaspersky Automated Security Awareness Platform. Впрочем, нечто общее все-таки есть: с помощью предлагаемого решения можно достичь поставленной цели в кратчайшие сроки, причем с максимальной эффективностью. Пожалуй, интрига достаточно подогрета, пора заканчивать с аллюзиями — перед нами новейший продукт для обучения сотрудников любой компании навыкам кибербезопасности. Причем с нуля и до уровня, достаточного для любого человека, работающего с компьютерами и имеющего возможность попасть под воздействие сторонних угроз или стать их источником.

«Сотрудник компании как основной источник киберугроз» — это не оксюморон, а печальная статистика, неоднократно подтвержденная многочисленными исследованиями. Специалисты «Лаборатории Касперского» в своих отчетах утверждают: более 80% всех инцидентов кибербезопасности вызваны человеческим фактором; и это не громкие слова, а реальность, подтвержденная цифрами. Судите сами: еще в 2017 году в аналитическом отделе компании подсчитали, что средний ущерб от атак, причиненный по неосторожности (или неосведомленности) сотрудников, оценивался в $83 000, ущерб от атак, связанных с фишингом и применением социальной инженерии, — в $101 000 (на компанию), и только от фишинга — в $400 на человека.

Цель — сегмент SMB

Такой ущерб испытывают компании малого и среднего бизнеса. Почему «под колпак» попали именно они, а не транснациональные корпорации, где количество сотрудников исчисляется десятками, а то и сотнями тысяч? Ответ прост: чем больше компания, тем ответственнее относятся ее руководители к подготовке персонала: регулярно проводятся семинары, курсы повышения квалификации, опросы и экзамены, интер­активные тестирования и прочие тренинги. На все это хватает и времени, и ресурсов, и средств, тем более что большую часть занятий подобные гиганты способны организовать своими силами, на собственной территории и задействовав собственные ресурсы (компьютеры, презентационное оборудование и так далее).

Малому и среднему бизнесу организовать нечто подобное намного сложнее: нехватка времени («а работать когда?»), ограниченность в средствах («год занятий? это не по карману!»), ложная самоуверенность («мы маленькая компания, нам это не надо!») и отсутствие тренировочной базы («где их проводить? в переговорной на пять человек?!») вкупе с отсутствием опыта порождают волну отказов от «киберзащитного» образования. Разумеется, в итоге это приводит к серьезным проблемам, да и в уже упомянутых исследованиях отмечено, что 52% всех пострадавших организаций (включая крупные) по результатам состоявшихся инцидентов готовы признать: главная проблема в стратегии обеспечения ИБ — неосторожность сотрудников (пользователей), от которой не защититься техническими средствами.

Решение — незамедлительно

Понимая проблематичность ситуации, в «Лаборатории Касперского» предложили собственный вариант решения задачи обучения персонала — автоматизированную платформу для повышения осведомленности о кибербезопасности Kaspersky Automated Security Awareness Platform (ASAP). Это не панацея из разряда «пройди 10 заданий, ответь на 100 вопросов и получи сертификат специалиста по кибербезопасности»: напротив, курс обучения рассчитан на год, причем с индивидуальным подходом к каждому обучаемому.

В зависимости от поставленной задачи программа сама определяет набор навыков, необходимых каждому сотруднику в соответствии с его профилем риска, и выстраивает график прохождения программы. Темпы продвижения и объемы материала подбираются индивидуально таким образом, чтобы максимально снизить вероятность переутомления (и последующего нежелания продолжать обучение). Поможет в этом система прогнозирования и упреждения, построенная на базе аналитик и отчетов, — она сама подскажет руководителю, на каких подразделениях или сотрудниках необходимо сфокусировать внимание, чтобы достичь намеченной цели. Сопоставляя полученные показатели с эталонными, ответственный за обучение сразу увидит оптимальный путь развития.

Сотрудников вряд ли придется дополнительно мотивировать какими­либо способами: программный комплекс предлагает систему обучения, построенную на игровой основе и соревновательном подходе. Более того, все задания наглядны, применимы к повседневной работе обучаемых и не содержат умозрительных, оторванных от реальности заданий. И, как уже говорилось, присутствует персонализация: никаких избыточных знаний, только практические и необходимые навыки. И да, сотрудник не получит более сложное задание, прежде чем не усвоит актуальное и не пройдет тест.

В дальнейшем пользователи будут получать письма с напоминанием изученного материала — сообщения начнут поступать через четыре дня после изучения теоретической части (она, к слову, отберет от двух до 10 минут). Многократное повторение закрепит полученные знания, а через три дня будет предложен тест. Если он пройден, то будет организована подставная фишинговая атака — и только после ее успешного распознания начнется дальнейшее продвижение. В общей сложности предполагается, что пользователь получит около 60 навыков — от общего до продвинутого уровня знания основ кибербезопасности: от простого (например, умение распознавать явно вредоносные веб­сайты) к сложному (умение распознавать сложные поддельные ссылки, включая ссылки с замаскированным перенаправлением).

«Интересно! Но ведь наверняка и сложно, и дорого?»

Kaspersky Automated Security Awareness Platform построена на онлайн­схеме. Для ее внедрения (о развертывании и наладке говорить не приходится) достаточно первичной подготовки, которая займет от силы 10–15 минут. Нет, это не шутка: все, что необходимо для старта, — провести оценку текущих знаний, определить цели (с учетом средних общемировых и отраслевых показателей), зарегистрироваться на сайте, запустить занятия. В дальнейшем потребуется лишь разбить сотрудников на группы для удобства (можно создать собственные или воспользоваться готовыми) и задействовать наборы правил, чтобы автоматически определять сотрудников в группы с разным целевым уровнем и интенсивностью в зависимости от имеющегося у них доступа к конфиденциальной информации и специфики выполняемых работ.

Что касается оплаты, то вносить деньги следует исключительно за тех сотрудников, которые проходят обучение, это позволяет руководителю организовать тренинги поэтапно, не расходуя слишком крупные суммы единовременно. Сначала — ключевые сотрудники, в конце — наименее критичные. Как определить профильность и не ошибиться в позиционировании? Вопрос очень индивидуальный: например, управляющие высшего звена и бухгалтеры, имеющие наивысшие полномочия допуска к ключевой информации, — первостепенные кандидаты, а, к примеру, дизайнеров можно оставить в последнем эшелоне, и то с минимальным (базовым) уровнем обучения.

О стоимости следует говорить, базируясь на количестве лицензий и предполагаемых сроках обучения, — политика формирования пакета предложений очень гибкая. Впрочем, для понимания достаточно знать, что решение продвигается по цене от 2673 рублей за одну лицензию. Но сегодня разработчики предлагают более выгодный вариант: при покупке продукта «Kaspersky Endpoint Security для бизнеса Расширенный» клиент получает увлекательный и эффективный тренинг по кибербезопасности Kaspersky Automated Security Awareness Platform с лицензией на 25 пользователей в подарок сроком на шесть месяцев.

кибербезопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 11/2019], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

10.04.2020
Финтех 2020

Москва, InterContinental

14.04.2020 — 15.04.2020
CONFERENCE FOR BEST BRANDS 2.0

Даниловский Event Hall, ул. Дубининская, д. 71, стр. 5

17.04.2020
Онлайн DX DAY 2020 | Digital Transformation

Москва, Онлайн

21.04.2020 — 24.04.2020
Международная выставка «Связь»

Москва, ЦВК «Экспоцентр», Павильоны 2 и 8