Содержание статьи
А, еще один день, еще одна инициатива правительства по обучению пользователей в области сетевых опасностей.
Канадское правительство объявило октябрь месяцем "Get Cyber Safe" (Сделаем Интернет Безопасным). У кампании есть свой сайт, который советует пользователям, как избежать проблем. Например, обновлять сигнатуры антивируса и не выдавать никому свои пароли.
Насколько эффективны эти общегосударственные кампании предупреждения об опасности? И насколько эффективными могут быть подобные кампании для корпоративных работников?
В конце концов, технологий не достаточно, чтобы защитить организацию. Умный и бдительный персонал также очень важен. И до тех пор, пока невозможно измерить эффективность кампании, сложно оправдать вложенные в нее средства.
К сожалению, сложно понять, насколько они эффективны. В мае австралийское Ведомство по Связи и СМИ выпустило обзор международных инициатив по повышению осведомленности о сетевой безопасности. Как выяснилось, существует не так много способов их оценки, и никто, похоже, не знает, работают они или нет.
Просто этап
В проекте Национальной Инициативы по Образованию в сфере Сетевой Безопасности, опубликованном в августе, американский Национальный Институт Науки и Технологий разделил процесс повышения осведомленности о кибербезопасности на несколько этапов: создание осведомленности, понимание социальных и технических аспектов, принятие личной ответственности (безопасность – это не проблема кого-то другого).
Далее организации должны понимать важность приобретения знаний и инструментов для защиты, применения инструментов и техник, и, в конечном итоге, поддержания того, чего они добились, путем постоянного обновления знаний.
В австралийском отчете тоже содержится несколько полезных указаний. Он советует людям, занимающимся повышением осведомленности, обеспечивать подготовку определенных навыков и использовать интерактивные методические приемы.
Пользователям нужно давать практические задания для повторения, вместо того, чтобы заваливать их сухой теорией, которая быстро забывается.
Лучшие кампании также должны включать в себя систему докладов, чтобы пользователи отчитывались о рисках безопасности, говорится в докладе. Еще он советует организаторам смешивать длительные образовательные программы с коротким, нацеленными на конкретные пункты, микро-кампаниями.
Столкновение культур
Как все это может выглядеть на практике? Нам нужно вспомнить слово на букву К: культура. Если я еще раз услышу, как продавец говорит о "культуре безопасности", я буду плеваться. Но эта фраза превратилась в клише, потому что это правда.
Создание культуры – достаточно хитрая вещь, ибо она требует принятия разными людьми единого видения. Достаточно сложно заставить людей сойтись во мнении относительно того, куда пойти пообедать, что уж говорить о такой скукотище, как кампания по повышению осведомленности о безопасности.
Но недавние разработки в области IT экономики могут дать ответ.
"Игрофикация" добавляет игровые элементы в корпоративную среду. Точка, в которой встречаются игры и социальные сети, оказывается основной.
Когда такая компания, как Zynga (создатель Farmville) предлагает свои акции за миллиард долларов с обещанием ежегодного дохода в $850 миллионов, можно с уверенность сказать, что у подобной идеи большое будущее.
К идее об играх с социальным уклоном, которую пропагандирует Zynga, можно привязать практические элементы, такие как доклады и мониторинг в ходе кампании по повышению осведомленности в области безопасности.
Одни лишь игры и никакой работы
Игровые элементы, такие как наградные значки, доски почета и индикаторы прогресса, могут быть все применены к кампаниям по безопасности. С помощью выполнения простых заданий, таких как смена пароля, можно зарабатывать очки.
Насколько сильно ты можешь противостоять социальной инженерии? Работники могли бы зарабатывать значки, если не поддадутся на звонок подставного лица, пытающегося заставить их обойти порядки компании. Или можно вознаграждать мобильных работников, если они вовремя подключают их лэптопы к виртуальной частной сети для запланированного обновления и технического обслуживания.
Игрофикация могла бы помочь работникам никогда не забывать о безопасности и способствовать культурному сдвигу. Ее эффективность зависит лишь от твоего воображения, но в любом случае, использование тяги работников играть и соревноваться – это более эффективный способ поощрять ответственное поведение, чем просто размахивать справочником и трясти пальцем.
Во время Второй Мировой были плакаты вроде "Болтать – врагу помогать" и радиопередачи, предупреждающие об опасностях. Теперь у нас для этих целей есть социальные медиа и компьютерные игры, которые бы привели наших предков в восторг.