Одной из слабейших сторон большинства систем менеджмента ИБ являются процессы обучения и повышения осведомленности. В то же самое время именно осведомленность работников организации в вопросах ИБ является ключевым фактором защищенности любой организации от киберугроз, если не самым важным фактором, поскольку инсайдерские угрозы составляют не менее 70% всего ландшафта киберугроз, из них 90% - непредумышленные и неграмотные действия пользователей и администраторов.

Для решения этой проблемы предлагаются различные подходы и коммерческие продукты, включая учебные курсы и семинары, тематические игры и квесты, рисование плакатов и листовок, рассылка информационных писем, тесты осведомленности, скринсейверы и экранные заставки, познавательные ролики, мультики и т.п.

Одним из наиболее эффективных и совершенно бесплатных подходов к повышению осведомленности в вопросах ИБ могла бы стать еженедельная рассылка пользователям информационных бюллетеней SANS OUCH! и их последующее обсуждение с менеджером ИБ. Это можно делать в рамках получасовых пятничных чаепитий в конце рабочего дня. Данные мероприятия могут внести значительно больший вклад в повышение информационной безопасности и информационной культуры организации, чем дорогостоящие коммерческие продукты, на которые сливаются ИТ и ИБ бюджеты. Только попробуйте и поймете насколько это эффективно.

Существующего количества публикаций SANS OUCH! хватит минимум на три года подобной интенсивной программы.

Если кому-то известно о еще более эффективных подходах к повышению осведомленности в области ИБ, обязательно поделитесь с нами. Будет очень интересно обсудить.