Цели программы
Во время разработки программ безопасности необходимо придерживаться основного курса, который можно охарактеризовать как «компания постоянно находится под угрозой». Эта фраза должна дойти до всех служащих, и при этом каждый должен понимать, что он играет определенную роль в команде защиты.
Многие аспекты информационной безопасности связаны с технологиями, и поэтому сотрудникам легче думать, что за них всю работу сделают файрволы и прочие компьютерные технологии. Первичная цель тренинга сводится к тому, чтобы люди осознали, что именно они, а не техника находятся на передовой войны с промышленным шпионажем и хакерами. Именно люди являются передним краем всей защиты организации.
Тренинг безопасности предназначен далеко не только для того, чтобы преподнести слушателям правила политики и информационной безопасности. Разработчик программы обучения прежде всего должен уделить внимание служащим, которые могут проигнорировать или недооценить ответственность в части обеспечения безопасности, что нередко случается под давлением текущей работы. Само по себе знание тактики социальных инженеров и способов отражения атак важно, но это имеет значение только при условии, что сотрудники компании мотивированы
на использование этого знания.
Программа, о которой идет речь, может считаться оправданной для компании, если только все закончившие курс убеждены, что информационная безопасность – это составная часть их работы.
Итак, служащие должны прийти к тому факту, что угроза социальной инженерии реальна и что уязвимость служебной информации отражается на них и на их работе так же, как и на всей компании в целом. Для сравнения, небрежность в отношении информационной безопасности сравнима с неосторожностью при вводе и хранении PIN-кода личной кредитки. Такая простая аналогия более чем подходит для поднятия энтузиазма.
