В банке DeltaCredit применяется многоступенчатая программа повышения осведомленности работников в области информационной безопасности, призванная повысить защищенность активов банка и снизить его бизнес-риски
Как известно, компетенция работников — это один из ключевых факторов успешного развития и стабильной работы любой компании. Поскольку современные организации очень активно используют информационные технологии, развитие знаний и навыков сотрудников в области информационной безопасности наравне с компетенциями в рамках их основной деятельности становится очень важной частью профессионального совершенствования персонала, причем не только офисного.
Участие всех сотрудников в решении вопросов информационной безопасности позволяет не только повысить защищенность активов компании, но и положительно сказывается как на взаимодействии персонала внутри компании, так и на взаимоотношениях с ее контрагентами. Компетентность сотрудников в вопросах ИБ, умение применять эти навыки и знания в основной деятельности существенно повышают доверие со стороны клиентов и партнеров и способствуют более стабильным отношениям, поскольку заметно снижают бизнес-риски.
Коммерческий банк DeltaCredit (входит в группу Societe Generale) не является исключением и понимает значимость обеспечения информационной безопасности в своей деятельности. В банке применяется многоступенчатая программа, которая включает следующие направления:
• изучение основ информационной безопасности для всех вновь принятых сотрудников;
• комплексное обучение руководителей всех уровней основам информационной безопасности;
• дистанционное обучение и тестирование сотрудников по основным требованиям информационной безопасности;
• проведение тематических мероприятий по наиболее актуальным вопросам ИБ;
• использование тематических рассылок по электронной почте и корпоративных постеров по информационной безопасности с целью повышения внимания сотрудников к вопросам ИБ и их оперативного информирования по наиболее важным для компании аспектам информационной безопасности.
Роман Чаплыгин — руководитель отдела информационной безопасности банка DeltaCredit;
rchaplygin@deltacredit.ru |
Изучение основ информационной безопасности проходит на ежеквартальной основе (для всех вновь принятых сотрудников за этот период) в виде тематических секций в рамках специально разработанной программы адаптации новых сотрудников DeltaCredit Way. Эти секции включают их знакомство с основными правилами, порядками и способами защиты информации в банке и направлены не только на доведение основных требований до работников, но и на разъяснение роли и значимости ИБ как для банка в целом, так и для отдельного сотрудника.
Комплексное обучение (IT Security Training) проводится раз в год и включает обзор структуры, требований и методов обеспечения информационной безопасности в банке. Цель — разъяснение потребностей и выгод от обеспечения информационной безопасности. В рамках этих образовательных программ освещаются основы российского и международного законодательства, а также наиболее интересный и наилучшим образом зарекомендовавший себя опыт ИБ. Помимо теории, сотрудники знакомятся с типичными примерами внешних и внутренних нарушений информационной безопасности, а также способами предотвращения этих нарушений и минимизации связанных с ними рисков. Обучение помогает сотрудникам понять свою роль в деле обеспечения информационной безопасности банка. Кроме того, появляется возможность в большей степени привлечь руководителей подразделений к обеспечению ИБ, что способствует формированию дополнительного канала воздействия и контроля за действиями сотрудников.
Альтернативой очным мероприятиям являются интерактивные дистанционные методы обучения сотрудников. Для этого в банке используется SecurityPass — специально разработанные динамические обучающие материалы (видеоролики и flash-открытки) с примерами производственных ситуаций, связанных с нарушениями информационной безопасности, и разъяснениями о том, как следует действовать, если такие ситуации возникнут. Данные мероприятия также осуществляются на ежегодной основе и охватывают всех работников банка.
В деятельности любой компании встречаются производственные ситуации, требующие особого внимания и индивидуального подхода. Применительно к таким случаям в банке разрабатываются и проводятся специальные тематические курсы. Необходимость таких курсов может быть вызвана, например, изменениями в законодательстве либо в отраслевых требованиях по информационной безопасности или различными нежелательными событиями. Как правило, данные курсы ориентированы на узкий круг работников и направлены на доведение до заинтересованных лиц детальных разъяснений или на привлечение их внимания к выявленным пробелам в знаниях и навыках, относящихся к ИБ, и к необходимости усиления контроля в этих областях. В частности, имеются курсы, нацеленные на повышение осведомленности в области обработки информации, содержащей персональные данные или иную конфиденциальную информацию, в рамках конкретного подразделения банка и с учетом его специфики.
Еще одним каналом повышения осведомленности работников банка в вопросах информационной безопасности является рассылка по корпоративной электронной почте предупредительных или разъяснительных сообщений. Подобные рассылки позволяют оперативно оповещать сотрудников об изменениях во внутренней или внешней нормативной базе по информационной безопасности, доводить до персонала информацию о рисках, связанных с вновь обнаруживаемыми уязвимостями в применяемом ПО или при использовании Интернета, а также скорректировать действия работников при получении спам-сообщений.
Чтобы поддерживать осведомленность работников, в банке также практикуется расклеивание постеров в местах, массово посещаемых сотрудниками: во внутренних хозяйственных помещениях, в холлах, коридорах, переговорных комнатах и т. п. Простейший плакат, напоминающий о необходимости блокировать компьютер при покидании рабочего места, зачастую оказывает больший эффект, чем устные напоминания о необходимости это сделать. Сотрудник, увидев его, вспоминает о безопасности и даже иногда возвращается на свое рабочее место, чтобы заблокировать компьютер.
Все обучающие мероприятия обязательно завершаются проверками усвоенных сотрудниками знаний и навыков, проводимыми с применением средств дистанционного тестирования. Их результаты анализируются и используются для совершенствования учебных материалов.
Все перечисленные мероприятия не только затрагивают аспекты информационной безопасности при работе непосредственно в офисах банка, но и содержат разъяснения и рекомендации по обеспечению информационной безопасности при работе на домашних компьютерах и мобильных устройствах — сотрудники смогут применять эти знания в повседневной деятельности, рассказывать об этом членам своих семей и друзьям. Безусловно, эти меры рассчитаны на долгосрочную перспективу — они помогут снизить риски и минимизировать угрозы не только для банка DeltaCredit, но и для российского рынка в целом.
Личный вклад в ИБ, начиная с руководителей
Для большего вовлечения руководства банка в решение вопросов информационной безопасности в банке организованы и работают различные коллегиальные органы. Например, с участием топ-менеджмента банка проводятся заседания комитета по информационной безопасности, в рамках которого разъясняются бизнес-цели и выгоды от реализации как отдельных работ, так и комплексных проектов в области ИБ. Подобные комитеты позволяют не только спланировать и утвердить ключевые направления развития информационной безопасности банка, но и предоставить участникам комитета развернутые разъяснения потребностей в той или иной деятельности, сформировать правильные ожидания и донести до руководителей информацию как об их личной степени участия и вовлеченности, так и о вкладе в укрепление информационной безопасности, который вносят подчиненные им подразделения и сотрудники.
При любой эффективности и полноте мероприятий по повышению осведомленности работников очень важно обеспечить возможности контролируемого применения работниками компании своих знаний и навыков в области информационной безопасности, ведь, к сожалению, не всегда полученные знания могут быть использованы исключительно на благо компании.
Безусловно, повышение осведомленности в области информационной безопасности — это лишь часть комплекса мероприятий по обеспечению ИБ, и достичь синергии можно лишь при их взаимосвязи с корректно настроенными техническими средствами защиты, достаточно полными и реально работающими нормативными документами и при адекватной мере ответственности каждого сотрудника компании.