Нетрадиционные методы формирования полезных навыков
В разговорах о повышении уровня безопасности основное внимание чаще всего уделяется технологическому аспекту, начиная от реализации исправлений и заканчивая развертыванием шаблонов защиты. Однако, как показывает опыт, самый высокий коэффициент окупаемости инвестиций за счет совершенствования систем защиты извлекается из соответствующей подготовки и обучения администраторов и пользователей. Проблема заключается в том, что настроить конфигурацию программ куда проще, чем поведение человека. Однако хорошо подготовленный и правильно обученный персонал являет собой наиболее действенное средство обеспечения защиты, которым только может располагать организация. По моим наблюдениям, наиболее эффективными можно считать описанные ниже три метода профессиональной подготовки и обучения навыкам безопасной работы. Указанные методы можно распространить и на другие области ИТ. Каждый метод характеризуется своим уровнем затрат на реализацию.
Дешевый вариант — плакаты и пропаганда
Учитывая занятость людей, высокую стоимость обучения на курсах и то обстоятельство, что приобретенные на курсах знания забываются сразу после сдачи экзамена, многие справедливо критикуют традиционные формы подготовки и обучение под руководством преподавателя. Плакаты и пропаганда могут стать недорогой, но эффективной альтернативной формой подготовки при условии правильного ее использования. В содержание плаката необходимо включать следующие элементы.
- Пусковой механизм, т. е. ключевое слово или символ, привлекающий внимание к плакату (например, слово «Внимание!»). Не следует переоценивать значение этого элемента.
- Источник, т.е. тема плаката. Если плакат имеет целью обучение навыкам безопасного поведения, его тема должна иллюстрировать угрозу, защите от которой данный плакат призван обучить пользователей.
- Следствие, т. е. информация о последствиях невыполнения данных указаний в четкой и простой для восприятия форме. Но пугать пользователей не следует.
- Указания по поводу действий, необходимых для исключения возможности негативных последствий и достижения соответствия требованиям безопасного поведения. Указания должны излагаться в простой форме и содержать подходящие примеры.
Лично я имею успешный опыт использования плакатов, обучающих созданию надежных паролей.
Плакаты следует размещать там, где сотрудники бывают во время перерывов, например вблизи лифтов, в комнатах отдыха, возле ксерокса и в прочих активно посещаемых местах. Ламинированные информационные листки и наклейки на окнах также могут служить эффективным средством пропаганды. Даже при использовании услуг профессиональной печати организаторы такой обучающей акции могут уложиться в 500 долл. Приобретение необходимых навыков в режиме самостоятельных действий нельзя считать идеальным вариантом, так как часто бывает сложно форсировать реализацию и оценить результаты. Однако, наблюдая за изменениями в поведении сотрудников (например, за изменением паролей) в соответствии с призывами плаката, можно составить некоторое представление об уровне благополучия в сфере безопасности в данной организации, а также оценить коэффициент окупаемости инвестиций (КОИ) за счет приобретения полезных навыков. Например, если в течение недели после появления плаката на тему создания надежных паролей 20% из 6000 сотрудников компании поменяют свои пароли, приближенная оценка немедленного роста КОИ станет успешным итогом профессиональной подготовки, затраты на которую составили менее 0,42 долл. на единицу 20-процентного подмножества (делим 500 долл. на 1200 сотрудников). Точную оценку результата вывести сложнее, однако этот пример дает общее представление об оценке роста КОИ за счет успешной профессиональной подготовки персонала.
Средний по стоимости вариант — показ фильма
В прошлом году в подразделении MSN компании Microsoft прошло мероприятие, в ходе которого на протяжении трех вечеров были показаны три фильма на тему конфиденциальности и безопасности. Ситуации, обыгранные в фильмах, обсуждала группа внутренних и приглашенных специалистов. Одни проблемы показались актуальными, другие — нереалистичными; кроме того, поднимался вопрос о том, какие ситуации, показанные в фильме, могут иметь место в подразделении MSN.
Идея мероприятия состояла в создании комфортной среды для обсуждения проблем конфиденциальности и безопасности внутри подразделения. Для многих участников оказалось проще анализировать пробелы в системе безопасности на примерах, показанных в фильмах, чем обсуждать реальные неполадки в действующих сетях. Обсуждение фильмов не вызывало контробвинений со стороны системных администраторов подразделения. Группа специалистов, участвовавших в дискуссии, проделала большую работу, связывая ситуации, обыгранные в фильмах, с реальными проблемами сети и служб MSN.
Цель акции состояла в том, чтобы ее участники применили знания, полученные из фильмов и общения с группой специалистов, для повышения уровня защиты и конфиденциальности в рамках своих рабочих функций. Показ фильма представляет собой отличный способ повысить степень информированности и развеять мифы. Стоимость такого мероприятия зависит от числа участников, от договоренности со специалистами по поводу гонорара, а также от стоимости аренды необходимого оборудования, и обычно не превышает 1000 долл.
Дорогостоящий вариант — конкурс
Во время презентации на тему затрат, связанных с обучением навыкам безопасности, один из участников, отвечающий за развитие ИТ в своей организации, задал вопрос о том, как можно обеспечить профессиональную подготовку персонала компании в рамках годового бюджета в 60 тыс. долл. при том, что в реализации проекта частично заняты один или два человека. Ведущий ответил, что потратил бы 15 тыс. на разработку надежной стратегии защиты, 10 тыс. — на создание Web-сайта и инструмента оценки и 35 тыс. — на автомобиль марки БМВ.
После всеобщего изумления ведущий объяснил свою идею. БМВ — это приз, назначаемый по итогам конкурса. На Web-сайте размещаются ответы на вопросы. Участники конкурса должны правильно ответить на 25 из 100 вопросов в форме сценариев. Каждый вопрос имеет подсказку с указанием пути на Web-сайт, где содержится критически важная информация в рамках принятой в компании стратегии безопасности.
К моему удивлению, задавший вопрос участник с готовностью подхватил эту идею, хотя его компания предпочла учредить несколько более мелких призов, включая поездку на Гавайи, телевизор и несколько подарочных сертификатов. Впоследствии этот человек рассказывал, что его компания достигла более чем 97-процентного соответствия требованиям безопасности! Явное изменение стиля поведения произошло в пределах месяца с момента объявления условий конкурса. Основой такого метода обучения является создание ресурса, который сотрудники будут использовать для ответа на вопросы конкурса, а также составление вопросов в форме сценариев с ориентацией на элементы стратегии безопасности, соответствия которым компания добивается в первую очередь.
Перечисленные подходы к профессиональной подготовке сотрудников отличаются нетрадиционностью, однако, независимо от выбранного варианта, необходимо соблюдать некоторые общие принципы:
- Оформляйте процесс подготовки и обучения персонала как программу, а не как разовое мероприятие. Единовременное событие дает ограниченные результаты. Разработка программы будет способствовать непрерывному совершенствованию и становлению культуры процесса профессиональной подготовки и обучения в организации.
- Различайте профессиональную подготовку и обучение. Эти понятия отличаются друг от друга, хотя часто используются как взаимозаменяемые термины. Профессиональная подготовка означает «натаскивание» на выполнение конкретных задач. Целью обучения является умение принимать решения на базе знаний. Ни одна из указанных форм не является предпочтительной, так как каждая имеет свое предназначение и часто возникает необходимость в использовании обеих. Например, пользователи могут тренироваться в изменении паролей и одновременно обучаться созданию надежных паролей.
- Программа должна соответствовать структуре организации. Например, в организациях с малым числом технически подготовленных пользователей обязательное обучение в классах может быть более эффективным, чем интерактивная тренировка. При этом в компаниях с персоналом, отличающимся высокой мобильностью, в классах просто некого будет обучать.
- Составьте план оценки эффективности программы. Количественная и качественная оценка наглядно продемонстрирует руководству значение профессиональной подготовки и обучения. Это не только поможет получить ресурсы на программу в будущем, но также убедительно докажет вашу ценность для данной организации как сотрудника. Поскольку оценивается соответствие требованиям, а не качество работы, механизм оценки приобретенных навыков или знаний следует предоставить сотрудникам раньше, чем они приступят к подготовке, чтобы привлечь их внимание к ожидаемому результату.
Бен Смит (bensmi@microsoft.com) — специалист по безопасности в компании Microsoft