النظافة الرقمية: قواعد اللعبة

مرحباً بالجميع ، اسمي ألكسندر دفوريانسكي ، أعمل كمدير تجاري لأكثر من خمس سنوات في Infosecurity وأريد اليوم أن أتحدث إليكم حول المبادئ الأساسية للعمل مع المعلومات السرية.

في وقت واحد ، قدم عالم النفس الكندي إليوت جاكس مفهوم "ثقافة الشركات". أسمح لنفسي باستخدام مصطلح النظافة الرقمية. هذا هو جزء من ثقافة الشركات التي تحدد الإجراءات التي يتخذها الموظفون وكيفية تأثيرهم على أمن معلومات الشركة.



سأركز على صناعتنا قليلاً حتى تفهم سبب اهتمامي بهذا الموضوع. توفر Infosecurity خدمات في مجال أمن المعلومات وتكامل النظم والاستشارات. من المهم بالنسبة لنا أن نظهر أنه يمكننا حماية ليس فقط البيانات التي يثق بها العملاء ، ولكن أيضًا أصول المعلومات الخاصة بنا. حتى حادثة IS الصغيرة في شركة الأمن السيبراني يمكن أن تصيب سمعتها. والاستيقاظ بعد هذه الضربة ليس بالأمر السهل.

لذلك ، يتأثر تشكيل النظافة الرقمية في الشركة بما يلي:

1. الوعي بأمن المعلومات
2. تمايز الوصول إلى المعلومات
3. استخدام الوسائل التقنية للرقابة ومراقبة المعلومات

سوف أتطرق اليوم بمزيد من التفصيل إلى أول هذه الحيتان الثلاث - زيادة الوعي ، أو كما هو معروف الآن ، أفارنيس.

لماذا هذا ضروري حتى؟

في أي شركة تحترم نفسها ، توجد لوائح وسياسات ومنهجيات داخلية مخصصة لقواعد معالجة المعلومات ذات الوصول المحدود. للأسف ، مجرد وجود هذه الوثائق لا يعطي أي شيء على الإطلاق. يتم توفير الحماية الحقيقية من قبل الموظفين الذين يتبعون بدقة المتطلبات المحددة في الوثائق. ولكن أين تجد هؤلاء الموظفين المثاليين؟

الحيلة هي أنك لست بحاجة إلى البحث عنهم ، ولكن ، دعنا نقول لهم ، عليك أن تنمو. تتيح لك مجموعة من الأحداث والمواد التدريبية خلق ثقافة العمل مع المعلومات في الشركة. إذا تم تحديد كل شيء بشكل صحيح ، يبدأ الموظفون بالامتثال لقواعد IS على مستوى رد الفعل - ولم تعد بحاجة إلى الحرص على ألا يقوم أحدهم بحظر شاشة الكمبيوتر أو فقد الرمز المميز أو نسيان التقرير الفصلي في علبة الطابعة.

حسنا ، كيف تختار كل شيء؟

أولاً ، قسّم موظفيك إلى مجموعات وحدد الموضوعات ذات الصلة بكل مجموعة. من غير المرجح أن يكون كبار المديرين مهتمين بدراسة نقاط الضعف في البرامج الحالية ، ولكن للمطورين - كثيرًا للغاية.

عندما يتم تحديد الموضوعات ، فكر في تنسيقات المواد التدريبية: يجب أيضًا تخصيصها. على سبيل المثال ، لا يتمتع موظفو المكتب الأمامي بوقت فراغ كبير ، وأحيانًا ليس لديهم جهاز كمبيوتر شخصي يعمل. الملصقات المضيئة ومقاطع الفيديو القصيرة التي يمكن وضعها وعرضها في قاعات التداول سوف تناسبهم. ويمكن لموظفي المكاتب الخلفية إيلاء المزيد من الاهتمام للتدريب ، لذلك من الأفضل التعامل معهم من خلال الدورات الإلكترونية والمراسلات التدريبية.

من الممارسات الجيدة الأخرى التحقق من أن موظفيك يعرفون بالفعل قبل إجراء تدريب IS. أسهل طريقة للقيام بذلك هي اختبار وإرسال رسائل البريد الإلكتروني للتصيد التدريبي. هذا سيساعدك على فهم الموضوعات التي تحتاج إلى مزيد من الاهتمام. حسنًا ، بالطبع ، لا تنسَ مراقبة الفعالية في عملية التعلم وبعدها.

هل يمكنني إلقاء نظرة فاحصة على التنسيقات؟

لنبدأ بالدراسة القديمة الجيدة بدوام كامل. بطريقة ما ، لا يمكن الاستغناء عنه: يعلم الجميع أن المعلومات يتم إدراكها بشكل أفضل عندما تكون مصحوبة باتصال مباشر. يمكن إجراء التدريب في شكل كلاسيكي أو وفقًا لطريقة الحالة. في الحالة الثانية ، يقوم المدرب بتقسيم الطلاب إلى مجموعات ويصف المشكلة ذات الصلة بالشركة ويدعو كل مجموعة إلى تقديم وتبرير نسختها الخاصة من الحل. يمكن الجمع بين نوعين من التدريبات: إجراء جلسة تمهيدية للموظفين في يوم العمل الأول ، والتدريب على الحالات - شهريًا أو مرة كل ثلاثة أشهر.

يعد التعليم عن بُعد منافسة جديرة بالتفرغ الكامل ، وفي المستقبل ، على الأرجح ، سوف يسحب بطانية بالكامل. تعد الدورات الإلكترونية ومقاطع الفيديو والقوائم البريدية والألعاب عبر الإنترنت جيدة لأن الموظفين يمكنهم عرضها على أنواع مختلفة من الأجهزة في وقت مناسب لأنفسهم. كما أنها تتيح الفرصة للتباهي بالمتنافسين بكلمات "gamification" و "التعليم الجزئي".


يوضح الشكل الشرائح من الدورات الإلكترونية لشركتنا

Gamification يستخدم بنشاط بشكل خاص في الدورات الإلكترونية. أنه ينطوي على إضافة عناصر اللعبة: الجوائز والإنجازات ، والمضاعفات التدريجية للمهام ، وقصة رائعة ، وشخصيات. يعد Gamification قصة مثيرة للاهتمام بشكل عام ، لأنها يمكن أن تكون إلكترونية بالكامل ، أو يمكن أن "تتدفق" إلى الحياة الحقيقية. على سبيل المثال ، من أجل إكمال الدورات التدريبية بنجاح في مجال أمن المعلومات ، يمكن منح الموظف يومًا آخر من الإجازة. مثل هذه الأشياء ، بالطبع ، تتفق مع الموارد البشرية. أي منا لم يحلم بالعمل في ألعاب الكمبيوتر؟

يتضمن التعليم المصغر تدفق المواد في كتل صغيرة وتحديد كل كتلة بمهام عملية. على سبيل المثال ، نظرت إلى 5 شرائح من الدورة التدريبية - أجب عن سؤال اختبار أو أجري تمرينًا صغيرًا. إذا كنا نتحدث عن مقاطع الفيديو ، فلا ينبغي أن تكون أكثر من دقيقة ونصف. من الأفضل إعداد سلسلة من مقاطع الفيديو القصيرة (بالمناسبة ، يمكن دمجها مع قصة مضحكة واحدة) بدلاً من إجبار موظف على مشاهدة خطبة مدتها سبع دقائق. لكن الأمر لا يستحق تقسيم التعلم إلى أجل غير مسمى: وبهذه الطريقة يمكنك أن تفقد منطق السرد.


في الصورة - لقطات من أشرطة الفيديو لدينا

بالإضافة إلى التعلم بدوام كامل والتعلم عن بعد ، فإن مواد التدريب الإضافية مفيدة للغاية. تقوم المذكرات والملصقات والملصقات وشاشات التوقف بعمل ممتاز في جعل التعلم متنوعًا ولا يُنسى. لا تخف من إشراك المصممين والرسامين المحترفين في تصميمهم: المواد ستستفيد فقط من هذا.


في الصورة - لقطات من لعبة فلاش Phishing Battle

لذلك ، هل هو كل شيء عن التنوع؟

إن إجبار أي شخص على تعلم ما لا يثير اهتمامه ، ومراقبة ما هو غير مفهوم بالنسبة له ، أمر مستحيل. من خلال إنشاء برامج تدريب شاملة للعاملين ، وتحديد المواد بلغة بسيطة ويمكن الوصول إليها وتغليفها في شكل لعبة ، فأنت في الواقع تساهم في سلامة شركتك وشركتك وعملائك. وإذا تم القيام بكل شيء "وفقًا للعلم" ، فإن استثماراتك ستؤتي ثمارها بالتأكيد.

ألكساندر دفوريانسكي ، المدير التجاري لشركة Infosecurity ، شركة Softline