Bonjour à tous, je m'appelle Alexander Dvoryansky, je travaille en tant que directeur commercial depuis plus de cinq ans chez Infosecurity et aujourd'hui je veux vous parler des principes de base du travail avec des informations confidentielles.
À un moment donné, le psychologue canadien Elliot Jacks a introduit le concept de «culture d'entreprise». Je me permets d'utiliser le terme hygiène numérique. C'est la partie de la culture d'entreprise qui détermine les actions que les employés entreprennent et comment ils influencent la sécurité des informations d'une entreprise.
J'attirerai un peu l'attention sur notre industrie afin que vous compreniez pourquoi je m'intéresse à ce sujet. Infosecurity fournit des services dans le domaine de la sécurité de l'information, de l'intégration de systèmes et du conseil. Il est important pour nous de montrer que nous pouvons protéger non seulement les données auxquelles les clients nous font confiance, mais aussi nos propres ressources d'information. Même un incident mineur de SI dans une entreprise de cybersécurité peut nuire à sa réputation. Et se lever après un tel coup n'est pas facile.
Ainsi, la formation de l'hygiène numérique dans une entreprise est affectée par:
- Sensibilisation à la sécurité de l'information
- Différenciation de l'accès à l'information
- L'utilisation de moyens techniques de contrôle et de suivi des informations
Aujourd'hui, je m'attarderai plus en détail sur la première de ces trois baleines - la sensibilisation ou, comme il est désormais à la mode, Avarnes.
Pourquoi est-ce même nécessaire?
Dans toute entreprise qui se respecte, il existe des réglementations, politiques et méthodologies internes dédiées aux règles de traitement des informations à accès limité. Hélas, la simple présence de ces documents ne donne absolument rien. Une véritable protection est assurée par des employés qui respectent strictement les exigences spécifiées dans les documents. Mais où trouver ces employés idéaux?
L'astuce est que vous n'avez pas besoin de les chercher, mais, disons, de les cultiver. Un ensemble d'événements et de supports de formation vous permet de créer une culture de travail avec les informations dans l'entreprise. Si tout est correctement sélectionné, les employés commencent à se conformer aux règles SI à un niveau réflexe - et vous n'avez plus besoin de vous assurer que l'un d'eux ne bloque pas l'écran de l'ordinateur, ne perd pas le jeton ou oublie le rapport trimestriel dans le bac de l'imprimante.
Eh bien, comment tout choisir?
Tout d'abord, divisez vos employés en groupes et identifiez les sujets pertinents pour chaque groupe. Il est peu probable que les cadres supérieurs soient intéressés par l'étude des vulnérabilités logicielles actuelles, mais pour les développeurs - tout à fait.
Lorsque les thèmes sont définis, pensez aux formats des supports de formation: ils doivent également être personnalisés. Par exemple, les employés du front-office n'ont pas beaucoup de temps libre, et parfois ils n'ont pas d'ordinateur personnel. Des affiches lumineuses et de courtes vidéos pouvant être placées et présentées dans les salles de marché leur conviendront. Et les employés du back-office peuvent accorder plus d'attention à la formation, il est donc préférable de leur adresser des cours en ligne et des mailings de formation.
Une autre bonne pratique consiste à vérifier que vos employés le savent déjà avant de suivre une formation SI. La façon la plus simple de le faire est de tester et d'envoyer des e-mails de phishing de formation. Cela vous aidera à comprendre quels sujets nécessitent plus d'attention. Bien sûr, n'oubliez pas de surveiller l'efficacité du processus d'apprentissage et après.
Puis-je regarder de plus près les formats?
Commençons par la bonne vieille étude à temps plein. D'une certaine manière, elle est irremplaçable: tout le monde sait que l'information est bien mieux perçue lorsqu'elle est accompagnée d'une communication en direct. La formation peut être réalisée sous une forme classique ou selon une méthode de cas. Dans le second cas, l'instructeur divise les étudiants en groupes, décrit le problème pertinent pour l'entreprise et invite chaque groupe à donner et à justifier sa propre version de sa solution. Deux types de formation peuvent être combinés: organiser une session d'introduction pour les employés le premier jour ouvrable et une formation de cas - mensuellement ou une fois par trimestre.
L'apprentissage à distance est une compétition digne des étudiants à temps plein, et à l'avenir, très probablement, il tirera complètement la couverture sur lui-même. Les cours électroniques, les vidéos, les listes de diffusion et les jeux en ligne sont bons car les employés peuvent les visualiser sur différents types d'appareils à un moment qui leur convient. Et ils donnent également la possibilité de revendiquer à leurs concurrents les mots «gamification» et «micro-apprentissage».
La figure montre les diapositives des cours électroniques de notre entrepriseLa gamification est particulièrement utilisée dans les cours électroniques. Il implique l'ajout d'éléments de jeu: récompenses et réalisations, la complication progressive des tâches, une histoire fascinante, des personnages. La ludification est généralement une histoire intéressante, car elle peut être entièrement électronique, ou elle peut "couler" dans la vraie vie. Par exemple, pour réussir des cours sur la sécurité de l'information, un employé peut bénéficier d'une journée de vacances supplémentaire. De telles choses, bien sûr, sont cohérentes avec les RH. Lequel d'entre nous n'a pas rêvé au travail de jeux vidéo?
La microéducation implique le flux de matériel en petits blocs et la fixation de chaque bloc avec des tâches pratiques. Par exemple, j'ai regardé 5 diapositives d'un cours - répondre à une question test ou effectuer un petit exercice. Si nous parlons de vidéos, elles ne devraient pas durer plus d'une minute et demie. Il vaut mieux faire une série de courtes vidéos (en passant, elles peuvent être combinées avec une histoire drôle) que de forcer un employé à regarder un lourd sermon de sept minutes. Mais cela ne vaut pas la peine de diviser l’apprentissage indéfiniment: de cette façon, vous pouvez perdre la logique du récit.
Dans l'image - captures d'écran de nos vidéosEn plus de l'enseignement à temps plein et à distance, des supports de formation supplémentaires sont très utiles. Des mémos, des affiches, des autocollants et des économiseurs d'écran font un excellent travail pour rendre l'apprentissage diversifié et mémorable. N'ayez pas peur d'impliquer des designers et illustrateurs professionnels dans leur conception: les matériaux n'en bénéficieront que.
Dans l'image - captures d'écran du jeu flash Phishing BattleAlors, est-ce une question de diversité?
Forcer une personne à apprendre ce qui ne l'intéresse pas et à observer ce qui lui est incompréhensible est impossible. En créant des programmes de formation complets pour les employés, en présentant le matériel dans une langue simple et accessible et en l'enveloppant sous forme de jeu, vous contribuez en fait à la sécurité de la vôtre, de votre entreprise et de vos clients. Et si tout est fait «selon la science», vos investissements seront certainement payants.
Alexander Dvoryansky, directeur commercial, Infosecurity a Softline company