Halo semuanya, nama saya Alexander Dvoryansky, saya telah bekerja sebagai direktur komersial selama lebih dari lima tahun di Infosecurity dan hari ini saya ingin berbicara dengan Anda tentang prinsip dasar bekerja dengan informasi rahasia.
Pada suatu waktu, psikolog Kanada Elliot Jacks memperkenalkan konsep "budaya perusahaan." Saya membiarkan diri saya menggunakan istilah kebersihan digital. Ini adalah bagian dari budaya perusahaan yang menentukan tindakan apa yang diambil karyawan dan bagaimana mereka memengaruhi keamanan informasi perusahaan.
Saya akan sedikit fokus pada industri kami sehingga Anda mengerti mengapa saya tertarik dengan topik ini. Infosecurity menyediakan layanan di bidang keamanan informasi, integrasi sistem, dan konsultasi. Penting bagi kami untuk menunjukkan bahwa kami tidak hanya dapat melindungi data yang dipercayai oleh pelanggan, tetapi juga aset informasi kami sendiri. Bahkan insiden IS kecil di perusahaan cybersecurity dapat mencapai reputasinya. Dan bangun setelah pukulan seperti itu tidak mudah.
Jadi, pembentukan higiene digital di suatu perusahaan dipengaruhi oleh:
- Kesadaran Keamanan Informasi
- Diferensiasi akses ke informasi
- Penggunaan sarana teknis untuk mengendalikan dan memantau informasi
Hari ini saya akan membahas lebih rinci tentang yang pertama dari tiga paus ini - meningkatkan kesadaran, atau, seperti yang sekarang sedang populer, Avarnes.
Mengapa ini perlu?
Di perusahaan yang menghargai diri sendiri, ada peraturan internal, kebijakan, dan metodologi yang didedikasikan untuk aturan pemrosesan informasi dengan akses terbatas. Sayangnya, keberadaan dokumen-dokumen ini tidak memberikan apa-apa. Perlindungan nyata diberikan oleh karyawan yang secara ketat mengikuti persyaratan yang ditentukan dalam dokumen. Tetapi di mana menemukan karyawan yang ideal?
Caranya adalah Anda tidak perlu mencarinya, tetapi, katakanlah, kembangkan. Serangkaian acara dan materi pelatihan memungkinkan Anda untuk menciptakan budaya bekerja dengan informasi di perusahaan. Jika semuanya dipilih dengan benar, karyawan mulai mematuhi aturan IS pada level refleks - dan Anda tidak perlu lagi berhati-hati bahwa salah satu dari mereka tidak memblokir layar komputer, kehilangan token atau lupa laporan triwulanan di baki printer.
Nah, bagaimana memilih semuanya?
Pertama, bagi karyawan Anda menjadi beberapa kelompok dan identifikasi topik yang relevan dengan masing-masing kelompok. Manajer puncak tidak mungkin tertarik mempelajari kerentanan perangkat lunak saat ini, tetapi untuk pengembang - sangat banyak.
Ketika topik sudah ditentukan, pikirkan tentang format materi pelatihan: mereka juga perlu dipersonalisasi. Misalnya, karyawan kantor depan tidak punya banyak waktu luang, dan kadang-kadang mereka tidak memiliki komputer pribadi. Poster cerah dan video pendek yang dapat ditempatkan dan diperagakan di lantai perdagangan akan cocok untuk mereka. Dan karyawan kantor bisa lebih memperhatikan pelatihan, jadi lebih baik mengatasinya dengan kursus elektronik dan surat pelatihan.
Praktik baik lainnya adalah memeriksa apakah karyawan Anda sudah tahu sebelum melakukan pelatihan IS. Cara termudah untuk melakukan ini adalah dengan menguji dan mengirim email pelatihan phishing. Ini akan membantu Anda memahami topik mana yang perlu lebih diperhatikan. Yah, tentu saja, jangan lupa memantau efektivitas dalam proses pembelajaran dan setelahnya.
Bisakah saya melihat lebih dekat format?
Mari kita mulai dengan studi penuh waktu lama yang bagus. Di satu sisi, itu tak tergantikan: semua orang tahu bahwa informasi dianggap jauh lebih baik ketika disertai dengan komunikasi langsung. Pelatihan dapat dilakukan dalam bentuk klasik atau sesuai dengan metode kasus. Dalam kasus kedua, instruktur membagi siswa menjadi kelompok-kelompok, menjelaskan masalah yang relevan dengan perusahaan dan mengundang masing-masing kelompok untuk memberikan dan membenarkan versi solusinya sendiri. Dua jenis pelatihan dapat digabungkan: melakukan sesi pengantar untuk karyawan pada hari kerja pertama mereka, dan pelatihan kasus - bulanan atau sekali seperempat.
Pembelajaran jarak jauh adalah kompetisi yang layak untuk penuh waktu, dan di masa depan, kemungkinan besar, itu akan benar-benar menarik selimut itu sendiri. Kursus elektronik, video, milis, dan game online bagus karena karyawan dapat melihatnya di berbagai jenis perangkat pada waktu yang tepat untuk mereka sendiri. Dan mereka juga memberikan kesempatan untuk membanggakan kata-kata "gamification" dan "micro-learning" kepada para pesaing.
Angka tersebut menunjukkan slide dari kursus elektronik perusahaan kamiGamifikasi terutama digunakan secara aktif dalam kursus elektronik. Ini melibatkan penambahan elemen permainan: penghargaan dan prestasi, komplikasi tugas secara bertahap, cerita yang menarik, karakter. Gamifikasi pada umumnya adalah cerita yang menarik, karena bisa sepenuhnya elektronik, atau bisa "mengalir" ke kehidupan nyata. Misalnya, untuk berhasil menyelesaikan kursus dalam keamanan informasi, seorang karyawan dapat diberikan satu hari libur tambahan. Hal-hal seperti itu, tentu saja, konsisten dengan SDM. Siapa di antara kita yang tidak bermimpi bekerja tentang game komputer?
Pendidikan mikro melibatkan aliran materi dalam blok kecil dan memperbaiki setiap blok dengan tugas-tugas praktis. Sebagai contoh, saya melihat 5 slide kursus - menjawab pertanyaan tes atau melakukan latihan kecil. Jika kita berbicara tentang video, maka itu seharusnya tidak lebih dari satu setengah menit. Lebih baik membuat serangkaian video pendek (omong-omong, mereka dapat digabungkan dengan satu alur cerita lucu) daripada memaksa karyawan untuk menonton khotbah tujuh menit yang berat. Tetapi tidak ada gunanya memecah pembelajaran tanpa batas: dengan cara ini Anda bisa kehilangan logika narasi.
Dalam gambar - tangkapan layar dari video kamiSelain pembelajaran penuh waktu dan jarak jauh, materi pelatihan tambahan sangat berguna. Memo, poster, stiker dan screensaver melakukan pekerjaan yang sangat baik untuk membuat pembelajaran menjadi beragam dan berkesan. Jangan takut untuk melibatkan desainer dan ilustrator profesional dalam desain mereka: bahan hanya akan mendapat manfaat dari ini.
Dalam gambar - tangkapan layar dari flash game Phishing BattleJadi, apakah ini semua tentang keberagaman?
Memaksa seseorang untuk mempelajari apa yang tidak menarik baginya, dan untuk mengamati apa yang tidak dapat dimengerti olehnya, adalah mustahil. Dengan membuat program pelatihan yang komprehensif untuk karyawan, menetapkan materi dalam bahasa yang sederhana dan dapat diakses dan membungkusnya dalam bentuk permainan, Anda, pada kenyataannya, memberikan kontribusi untuk keselamatan Anda, perusahaan Anda, dan pelanggan Anda. Dan jika semuanya dilakukan "sesuai dengan sains", investasi Anda pasti akan terbayar.
Alexander Dvoryansky, Direktur Komersial, Infosecurity sebuah perusahaan Softline