Массовая удаленная работа: ликбез сотрудников в области ИБ

Поскольку ни одна компания не может полностью контролировать действия сотрудника, особенно работающего удаленно, то повышение осведомленности и осознанности работников в вопросах ИБ выходит на первый план. В этих условиях обеспечение безопасности информации по большей части возлагается на самих сотрудников, и удаленка в этом контексте может провоцировать дополнительные риски. 

Компания ICL Services традиционно уделяла особое внимание повышению осведомлённости сотрудников вопросами ИБ. В текущих условиях, когда большая часть коллектива оказалась в хоум-офисе, особенно важно, чтобы они знали и понимали общие и частные требования по обработке, хранению и передаче информации. Зачастую заказчики, подрядчики и партнеры ICL Services также могут предъявлять особые требования к информационной безопасности в рамках сотрудничества. В рамках мероприятий ИБ, проводимых внутри компании, членам команды объясняют, почему так важно соблюдать требования информационной безопасности как нашей компании, так и наших партнеров.

Следование установленным в компании правилам ИБ позволяет сохранить конфиденциальность, целостность и доступность данных всех заинтересованных сторон. Сотрудники с высоким уровнем зрелости в вопросах ИБ с большей вероятностью будут выявлять риски и инциденты, предлагать улучшения в процессах не только компании, но и заказчика. Компания ICL Services предоставляет широкий спектр ИТ-услуг представителям крупного отечественного и зарубежного рынка, поэтому сотрудники сразу после официального трудоустройства (а иногда и до него) знакомятся с требованиями ИБ, установленными в компании. В случаях, когда требуется составить предварительное мнение о кандидате, работники службы ИБ приглашаются на интервью с соискателями. Все сотрудники, нанимающиеся на удаленную работу, проходят этап оценки рисков информационной безопасности, а с теми, кто в процессе исполнения обязанностей решил полностью перейти на удаленный формат, проводится персональный звонок с проработкой критичных элементов, на котором проверяется наличие всех контактных данных поддерживающих служб у сотрудника и доступа к планам непрерывности, уровень знаний правил хранения и передачи конфиденциальной информации и т.п.

Всем сотрудникам ICL Services, вне зависимости от формата работы (удаленка или офис), в целях качественного исполнения собственных обязанностей, сохранения конфиденциальности информации о компании, партнере или заказчике, а также во избежание репутационных и иных рисков, необходимо соблюдать следующие правила:

1) оперативно реагировать на фишинговые рассылки;

2) обеспечивать защиту конфиденциальной информации в соответствии с действующим законодательством;

3) не допускать посторонних лиц к конфиденциальной информации и корпоративным устройствам;

4) своевременно оповещать соответствующие службы об инцидентах информационной безопасности;

5) своевременно информировать о невозможности оказания сервиса заказчику (BCP-инциденты);

6) уничтожать конфиденциальные документы без возможности восстановления;

7) не осуществлять самостоятельный ремонт корпоративного оборудования;

8) незамедлительно информировать заинтересованные службы в случае утери/кражи устройств, содержащих конфиденциальную информацию;

9) соблюдать политику чистого стола и чистого экрана.

В компании ICL Services также введена практика проведения мероприятий, на которых сотрудники службы ИБ рассказывают новым коллегам о системе управления ИБ в компании, разъясняют основные требования политик информационной безопасности, разбирают конкретные примеры нарушений, чтобы подготовить сотрудников к встрече с аналогичными ситуациями в работе. Мероприятие носит название Security Induction (англ. — «Введение в основы безопасности») и является обязательным к посещению каждым сотрудником в период прохождения им испытательного срока. Цель мероприятия — не «зазубрить» с сотрудниками правила ИБ, но повысить уровень их сознательности/общей грамотности в вопросах информационной безопасности.

В рамках мероприятия разбираются примеры как из жизни компании, так и из профессионального опыта сотрудников службы информационной безопасности. Также рассматриваются инциденты информационной безопасности, которые произошли вне компании, но получили широкую огласку (напр., сценарий 9 эпизода Звездных войн, выложенный на eBay; конфликт между Рамблер и разработчиком Nginx). Слушатели Security Induction в рамках дискуссий сами выявляют связь этих инцидентов с правилами ИБ, формулируют «верное» решение, которое бы позволило предотвратить инцидент. Фокус на практических примерах позволяет максимально подробно разъяснить требования политик компании в области ИБ и дает возможность сотрудникам различных подразделений сопоставить их со своими рабочими обязанностями. При ответе на вопросы в рамках Security Induction «как правильно уничтожать конфиденциальную информацию», «почему важно передавать информацию по защищенным каналам», «как информация о партнерах, ставшая известной третьим лицам, может нанести ущерб заинтересованным сторонам» и другие, «разматывается клубок» причинно-следственных связей и демонстрируется наиболее правильный, безопасный путь действий в сложных ситуациях.

В связи с переходом на массовую удаленную работу проведение Security Induction стало особенно актуальным. Удаленка дополнила основной вектор обучения «Какие правила в работе с информацией необходимо соблюдать в нашей Компании?» вопросом «Почему особенно важно соблюдать все правила по работе с информацией при удаленной работе?». Особый акцент делается на том, что при удаленной работе сотруднику необходимо еще тщательнее следить за выполнением правил, поскольку ИБ компании — это задача всех сотрудников без исключения.

Само мероприятие в условиях удаленной работы большинства сотрудников сменило формат проведения. Если раньше встреча проводилась в очном формате и была ограничена вместимостью переговорной комнаты, то сейчас мероприятие проводится в формате вебинара, охватывает больше людей и позволяет подключаться удобными для сотрудников способами (ПК, смартфон и т.д.). Однако же, несмотря на новый формат, в рамках обучения проводится большое количество интерактивов с сотрудниками: опросы, обсуждения оптимального варианта действий, сторителлинг от участников и другие. Так как удерживать внимание публики на онлайн-мероприятии сложнее, чем на очном, материалы Security Induction были переработаны с целью упрощения восприятия информации: часть презентации теперь оформлена с использованием мемов и коротких юмористических видеороликов.

По окончании мероприятия сотрудникам рассылается письмо с полезными ссылками на корпоративные ресурсы по вопросам ИБ. Также сотрудникам назначаются курсы по информационной безопасности, дополняющие и расширяющие уже известную информацию. Обратная связь от сотрудников помогает обновлять и улучшать содержание мероприятия по повышению осведомленности, что благотворно сказывается на освоении материала.
Помимо Security Induction новый сотрудник также знакомится с правилами пропускного режима, с правилами оформления разрешения на вынос оборудования, изучает область действия Системы управления информационной безопасностью, проходит тестирование по Политике паролей, по работе с конфиденциальной информацией, по соглашению о конфиденциальности и обходным решениям, по Политике взаимодействия со СМИ. В данных активностях участвуют все сотрудники компании, в том числе и находящиеся на удаленной работе.

Таким образом, по завершении испытательного периода сотрудник может полноценно включиться в рабочие процессы и стать частью Системы Управления Информационной Безопасностью. Работник, получивший такие знания, сможет обнаружить и не дать реализоваться потенциальным инцидентам ИБ как в рабочих вопросах, так и в повседневной жизни. Это, в свою очередь, является одним из базовых гарантов защиты конфиденциальной информации компании, ее партнеров и заказчиков.

Все активности компании ICL Services, имеющие целью повышение осведомленности сотрудников в опросах ИБ, позволяют держать в тонусе внутреннюю команду, а заказчики, в свою очередь, могут быть уверены, что в их системах и с их данными работают специалисты, хорошо подкованные в вопросах информационной безопасности.