ICL Services
Новости
4 сентября 2020
Новости

Готово!

Скоро материал придет на указанную электронную почту. Также подписывайте на нас в Facebook

Ok

Массовая удаленная работа: ликбез сотрудников в области ИБ

В рамках поддержания системы управления информационной безопасностью (ИБ) компании в боевом состоянии является повышение осведомленности персонала. По статистике, 70% от общего количества инцидентов ИБ происходит с непосредственным участием сотрудников, а 8 из 10 работников компаний допускают утечку корпоративной информации. Именно поэтому качественное взаимодействие с сотрудниками и повышение их осведомленности в области ИБ — залог безопасности в любой компании. Значимость этих процессов в текущих условиях гораздо выше, чем было ранее. После того как во втором квартале 2020 года весь мир оказался в условиях самоизоляции, большинство бизнес-процессов были переведены на удаленный формат работы. 

Поскольку ни одна компания не может полностью контролировать действия сотрудника, особенно работающего удаленно, то повышение осведомленности и осознанности работников в вопросах ИБ выходит на первый план. В этих условиях обеспечение безопасности информации по большей части возлагается на самих сотрудников, и удаленка в этом контексте может провоцировать дополнительные риски. 

Компания ICL Services традиционно уделяла особое внимание повышению осведомлённости сотрудников вопросами ИБ. В текущих условиях, когда большая часть коллектива оказалась в хоум-офисе, особенно важно, чтобы они знали и понимали общие и частные требования по обработке, хранению и передаче информации. Зачастую заказчики, подрядчики и партнеры ICL Services также могут предъявлять особые требования к информационной безопасности в рамках сотрудничества. В рамках мероприятий ИБ, проводимых внутри компании, членам команды объясняют, почему так важно соблюдать требования информационной безопасности как нашей компании, так и наших партнеров.

Следование установленным в компании правилам ИБ позволяет сохранить конфиденциальность, целостность и доступность данных всех заинтересованных сторон. Сотрудники с высоким уровнем зрелости в вопросах ИБ с большей вероятностью будут выявлять риски и инциденты, предлагать улучшения в процессах не только компании, но и заказчика. Компания ICL Services предоставляет широкий спектр ИТ-услуг представителям крупного отечественного и зарубежного рынка, поэтому сотрудники сразу после официального трудоустройства (а иногда и до него) знакомятся с требованиями ИБ, установленными в компании. В случаях, когда требуется составить предварительное мнение о кандидате, работники службы ИБ приглашаются на интервью с соискателями. Все сотрудники, нанимающиеся на удаленную работу, проходят этап оценки рисков информационной безопасности, а с теми, кто в процессе исполнения обязанностей решил полностью перейти на удаленный формат, проводится персональный звонок с проработкой критичных элементов, на котором проверяется наличие всех контактных данных поддерживающих служб у сотрудника и доступа к планам непрерывности, уровень знаний правил хранения и передачи конфиденциальной информации и т.п.

Всем сотрудникам ICL Services, вне зависимости от формата работы (удаленка или офис), в целях качественного исполнения собственных обязанностей, сохранения конфиденциальности информации о компании, партнере или заказчике, а также во избежание репутационных и иных рисков, необходимо соблюдать следующие правила:

1) оперативно реагировать на фишинговые рассылки;

2) обеспечивать защиту конфиденциальной информации в соответствии с действующим законодательством;

3) не допускать посторонних лиц к конфиденциальной информации и корпоративным устройствам;

4) своевременно оповещать соответствующие службы об инцидентах информационной безопасности;

5) своевременно информировать о невозможности оказания сервиса заказчику (BCP-инциденты);

6) уничтожать конфиденциальные документы без возможности восстановления;

7) не осуществлять самостоятельный ремонт корпоративного оборудования;

8) незамедлительно информировать заинтересованные службы в случае утери/кражи устройств, содержащих конфиденциальную информацию;

9) соблюдать политику чистого стола и чистого экрана.

В компании ICL Services также введена практика проведения мероприятий, на которых сотрудники службы ИБ рассказывают новым коллегам о системе управления ИБ в компании, разъясняют основные требования политик информационной безопасности, разбирают конкретные примеры нарушений, чтобы подготовить сотрудников к встрече с аналогичными ситуациями в работе. Мероприятие носит название Security Induction (англ. — «Введение в основы безопасности») и является обязательным к посещению каждым сотрудником в период прохождения им испытательного срока. Цель мероприятия — не «зазубрить» с сотрудниками правила ИБ, но повысить уровень их сознательности/общей грамотности в вопросах информационной безопасности.

В рамках мероприятия разбираются примеры как из жизни компании, так и из профессионального опыта сотрудников службы информационной безопасности. Также рассматриваются инциденты информационной безопасности, которые произошли вне компании, но получили широкую огласку (напр., сценарий 9 эпизода Звездных войн, выложенный на eBay; конфликт между Рамблер и разработчиком Nginx). Слушатели Security Induction в рамках дискуссий сами выявляют связь этих инцидентов с правилами ИБ, формулируют «верное» решение, которое бы позволило предотвратить инцидент. Фокус на практических примерах позволяет максимально подробно разъяснить требования политик компании в области ИБ и дает возможность сотрудникам различных подразделений сопоставить их со своими рабочими обязанностями. При ответе на вопросы в рамках Security Induction «как правильно уничтожать конфиденциальную информацию», «почему важно передавать информацию по защищенным каналам», «как информация о партнерах, ставшая известной третьим лицам, может нанести ущерб заинтересованным сторонам» и другие, «разматывается клубок» причинно-следственных связей и демонстрируется наиболее правильный, безопасный путь действий в сложных ситуациях.

В связи с переходом на массовую удаленную работу проведение Security Induction стало особенно актуальным. Удаленка дополнила основной вектор обучения «Какие правила в работе с информацией необходимо соблюдать в нашей Компании?» вопросом «Почему особенно важно соблюдать все правила по работе с информацией при удаленной работе?». Особый акцент делается на том, что при удаленной работе сотруднику необходимо еще тщательнее следить за выполнением правил, поскольку ИБ компании — это задача всех сотрудников без исключения.

Само мероприятие в условиях удаленной работы большинства сотрудников сменило формат проведения. Если раньше встреча проводилась в очном формате и была ограничена вместимостью переговорной комнаты, то сейчас мероприятие проводится в формате вебинара, охватывает больше людей и позволяет подключаться удобными для сотрудников способами (ПК, смартфон и т.д.). Однако же, несмотря на новый формат, в рамках обучения проводится большое количество интерактивов с сотрудниками: опросы, обсуждения оптимального варианта действий, сторителлинг от участников и другие. Так как удерживать внимание публики на онлайн-мероприятии сложнее, чем на очном, материалы Security Induction были переработаны с целью упрощения восприятия информации: часть презентации теперь оформлена с использованием мемов и коротких юмористических видеороликов.

По окончании мероприятия сотрудникам рассылается письмо с полезными ссылками на корпоративные ресурсы по вопросам ИБ. Также сотрудникам назначаются курсы по информационной безопасности, дополняющие и расширяющие уже известную информацию. Обратная связь от сотрудников помогает обновлять и улучшать содержание мероприятия по повышению осведомленности, что благотворно сказывается на освоении материала.
Помимо Security Induction новый сотрудник также знакомится с правилами пропускного режима, с правилами оформления разрешения на вынос оборудования, изучает область действия Системы управления информационной безопасностью, проходит тестирование по Политике паролей, по работе с конфиденциальной информацией, по соглашению о конфиденциальности и обходным решениям, по Политике взаимодействия со СМИ. В данных активностях участвуют все сотрудники компании, в том числе и находящиеся на удаленной работе.

Таким образом, по завершении испытательного периода сотрудник может полноценно включиться в рабочие процессы и стать частью Системы Управления Информационной Безопасностью. Работник, получивший такие знания, сможет обнаружить и не дать реализоваться потенциальным инцидентам ИБ как в рабочих вопросах, так и в повседневной жизни. Это, в свою очередь, является одним из базовых гарантов защиты конфиденциальной информации компании, ее партнеров и заказчиков.

Все активности компании ICL Services, имеющие целью повышение осведомленности сотрудников в опросах ИБ, позволяют держать в тонусе внутреннюю команду, а заказчики, в свою очередь, могут быть уверены, что в их системах и с их данными работают специалисты, хорошо подкованные в вопросах информационной безопасности.
Поделиться:

Новости по теме

    Свяжитесь с нами

    Контакты Пресс-службы
    Телефон 8 (800) 333-98-70

    pr@icl-services.com

    Будьте в курсе новостей

    Подпишитесь на рассылку и будьте в курсе наших последних новостей

    Подписаться на рассылку
    Спасибо, что подписались на рассылку новостей! Адрес подписки успешно добавлен! Ok
    Читайте нас на
    На сайтах icl-services.com используются cookie-файлы. Оставаясь на сайте, вы даете свое согласие на использование нами cookie-файлов. Если, прочитав данное сообщение, вы не согласны, просим вас покинуть сайт.
    Наверх