К теме повышения осведомленности я обращался не раз. К теме оценки эффективности и измерению ИБ тоже. И вот решил я объединить их, тем более, что в курсе по измерению ИБ я эту тему освещаю. Как измерить эффективность программы повышения осведомленности? Очевидно, что не по посещаемости и не по отношению посетивших и не посетивших тренинги по безопасности. Ведь задача таких курсов (очных или онлайн) — не галочку поставить, а научить пользователей правильно действовать и реагировать на те или иные события ИБ.
Я могу выделить следующие метрики для оценки программы повышения осведомленности:
- Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)?
- Сколько инцидентов ИБ связано с человеческим фактором?
- Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ — аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)?
- Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?
- Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)?
- Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)?
- Сколько пользователей открывают письмо от незнакомца?
- Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).
- Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности.
- Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности? В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная — никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.
Алексей — критерии правильные.
Но первым критерием я бы поставил два вопроса:
1 — какая информация считается конфиденциальной?
2 — от кого/чего компания защищает эту конфиденциальную информацию?
Евгению: это не каждый ИБ-шник может сказать, а ты — пользователей просишь :))
На самом деле новизны нет. Любая нормативка, которая что-то предписывает должностным лицам, должна быть соответствующим образом до этих лиц доведена, понята и регулярно им напоминаема. Приведенный перечень вопросов — это в большинстве своем список для анкеты — опросника, который сами пользователи должны заполнить. Как мотивировать их это сделать — другой вопрос.
Алексею: по поводу "нуля" и "фантастики" — отнюдь 😉 Просто это не разглашается, а проблемы решаются в досудебном порядке.
Спасибо! Никак сам не собрался проделать сей титатический труд.
1-ый пункт можно развить в виде упомянутых опросников и получить то, что Евгений упомянул как необходимые пп. 1-2.
Хотя ИМХО, в такой постановке на них сотрудник не ответит — надо будет упростить в опроснике.
А.Волкову
Ну если сотрудник не понимает что конфиденциально то дальше о чем говорить !
"Сколько пользователей открывают письмо от незнакомца?" — опасный критерий.
Запретив открывать такие письма, можно отдел продаж без работы оставить.
Евгению: Твои вопросы не измеримы в явной форме. А речь идет именно о количественном измерении. Твои вопросы более философского склада 😉
Александру: Ну решать надо не "в лоб", а дифференцировано.
Любит руководство такие вопросы:
— так, кто Вы такой?
— инженер отдела разработок Иванов
— чем занимаетесь?
— ну.. э.. разрабатываю это.. ну..
— конкретно сейчас что делаете?
— думаю как бы это…
— какая информация у нас в компании считается конфиденциальной?
— Ааа.а.а..аааааа.а.аааа не убивайте дяденька…
Алексей,
Ты размышлял о том, как часто и каким образом делать эти замеры?
Чаще, чем раз в квартал точно не имеет смысла. Имхо, достаточно два раз в год.
>Алексею: по поводу "нуля" и "фантастики" — отнюдь 😉
У вас люди именно выговоры получали? Сколько человек? )
Или их просто пожурили.. или указали, что мол нехорошо?
Я скорее с Алексеем Л. соглашусь про фантастику.