Как оценить программу повышения осведомленности?

К теме повышения осведомленности я обращался не раз. К теме оценки эффективности и измерению ИБ тоже. И вот решил я объединить их, тем более, что в курсе по измерению ИБ я эту тему освещаю. Как измерить эффективность программы повышения осведомленности? Очевидно, что не по посещаемости и не по отношению посетивших и не посетивших тренинги по безопасности. Ведь задача таких курсов (очных или онлайн) — не галочку поставить, а научить пользователей правильно действовать и реагировать на те или иные события ИБ.

Я могу выделить следующие метрики для оценки программы повышения осведомленности:

  • Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)?
  • Сколько инцидентов ИБ связано с человеческим фактором?
  • Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ — аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)?
  • Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?
  • Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)?
  • Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)?
  • Сколько пользователей открывают письмо от незнакомца?
  • Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).
  • Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности.
  • Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности? В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная — никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    Алексей — критерии правильные.
    Но первым критерием я бы поставил два вопроса:
    1 — какая информация считается конфиденциальной?
    2 — от кого/чего компания защищает эту конфиденциальную информацию?

    Ответить
  2. Unknown

    Евгению: это не каждый ИБ-шник может сказать, а ты — пользователей просишь :))

    На самом деле новизны нет. Любая нормативка, которая что-то предписывает должностным лицам, должна быть соответствующим образом до этих лиц доведена, понята и регулярно им напоминаема. Приведенный перечень вопросов — это в большинстве своем список для анкеты — опросника, который сами пользователи должны заполнить. Как мотивировать их это сделать — другой вопрос.

    Алексею: по поводу "нуля" и "фантастики" — отнюдь 😉 Просто это не разглашается, а проблемы решаются в досудебном порядке.

    Ответить
  3. Michael

    Спасибо! Никак сам не собрался проделать сей титатический труд.

    1-ый пункт можно развить в виде упомянутых опросников и получить то, что Евгений упомянул как необходимые пп. 1-2.

    Хотя ИМХО, в такой постановке на них сотрудник не ответит — надо будет упростить в опроснике.

    Ответить
  4. Анонимный

    А.Волкову
    Ну если сотрудник не понимает что конфиденциально то дальше о чем говорить !

    Ответить
  5. Александр Дорофеев

    "Сколько пользователей открывают письмо от незнакомца?" — опасный критерий.

    Запретив открывать такие письма, можно отдел продаж без работы оставить.

    Ответить
  6. Алексей Лукацкий

    Евгению: Твои вопросы не измеримы в явной форме. А речь идет именно о количественном измерении. Твои вопросы более философского склада 😉

    Александру: Ну решать надо не "в лоб", а дифференцировано.

    Ответить
  7. Анонимный

    Любит руководство такие вопросы:
    — так, кто Вы такой?
    — инженер отдела разработок Иванов
    — чем занимаетесь?
    — ну.. э.. разрабатываю это.. ну..
    — конкретно сейчас что делаете?
    — думаю как бы это…
    — какая информация у нас в компании считается конфиденциальной?
    — Ааа.а.а..аааааа.а.аааа не убивайте дяденька…

    Ответить
  8. Unknown

    Алексей,
    Ты размышлял о том, как часто и каким образом делать эти замеры?

    Ответить
  9. Алексей Лукацкий

    Чаще, чем раз в квартал точно не имеет смысла. Имхо, достаточно два раз в год.

    Ответить
  10. Анонимный

    >Алексею: по поводу "нуля" и "фантастики" — отнюдь 😉

    У вас люди именно выговоры получали? Сколько человек? )
    Или их просто пожурили.. или указали, что мол нехорошо?
    Я скорее с Алексеем Л. соглашусь про фантастику.

    Ответить