5 типовых ошибок при проведении штабных киберучений

Обучение
На этой неделе мне дважды довелось проводить/организовывать киберучения по безопасности (а всего я их провел уже больше десятка) и поскольку я считаю, что за этим форматом вовлечения в ИБ будущее, то хочу поделиться типовыми ошибками, которые совершаются при организации штабных киберучений.

Итак мой топ-5 ошибок выглядит так:

  1. Вы не знаете свою целевую аудиторию и поэтому ваш сценарий не находит отклика у участников. Например, вы проводите учения для топ-менеджеров (главбух, финансовый директор, руководитель службы безопасности, директор HR и т.п.), но в своих кейсах даете слишком много технических деталей, которые не понятны участникам и они теряют интерес к мероприятию. Таже самая проблема возникает, когда ваш сценарий направлен на введение в реагирование на инциденты, а участвуют в киберучениях опытные специалисты службы Incident Response, которым ваши примеры кажутся детскими.
  2. Вы не провели предварительное обсуждение с «заказчиком» учений и не уточнили, какую цель он преследует (а они могут быть разные). В итоге вы сделали не то, чего от вас ожидали. Например, генеральный директор захотел проверить, насколько эффективно его служба ИБ реагирует на нештатные ситуации в техническом, юридическом и организационном доменах, а ваш сценарий заточен на проверку способности службы ИБ пройти проверку регулятора, считая, что именно это важно в данный момент.
  3. У вас нет сценария и вами управляет экспромт. Учитывая необходимость направлять участников в рамках многоходовой комбинации, экспромт не даст вам это сделать и вы уйдете далеко в сторону от первоначальной идеи.
  4. Отсутствие четких правил и неумение держать аудиторию «в узде». Время учений обычно ограничено 2-3 часами (этого хватает для отработки 10-15 ситуаций для 5-6 групп) и поэтому вы не можете себе позволить давать участникам повторяться, долго думать, медлить с ответом, вступать в полемику не по делу и т.п. Работа ведущего (фасилитатора)  сродни модераторству, когда надо четко следить за временем и направлять дискуссию в заранее определенное русло. Пускать на самотек во время киберучений ничего нельзя.
  5. У вас отсутствует follow-up и разбор полетов. Вы же проводите киберучения не потому, что это модно или прикольно. Вы преследуете вполне конкретную цель по выработке навыков ИБ и вовлечению (а не бездумному участию) ваших сотрудников в ситуации, схожие с реальной жизнью, но с которыми вы еще не сталкивались (и это хорошо). Для этого по окончании учений надо понять все ошибки (но не озвучивать их в рамках самих штабных командных киберигр, так как во время них не бывает правильных и неправильных ответов) и на их основе разработать планы по улучшению слабых мест, выявленных в процессе учений. Без этого, все эти «игрища» обречены на неудачу.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).