Формирование культуры кибербезопасности — неотъемлемая часть стратегии ИБ

Участие в дискуссии приняли руководитель направления «Автоматизация ИБ» УЦСБ Анастасия Федоренко, директор по работе с партнерами F.A.C.C.T. Денис Мерцалов, основатель группы компаний «Анлим» Максим Овсянников, руководитель отдела compliance и защиты данных Озон Технологии Анна Долдонова, начальник отдела ИБ АГРОЭКО-ИТ Ринат Мавлютов, а модератором трека стал эксперт по безопасности, автор блога «Бизнес без опасности» Алексей Лукацкий.

Формирование культуры кибербезопасности становится неотъемлемой частью стратегии защиты информации любой компании. Она включает в себя традиции компании и осведомленность сотрудников. Максим Овсянников отметил, что в компаниях культура кибербезопасности начинается прежде всего с руководителя, который выступает примером для всех.

По мнению экспертов, начинать формирование культуры кибербезопасности стоит с регламентации процесса и разработки политики. Важно определить целевую аудиторию и подобрать подходящие инструменты, такие как автоматизированные системы или базовые курсы, в зависимости от возможных рисков и групп людей, которые с ними сталкиваются. Денис Мерцалов также подчеркнул, что для повышения осведомленности необходимо проводить регулярные тренинги и обсуждения с участием всех сотрудников компании.

«Нужно формировать положительную культуру кибербезопасности и поддерживать интерес сотрудников, например, применяя методы геймификации и здоровой конкуренции. Сотрудники должны понимать, что каждое звено компании отвечает за безопасность», — считает Анастасия Федоренко.

Одним из способов привлечения сотрудников к прохождению курсов по кибербезопасности является кастомизация обучения. Ринат Мавлютов подчеркнул, что адаптация обучающих курсов под конкретные бизнес-направления и отделы делает их содержание более понятным и близким для сотрудников, обратная связь также способствует улучшению эффективности обучения.

«Хорошо работают интерактивные курсы, в которых слушателю нужно самостоятельно взаимодействовать с материалом. Например, викторины и комиксы, поясняющие нормы информационной безопасности», — отметила Анна Долдонова.

В заключение дискуссии эксперты сошлись во мнении, что оценка эффективности программ повышения осведомленности через метрики и показатели является важным компонентом в организации процесса формирования культуры кибербезопасности. Компаниям необходимо понимать, как используемые методы влияют на обеспечение информационной безопасности в организации.