Теория + практика + итоговое тестирование = эффективное развитие компетенций сотрудников в информационной безопасности.
Краткие и ёмкие 20-40 минутные кейсы, назначаемые в соответствии с индивидуальными потребностями и профилями работников.
Авторы курса – эксперты в области построения систем управления ИБ, ИТ сервисами и непрерывностью бизнес-деятельности. Мы более 15 лет помогаем организациям повышать уровень зрелости процессов ИБ, открывать новые бизнес-горизонты и соответствовать требованиям международных стандартов.
Поговорим с Екатериной Митрофановой, директором по развитию направления продаж интерактивных обучающих курсов компании ТЦ Инженер.
— Расскажите, почему вы решили создать курсы для повышения компетенций сотрудников?
— Современные организации работают в высококонкурентной среде с использованием различных информационных технологий в повседневной деятельности. С ростом сложности ИТ-систем значительно растут риски информационной безопасности, в особенности, связанные с угрозами, которые могут быть реализованы через рядовых сотрудников.
Необходимость повышать осведомлённость работников регламентирована законодательством РФ, отраслевыми требованиями и нормами российских и международных стандартов в области информационной безопасности. Поэтому вне зависимости от размера финансовой организации перед руководителями ИБ подразделений, директорами по информатизации и информационным технологиям стоит задача развития компетенций сотрудников.
Использовать для реализации этой задачи только презентации, Zoom, семинары и подобные средства обучения по причине того, что это проще или дешевле — все равно, что вести клиентов в excel-таблице. При таком подходе работник пассивно воспринимает информацию и уровень усвояемости материала остаётся низким.
В бизнес-образовании применяются активные методы обучения, в которых сотрудник принимает участие в получении новых знаний. Игровая форма, взаимодействие с интерфейсом, решение сканвордов, поиск «ошибок» на картинке, слайды в виде комиксов и другие интерактивные приёмы подают информацию в краткой и доступной форме.
— Получается, курсы от компании Инженер – больше, чем просто презентация с картинками?
— Безусловно. Это то, что хотят руководители – удобный диджитал инструмент для эффективного повышения уровня квалификации и последующей оценки осведомлённости персонала. Бизнес требует быстрого достижения целей, и важен конкретный результат — обычно это новое поведение сотрудников. Именно за него заказчик готов платить. Поэтому ключевой показатель эффективности состоит не в том, что работник прослушал курс, прошёл тренинг и сдал тест на отлично, а в том, как он использует полученные знания.
Цель обучения – изменение поведения сотрудников, которое проявляется в предотвращении инцидентов, уменьшении уровня угроз корпоративной безопасности, связанных с утечкой конфиденциальной информации, снижении финансовых и репутационных рисков.
— Вы предлагаете курсы уже более 5 лет. Почему ваше решение востребовано?
Нам интересно не просто продать курс, мы предлагаем подход: обучаем только тому, что необходимо, и тех, кому необходимо. Целенаправленно. Без “воды”. Формируем навыки не по вообще всем вопросам ИБ, а в соответствии с угрозами и профилями работников, чтобы минимизировать отвлечение от рабочего процесса и достигнуть максимальной эффективности в закрытии угроз ИБ.
Создатели курса – аудиторы-практики с многолетним опытом работы в сфере ИБ, обладающие общепризнанными международными сертификатами: CISA, CISM, CISSP, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, ISO 22301 Lead Auditor, ISO 20000 Lead Auditor и др. Мы хорошо понимаем как конъюнктуру и потребности заказчика, так и требования регуляторов.
Адаптируя курсы под запросы бизнеса организаций, мы следуем тенденциям микрообучения. Как у работодателя, так и у сотрудника сегодня нет ни времени, ни интереса учиться долго. Поэтому прохождение одного курса занимает от 20 до 40 минут.
Курсы содержат интерактивный разбор типовых ситуаций, применимых к офисной работе, использованию персональных электронных гаджетов и бизнес процессам. Взрослые люди хотят учиться, если они понимают необходимость обучения и видят возможности применить его результаты для улучшения своей деятельности на рабочем месте.
— Какие внешние требования закрывают ваши материалы?
Курсы компании Инженер закрывают требования регуляторов по повышению осведомлённости сотрудников. Они могут быть использованы в качестве вводных инструктажей, для ежегодного повышения осведомленности пользователей и в качестве корпоративных обучающих программ по вопросам информационной безопасности.
Любая серьезная компания стремится к применению лучших международных практик, требования которых содержат в себе в том числе и обучение работников информационной безопасности.
Мы рекомендуем использовать курсы и как самостоятельный инструмент, и в составе услуг по приведению в соответствие требованиям регуляторов и международных стандартов по информационной безопасности: ГОСТ Р 57580, 152-ФЗ, 716 приказ БР, GDPR, PCI DSS, SWIFT и др.
Программа по повышению осведомлённости сотрудников состоит из 15 курсов по тематикам информационной безопасности и предназначена для рядовых пользователей.
Как защититься от фишинга
Курс посвящен вопросам борьбы с фишингом и тому, как пользователю не стать жертвой злоумышленника.
Целевая аудитория курса: рядовой пользователь.
Длительность курса: 40 минут.
- Курс подготовлен в формате SCORM
- Совмещён со стандартными LMS
- В завершении имеется тестирование с отправкой результатов тестирования в систему LMS
Содержание курса:
- что такое фишинг
- какие могут быть каналы фишинга: почта, социальные сети, поддельные сайты, смс сообщения, поддельные он-лайн сервисы
- наглядные примеры
- интересные упражнения
- итоговое тестирование
Курс содержит практические интерактивные упражнения, которые позволяют пользователю потренироваться в определении фишинговых ресурсов.
Основные правила безопасности при удаленной работе
Курс затрагивает особенности удаленной работы и включает рекомендации по эффективному распределению рабочего времени, защите сети интернет и дополнительным мерам повышения уровня информационной безопасности в период пандемии.
Длительность курса: 20 минут.
- Курс подготовлен в формате SCORM
- Совмещение со стандартными LMS
Содержание курса
- Введение
- Особенности организации удаленной работы
- «Набор джентльмена» для работы дома
- Рекомендации и предостережения в эпоху пандемии
- Базовые правила безопасности при работе с информацией
- Ответственность
Вводный курс по информационной безопасности
Курс предназначен для вводного инструктажа при приёме на работу, содержит все основные правила информационной безопасности.
Целевая аудитория курса: пользователь-новичок.
Длительность курса: 40 минут.
- Курс подготовлен в формате SCORM
- Совмещён со стандартными LMS
- В завершении имеется тестирование с отправкой результатов тестирования в систему LMS
Содержание курса
Общие блоки по требованиям в отношении работы со всеми критичными ресурсами организации: почта, интернет, бумажные и электронные носители.
Информация о каналах сообщения об инцидентах, правила составления паролей, фишинге, защите физического периметра, защите в процессе передачи информации и т.д.
Включает большое количестве интерактивных упражнений, закрепляющих полученные знания.
Защита конфиденциальной информации
Курс посвящен вопросам определения конфиденциальной информации, правилам работы с ней и ответственности в случае нарушения правил.
Целевая аудитория курса: рядовой пользователь.
Длительность курса: 30 минут.
- Курс подготовлен в формате SCORM
- Совмещён со стандартными LMS
- В завершении имеется тестирование с отправкой результатов в систему LMS
Содержание курса
Классы информации, которые могут быть в организации, интересные упражнения по определению классов информации.
Правила работы с конфиденциальной информацией, основные ошибки, которые пользователь допускает при работе с ней.
Интерактивный контент в виде диалогов между сотрудниками в офисе, примеры распространённых проблем, которые пользователи не воспринимают, как нарушения.
Практические упражнения по порядку установления режима КТ в компании, ответственность пользователей.
Сообщение об инцидентах ИБ
Курс формирует навыки определения, какие из происшествий нужно отнести к классу инцидентов ИБ, учит немедленно сообщать о них по соответствующим каналам, помогает пользователям сконцентрироваться на важных моментах идентификации именно инцидентов ИБ.
Целевая аудитория курса: рядовой пользователь.
Длительность курса: 30 минут.
- Курс подготовлен в формате SCORM
- Совмещён со стандартными LMS
- В завершении имеется тестирование с отправкой результатов тестирования в систему LMS
Содержание курса
- Что относить к инцидентам ИБ, а что к событиям
- Примеры распространенных инцидентов ИБ
- 5 шагов, которые необходимо предпринять, если вы обнаружили инцидент ИБ
- Общее заключение
- Итоговое тестирование
Памятка по инцидентам информационной безопасности
Курс - памятка рассматривает на практических примерах типовые инциденты ИБ.
Целевая аудитория курса: рядовой пользователь.
Длительность курса: 20 минут.
- Курс подготовлен в формате SCORM
- Совмещён со стандартными LMS
Содержание курса
Состоит из примеров инцидентов, приведенных на изображениях. Пользователь, перемещая мышь по изображению, находит инцидент и видит памятку по нему: описание, рекомендации по избежанию, напоминание о порядке действий в случае обнаружения.
Правовые аспекты при обращении в суд в случае инцидента ИБ
Курс носит практическое назначение для специалистов в области ИБ, даёт понимание, на что обращать внимание и какие сведения собирать, если у вас в организации случился инцидент ИБ.
Составители: эксперты ИБ из банковской сферы.
Целевая аудитория: специалисты по информационной безопасности.
Длительность: 30 минут.
- Курс подготовлен в формате SCORM
- Совмещён со стандартными LMS
Содержание курса
Классификаций нарушений
Реагирование в случае нарушения
Алгоритм действий с юридической точки зрения
В состав курса входят:
- доступные к скачиванию шаблоны документов, необходимые для подтверждения факта инцидента ИБ при обращении в суд,
- положение по работе с КТ, которые нужно утвердить в организации при введении режима КТ,
- ссылки на полезные публикации по теме в сети интернет и блоги коллег-экспертов
Курс - памятка для рядовых пользователей "Памятка по реагированию на инциденты ИБ"
Статистика по утечкам конфиденциальной информации - инфографический материал по статистике утечек КИ на рынке РФ, подготовлена на основании отчетов Infowatch.
Антивирусная защита
Курс подробно рассматривает проблему, связанную с вирусными заражениями, которые могут произойти в результате небезопасной работы пользователя.
Целевая аудитория: рядовой пользователь.
Длительность: 30 минут.
- Курс подготовлен в формате SCORM
- Совмещен со стандартными LMS
- В завершении курса имеется тестирование с отправкой результатов в систему LMS
Содержание: что может сделать вирус, виды вирусов, примеры последствий от заражения вирусом, блок практических рекомендаций, что необходимо делать пользователю, чтобы не заразиться вирусом (через письма, интернет, флэш-носители и т.п.).
Игра: Кто хочет стать миллионером
Цель игры - заинтересовать пользователей и привлечь внимание к проблемам в области защиты информации в Организации.
Целевая аудитория: рядовой пользователь, который уже изучил все предыдущие курсы по ИБ.
Длительность: 10 минут.
Механика: разработана по мотивам игры "Кто хочет стать миллионером". Состоит из 15 вопросов, есть несгораемые суммы, возможность сделать выбор 50 на 50 и один раз сменить вопрос. В случае прохождения игры пользователю присваивается статут PHISHMAN - защитник организации от угроз ИБ.
Игра может быть использована отделом по работе с персоналом в программе мотивации и иметь призы для пользователей, прошедших игру.
Защита мобильных устройств
Курс предназначен для пользователей, которые работают с мобильными устройствами в производственных целях.
Целевая аудитория: рядовой пользователь.
Длительность курса: 30 минут.
- Курс подготовлен в формате SCORM
- Совмещение со стандартными LMS
- В завершении имеется тестирование с отправкой результатов в систему LMS
Содержание курса: статистика по инцидентам ИБ, связанным с нарушением правил работы с мобильными устройствами, последствия для организации, правила по защите мобильных устройств с примерами.
Парольная защита
Курс направлен на работу над практикой составления, запоминания и использования сложных паролей.
Целевая аудитория: рядовой пользователь.
Длительность: 40 минут.
Курс подготовлен в формате SCORM
Совмещён со стандартными LMS
В завершении имеется тестирование с отправкой результатов в систему LMS
Содержание
- Зачем составлять сложные пароли
- Каким должен быть сложный пароль
- Большой блок практических интерактивных упражнений, которые позволяют пользователю научить придумывать и запоминать сложные пароли: рассматриваются 3 основных способа составления паролей, встроен элементы игры (тренировка ассоциативной памяти).
Рекомендации по общей безопасности
Курс в игровой форме знакомит с базовыми требованиями информационной безопасности, которые применимы в любой организации. Может быть использован в качестве вводного курса вместо изучения памяток ИБ.
Целевая аудитория: рядовой пользователь.
Длительность: 45 минут.
- Курс подготовлен в формате SCORM
- Совмещён со стандартными LMS
Содержание
1. Краткий теоретический блок о том, как выделять области или задачи, которые решает ИБ. Вводится понятие свойств информации, даны примеры, как они могут быть потеряны.
2. Основной материал подается в виде игры "Phishman vs Хакер"
Игра состоит из 6 блоков. Проходя блоки, пользователь зарабатывает баллы либо за плохого персонажа, либо за хорошего. Каждый следующий блок возможно пройти, если предыдущий был выигран положительным персонажем. Игра в очень простой и наглядной форме позволяет внимательно ознакомиться с основными требованиями ИБ вместо прочтения инструкций. В завершении игры пользователю присваивается статус PHISHMAN за вклад в защиту активов Организации.
Настройки безопасности планшетов и смартфонов
Курс носит практическое назначение - обучение настройкам безопасности на устройствах на базе IOS и Android. После прохождения курса пользователь самостоятельно сможет осуществить настройку базовых функций ИБ на личных и корпоративных устройствах.
Целевая аудитория: рядовой пользователь.
Длительность: 40 минут.
- Курс подготовлен в формате SCORM
- Совмещение со стандартными LMS
- В завершении имеется тестирование с отправкой результатов в систему LMS
Содержание: два блока по конкретным настройкам ИБ в устройствах на базе IOS и Android. Распространяется, как на телефоны, так и ноутбуки.
Содержит большое количество интерактивных элементов.
ТОР-10 вопросов по информационной безопасности
Цель - в произвольные промежутки времени проверить знания рядовых пользователей по различным аспектам информационной безопасности.
Целевая аудитория: рядовой пользователь, который уже изучил все предыдущие курсы по ИБ.
Длительность опроса: 10 минут.
Опрос включает в себя 10 вопросов, которые выбираются произвольным образом для каждого пользователя из пула в 110 вопросов по информационной безопасности.
Установлен пороговый балл прохождения, если он не достигается пользователю предлагается пройти еще раз курсы по тем темам, которые им были не усвоены (это может быть любой курс из базовых курсов по ИБ).
Аспекты ИБ в законодательстве РФ
Курс позволяет пользователям любой организации получить представление о законодательной базе РФ в области информационной безопасности.
Целевая аудитория: рядовой пользователь.
Длительность: 30 минут.
- Курс подготовлен в формате SCORM
- Совмещён со стандартными LMS
- В завершении имеется тестирование с отправкой результатов в систему LMS
Содержание
- Общий обзор законодательства с элементами интерактива и возможностью перехода на внешние ресурсы.
- Охватывает все виды требований: банковская тайна, тайна личной жизни, защита персональных данных, защита интеллектуальной собственности.
- Проводится краткое разъяснение каждого закона с возможностью доступа к полному тексту.
- Обзор основных регулирующих органов в области ИБ с указанием их функций.
- Разбор всех видов нарушений В интерактивной форме. Ответственность за нарушения.
- Упражнения по порядку установки режима КТ в организации.