Обучение безопасности — это стратегия, а не разовая акция
Многие собственники и коллеги по ИБ в компаниях думают, что достаточно купить доступ к обучающей платформе по обучению сотрудников основам кибербезопасности на пару месяцев, провести несколько тренингов — и сотрудники сразу станут осознанными и защищенными.
Но так не работает. Без комплексного подхода даже лучшие курсы не дадут эффекта. Безопасность — это не галочка в отчёте, а привычка, встроенная в рабочие процессы.
Именно такой подход заложен в SANS Security Awareness Maturity Model® — модели зрелости программ осведомленности в области безопасности, разработанной SANS Institute. Она объясняет, как управлять человеческим фактором в кибербезопасности, переходя от полного отсутствия осведомленности к сформированной культуре безопасности.
Ключевые моменты модели SANS
🤓Люди — главный фактор риска. 68% всех утечек данных происходят по вине сотрудников. Современные атаки всё чаще ориентированы не на технологии, а на людей.
Пять этапов зрелости осведомленности
Этап 🏳️. Нет осведомленности. Сотрудники не понимают риски, программ обучения нет.
Этап 2️⃣. Соответствие нормативам. Обучение проводится раз в год, но не меняет поведение.
Этап 🏳️. Изменение поведения. Сотрудники вовлекаются, обучение становится регулярным.
Этап 4️⃣. Культура безопасности. Осведомленность становится частью повседневной работы.
Этап 5️⃣.Управление на основе метрик. Безопасность встроена в стратегию компании, оценивается её эффективность.
Что делает программу эффективной?
🟣постоянное обучение и вовлечение сотрудников
🟡поддержка руководства и выделенные специалисты
🟣четкие метрики эффективности
🟣интеграция безопасности в стратегию компании
На следующей неделе начну публиковать переводы ключевых тезисов по каждому этапу 🫶
Многие собственники и коллеги по ИБ в компаниях думают, что достаточно купить доступ к обучающей платформе по обучению сотрудников основам кибербезопасности на пару месяцев, провести несколько тренингов — и сотрудники сразу станут осознанными и защищенными.
Но так не работает. Без комплексного подхода даже лучшие курсы не дадут эффекта. Безопасность — это не галочка в отчёте, а привычка, встроенная в рабочие процессы.
Именно такой подход заложен в SANS Security Awareness Maturity Model® — модели зрелости программ осведомленности в области безопасности, разработанной SANS Institute. Она объясняет, как управлять человеческим фактором в кибербезопасности, переходя от полного отсутствия осведомленности к сформированной культуре безопасности.
Ключевые моменты модели SANS
🤓Люди — главный фактор риска. 68% всех утечек данных происходят по вине сотрудников. Современные атаки всё чаще ориентированы не на технологии, а на людей.
Пять этапов зрелости осведомленности
Этап 🏳️. Нет осведомленности. Сотрудники не понимают риски, программ обучения нет.
Этап 2️⃣. Соответствие нормативам. Обучение проводится раз в год, но не меняет поведение.
Этап 🏳️. Изменение поведения. Сотрудники вовлекаются, обучение становится регулярным.
Этап 4️⃣. Культура безопасности. Осведомленность становится частью повседневной работы.
Этап 5️⃣.Управление на основе метрик. Безопасность встроена в стратегию компании, оценивается её эффективность.
Что делает программу эффективной?
🟣постоянное обучение и вовлечение сотрудников
🟡поддержка руководства и выделенные специалисты
🟣четкие метрики эффективности
🟣интеграция безопасности в стратегию компании
На следующей неделе начну публиковать переводы ключевых тезисов по каждому этапу 🫶