“Ready Player One” (c) Ernest Cline
Сегодня я хочу отметить важность использования научных исследований и передовых подходов для применения их в работе в области ИБ (и вообще в любых областях). В начале я приведу результаты одного такого исследования, а далее раскажу и покажу на примерах, как эти результаты удалось применить в работе. Те, кто зашёл просто посмотреть скриншоты - спускайтесь в самый низ :)
Предисловие
В Австралии в 2016 году было проведено исследование о влиянии личных качеств или личных черт личности сотрудников на результаты программы повышения осведомлённости ИБ (далее ППОИБ).
(DOI: 10.1016/j.chb.2016.11.065 "Individual differences and Information Security Awareness")
За анализируемые критерии исследователи взяли наличие самой ППОИБ, пол, возраст, 5 «больших» факторов личности (Big Five), склонность к риску.
В исследовании приняли участие 286 женщин и 219 мужчин, с возрастом от 18 до 60++, из 13 различных отраслей, имеющие различные должностные положения в организациях. Самое важное условие, это обязательное наличие программы ИБ в их организации (политики, инструкции и т.д.).
Результаты исследования:
Согласно исследованию существенное влияние на успешность ППОИБ оказывают следующие черты личности:
• Добросовестность (Big 5 - Conscientiousness) – способна повлиять положительно.
• Приятность в общении (Big 5 - Agreeableness) – способна повлиять положительно.
• Эмоциональная стабильность (Big 5 - Neuroticism) – способна повлиять отрицательно.
• Склонность к риску – способна повлиять отрицательно.
Не существенное влияние оказывают:
• Возраст
• Пол
• Открытость к новому опыту (Big 5 - Openness to experience)
Не оказывает влияния:
• Экстраверсия (Big 5 – Extraversion) – экстраверт или интраверт испытуемый.
Старшие поколения – менее склонны к риску, чем младшие.
В отношении к полу выяснилось, что женщины набирают чуть больше баллов в результатах тестирования ППОИБ, чем мужчины. Но в то же время в отношении фишинговых сообщений, – женщины оказались более восприимчивы.
В будущем данное исследование может помочь, например, создавать индивидуальные программы обучения для определённых групп сотрудников и повысить результаты этих программ.
Там же я узнал о существовании модели обучения KAB: Знания (Knowledge), Отношение (Attitudes), Поведение (Behaviour). Согласно которой, успешная ППОИБ основывается на этих 3 китах.
Например:
Если мы хотим скорректировать поведение сотрудников (к примеру меньше переходить по ссылкам в фишинговых письмах), то мы должны предоставить им соответствующие знания об угрозах\атаках\уязвимостях\ИБ политиках\инструкциях, выработать у них соответствующее отношение к этим знаниям (почему они должны им следовать) давая им корректирующие установки "как избежать проблем" или рассказывая о правилах безопасности, таким образом, выработав у них соответствующее поведение (что они должны делать).
Недостаточно это применять только в обучающих курсах. Это нужно применять в рамках ваших ИБ-процессов всегда, где предоставляется обратная связь клиенту по инциденту (сотруднику или бизнес-подразделениям).
В том же исследовании, упоминался другой аналитический материал - "The Human Aspects of Information Security Questionnaire" (HAIS-Q). Это некая модель, разработанная в 2014 году, для оценки угроз ИБ, направленных именно на сотрудников в рамках одной организации. Эта модель выделяет 7 ключевых доменов по которым необходимо проводить ППОИБ (о них я уже ранее писал):
- Безопасность паролей
- Безопасность электронной почты
- Безопасность информации
- Безопасность мобильных устройств
- Безопасность в Интернет
- Безопасность в социальных сетях
- Информирование об инцидентах
Применение в работе
Используя данную информацию, а также другие накопленные знания и опыт я участвовал в разработке отдельных курсов обучения и повышения осведомлённости, а также в разработке целой компьютерной игры по ИБ для сотрудников моей организации.
Получилось точно хорошо, насколько хорошо - могут оценить только эксперты и тестирование знаний сотрудников. Но могу сказать, что такая доскональная проработка деталей отсутствует даже у профессиональных сервис-провайдеров на рынке РФ, которые берутся за разработку обучающих курсов по ИБ. Но для понимания, я был лишь одним из участников команды и занимался разработкой контента. Были ещё РП, дизайнер, outsource команда разработки (для игры по ИБ), копирайтер. Конечный продукт получился при взаимодействии профессионалов и каждый участник внёс свою лепту.
Платформа обучения на которой базируются курсы и игра - СДО WebTutor. Рекомендую её как очень функциональный, удобный и гибкий продукт для дистанционного обучения и управления знаниями.
Теперь немного о получившихся продуктах:
1) Курс обучения "Безопасность паролей"
Команда: администратор WebTutor (1 чел., РП), outsource-разработчик SCORM-пакета (дизайн+копирайтинг, 1 чел.), безопасник (контент+копирайтинг+требования к дизайну, 1 чел.).
Ценности: Повышение осведомлённости, лучшие практики по безопасности паролей.
2) Игра по ИБ
Команда: Внешний сервис-провайдер (команда разработчиков -> дизайн\код\сюжет\контент\ SCORM-пакет), безопасник (контент, требования к дизайну, сториттелинг, тестирование), копирайтер (сюжет + тестирование), администратор WebTutor (РП), outstaff-разработчик WebTutor (создание рейтинга игроков).
Ценности: Геймификация программы обучения, повышение вовлечённости сотрудников и эффективное усвоение знаний и навыков по ИБ.
Игра получилась с 5 глобальными доменами повышения осведомленности (2 осталось не проработано из-за некоторых ограничений в ресурсах), 15 проблемными темами в том числе фишинг, вред. ПО, вишинг, смс-мошенничество и другие (которые приводятся у меня в блоге), рейтингом игроков (делался отдельно на WebTutor со статистикой в режиме реального времени) и поощрительными призами для первых финалистов игры (кто быстрее пройдёт, того и тапки). В игре 15 блоков на 5 доменов. Каждый блок содержит правильные и неправильные ответы\решения игрока. Так вот один блок это 6,66% к прохождению игры. Если в блоке 6 вопросов - то каждый вопрос это примерно 1% к прохождению. Попыток прохождения не ограничено (но при желании можно ограничить). Таким образом пройдя успешно все 15 блоков - игрок набирает 100%. Мы опасались, что игрок попросту не будет играть до 100% (тоесть проходя все блоки на отлично и без ошибок), поэтому в какой-то момент игра давала закончить себя на 78% (это примерно 7 блоков пройденных на отлично) и предоставляла игроку финал, поздравления, эмоции. Но так как была поощрительная часть и дух сопернечества, то ограничение сняли и игра проходилась при получении 100% баллов за правильные ответы.
Я участвовал в разработке контента, сторителлинга, требований к дизайну, роботам, игровым задачкам, тестировании, сопровождении и Бог знает чего ещё. По сюжету игрока вызывают на помощь в подразделение безопасности, дают ему очки для погружения в корпоративное киберпространство и он должен "спасти компанию" от растущего кол-ва кибератак ;)