Все мы знаем, насколько важно обучать сотрудников кибербезопасности. Чтобы помочь вам запустить или разнообразить мероприятия по информированию сотрудников, мы подготовили комплект шаблонов и памяток по кибербезопасности. Эти памятки касаются таких «вечных» тем, как пароли, доступ к файлам и папками, фишинг и whailing (уэйлинг). Кроме того, в комплект вошли памятки для сотрудников с разными уровнями опыта.
Информационные памятки по кибербезопасности
Готовы поспорить, что папки «Входящие» ваших коллег ломятся от обилия непрочитанных сообщений. Чтобы важная информация точно не прошла мимо них, можно распечатать для них привлекающие внимание флаеры. Ниже вы найдете флаеры по мотивам афиш к фильмам, которые помогут вам привлечь внимание сотрудников и рассказать им о кибербезопасности легко и с юмором. Если нужен более экологичный вариант, эти флаеры можно включить в рассылку по электронной почте.
Флаер по фишингу
Согласно статистике киберпреступлений за последние годы 71 % хакерских группировок, совершивших атаки в 2017 году, использовали целевой фишинг электронной почты (по данным компании Symantec), что делает этот способ взлома самым популярным среди злоумышленников. Эта информационная листовка поможет привлечь внимание ваших коллег и сотрудников к таким угрозам, как фишинг и whailing.
Флаер по безопасным паролям
У нас и в далеких-далеких галактиках есть хакеры, взламывающие ненадежные пароли. Этот флаер «Компьютерные войны» поможет привлечь внимание к безопасности паролей и учетных записей и рассказать о двух эффективных способах защиты: диспетчерах паролей и многофакторной аутентификации.
Флаер по поддельным счетам
Если вы получили странный счет или запрос на конфиденциальные данные, обязательно обратитесь в бухгалтерию или руководителю. Этот флаер в стиле «Охотников за привидениями» поможет привлечь внимание к поддельным счетам, чтобы ваши сотрудники могли вовремя разоблачить мошенников.
Базовые шаблоны памяток по кибербезопасности
Очень важно сформировать корпоративную культуру, которая поощряет тех, кто следует правилам кибербезопасности. Добиться этого можно разными путями, такими как комплексное обучение новых сотрудников, информирование удаленных сотрудников, рассылка напоминаний и, наконец, образцовое соблюдение правил руководителями, подающими пример подчиненным. Мы рекомендуем адаптировать эти шаблоны в соответствии с потребностями вашей компании, а также продуктами и услугами, которые она предоставляет.
Памятки по кибербезопасности для новых сотрудников
Как показывает опыт, знакомство с корпоративными политиками и мерами кибербезопасности должно входить в обучение всех новых сотрудников. Эти шаблоны помогут новым сотрудникам начать работу в компании с верной ноты.
Важные темы:
- политики конфиденциальности данных и этические принципы работы с данными
- внутренние угрозы и утечки данных
Шаблон письма
Здравствуйте, [ИМЯ].
Мы рады приветствовать Вас в наших рядах. Я понимаю, что Вам предстоит ознакомиться с большим количеством документов во время обучения. Тем не менее я хочу привлечь Ваше внимание к политикам кибербезопасности, принятым в нашей компании.
Мы придаем большое значение безопасности и целостности данных. Это отражено в приложенной политике безопасности. Ниже перечислены некоторые важные темы. Если у Вас возникнут вопросы по мерам безопасности, обращайтесь ко мне.
- Политика безопасности [ССЫЛКА или ВЛОЖЕНИЕ]
Важные темы, затрагиваемые в политике:
- нормативные требования к безопасности и конфиденциальности в [ОТРАСЛЬ]
- работа с конфиденциальными и персональными данными
- безопасность паролей и учетный записей
- [ДРУГИЕ ВАЖНЫЕ ТЕМЫ]
Когда Вы полностью ознакомитесь с вложением, пожалуйста, подтвердите письмом, что прочитали и поняли все правила в этих политиках.
С благодарностью,
[ПОДПИСЬ]
Памятки по кибербезопасности для удаленных сотрудников
Убедитесь, что удаленные сотрудники включены в общий процесс: не забывайте отправлять им все напоминания и обновления политик, которые вы рассылаете своей команде. Следует помнить, что такие сотрудники сталкиваются с более широким спектром угроз безопасности, нежели их коллеги в офисах. Этот шаблон служит примером того, какие темы следует затронуть, чтобы убедиться в том, что удаленные сотрудники следуют процедурам безопасности при работе в интернете.
Важные темы:
- угрозы, связанные с использованием общедоступных сетей Wi-Fi
- угрозы, связанные с использованием личных устройств (BYOD)
- физическая блокировка устройств и использование паролей
Шаблон письма
Здравствуйте, [ИМЯ].
Хотим ознакомить Вас с последними нововведениями в области безопасности.
Используя общедоступные и бесплатные сети Wi-Fi, Вы подвергаете себя угрозе взлома, а [КОМПАНИЯ] — угрозе нарушения безопасности данных и их кражи.
Использовать общедоступные и бесплатные сети строго воспрещается. Вы можете использовать свой рабочий телефон для подключения к интернету. Инструкции по настройке устройства, в том числе по обязательной настройке защиты с использованием имени пользователя и пароля, Вы найдете во вложении.
Если у Вас остались вопросы или возникли трудности, свяжитесь со мной по телефону или видеосвязи.
Измененная политика вступает в силу [ДАТА]. Чтобы избежать накладок, выполните настройку устройства к [ДАТА].
С благодарностью,
[ПОДПИСЬ]
Памятки по кибербезопасности для всех сотрудников
Как уже упоминалось выше, информирование и мероприятия, связанные с безопасностью, должны проводиться круглый год. Используйте шаблоны, чтобы рассылать сотрудникам напоминания, сообщать им о новейших угрозах и тем самым повышать безопасность данных вашей компании.
Важные темы:
- безопасность паролей
- фишинг, спуфинг и другие типы мошенничества с использованием электронной почты
- поддельные счета
Шаблон письма
Здравствуйте, [ИМЯ].
Ввиду [ПРИЧИНА] мы хотим привлечь Ваше внимание к [ТЕМА].
[ТЕМА] — это [ОПРЕДЕЛЕНИЕ]. Чтобы обеспечить целостность и безопасность данных [КОМПАНИЯ], необходимо [ДЕЙСТВИЕ].
[ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ И ПЕРЕЧНИ]
Мы прилагаем большие усилия к тому, чтобы надежно защитить данные наших сотрудников и клиентов. Благодарим Вас за поддержку и содействие.
С уважением,
[ПОДПИСЬ]
Шаблон памятки по фишингу
Здравствуйте, коллеги
В свете растущего числа фишинговых атак мы хотим поделиться некоторыми советами, которые помогут вам защитить данные ваших учетных записей.
Фишинг — излюбленный метод хакеров, с помощью которого они выдают поддельные электронные письма за письма от настоящих компаний. Они также рассылают поддельные СМС-сообщения (этот метод называется смишингом). Чтобы заставить вас перейти по вредоносной ссылке и тем самым открыть доступ к данным, мошенники, помимо прочего, используют логотипы компаний, а также похожие на настоящие электронные адреса и контактные данные.
Разновидности фишинга:
- целевой фишинг — фишинговая атака, направленная на конкретное лицо; например, хакер может выдавать себя за вашего знакомого, чтобы втереться к вам в доверие
- whailing (уэйлинг) — фишинговая атака, направленная на лиц с широкими правами доступа к данным, средствам и информации (например, на владельцев компаний, финансовых директоров и т. д.)
Никогда не переходите по ссылкам из писем, которых вы не ждали, которые вызывают подозрения или были получены от лиц не из вашего списка контактов. Наведите курсор на ссылку, чтобы увидеть URL-адрес, а затем введите его в браузере, используя протокол HTTPS. Не щелкайте ссылку, даже если адрес кажется правдоподобным.
Признаки мошенничества:
- опечатки в словах
- необычные или масштабные запросы
- странный пустой веб-сайт
- небезопасный веб-сайт
- отсутствие подвала сайта и навигации
- опечатки в словах
- отсутствие контактной информации
Как защитить себя от таких атак:
- Главное, что вы должны усвоить: не переходите по ссылке
- не будьте доверчивы и беспечны, задавайте уточняющие вопросы
- прежде чем опубликовать что-либо в социальных сетях, подумайте, не сделает ли это вас легкой мишенью для злоумышленников
- регулярно обновляйте программное обеспечение
- убедитесь, что все пароли соответствуют корпоративным стандартам (комбинация букв и цифр, минимум 16 символов) и хранятся только в одобренном компанией диспетчере паролей
Благодарим вас за все, что вы делаете для безопасности своих коллег, а также для защиты наших данных и данных клиентов. Спасибо за внимание.
С уважением,
[ПОДПИСЬ]
Памятки по кибербезопасности для руководителей
Чрезвычайно важно, чтобы руководство подавало подчиненным правильный пример. Сотрудники ориентируются на то, как ведут себя руководители, поэтому все члены руководства должны отлично разбираться в проблемах и угрозах, связанных с кибербезопасностью. Поскольку руководители обычно имеют более широкий доступ к данным, взлом их учетных записей представляет особую опасность. Используйте приведенный ниже шаблон для информирования членов руководства компании.
Важные темы:
- наследование разрешений
- модель «нулевого доверия» Zero Trust
- устаревшие данные и учетные записи
- классификация данных
Шаблон письма
Здравствуйте, [ИМЯ].
В рамках мероприятий по улучшению безопасности и обеспечению соответствия [НАЗВАНИЕ НОРМАТИВНОГО АКТА] просим Вас уделить особое внимание [ТЕМА].
Чтобы эффективно внедрить и оптимизировать [ТЕМА], воспользуйтесь приведенными ниже [советы/шаги].
• [СОВЕТ/ШАГ]
• [СОВЕТ/ШАГ]
• [СОВЕТ/ШАГ]
Мы ожидаем, что Вы подадите достойный пример своим подчиненным и они вслед за Вами также станут уделять повышенное внимание вопросам безопасности.
Заранее благодарим Вас за все, что Вы делаете для защиты данных наших сотрудников и пользователей. Ваш вклад очень важен.
С уважением,
[ПОДПИСЬ]
Шутливые шаблоны для последующих напоминаний о кибербезопасности
Писать длинные и серьезные сообщения стоит далеко не всегда. Можно рассылать краткие напоминания как ответы на ваши исходные подробные сообщения по теме — там получатели легко смогут найти дополнительную информацию, если потребуется. Используйте приведенный ниже шаблон, чтобы на его основе создать краткую и броскую рассылку.
Шутливые темы для рассылок:
- Несмешной смишинг: как не стать жертвой мошенников
- Напоминание: станьте мастером экстра-класса в создании и хранении паролей
- Совет по выявлению мошенничества: поддельные счета вместо писем от нигерийского принца
Шаблон письма
Всем привет!
Мы бы хотели ненадолго отвлечь вас от дел, чтобы напомнить о правилах безопасности паролей [И (ИЛИ) ДРУГАЯ ТЕМА].
Пароли должны:
- содержать буквы и цифры
- содержать минимум 16 символов
- храниться в одобренном компанией диспетчере паролей ([ССЫЛКА НА ДИСПЕТЧЕР ПАРОЛЕЙ])
- [ДРУГИЕ СОВЕТЫ]
Заранее благодарим вас за вклад в общее дело. Держим ухо востро, друзья!
[ПОДПИСЬ]
Восемь оригинальных идей для мероприятий по информированию о кибербезопасности
Нужны свежие идеи для мероприятий по информированию коллег и сотрудников в рамках обучения киберграмотности? Попробуйте приведенные ниже варианты. Чтобы стимулировать участие и вовлеченность сотрудников, разработайте систему поощрений. Поощрением может быть дополнительный отгул, денежный бонус, подарочный сертификат, перевод средств в благотворительный фонд и т.д.
- Базовый опрос. Попросите сотрудников ответить на пару вопросов по кибербезопасности и методам ее обеспечения, чтобы определить уровень осведомленности в масштабах всего коллектива и разных отделов. После этого вы сможете адаптировать остальные мероприятия, чтобы повысить их эффективность.
- Проверка с помощью фишингового письма. Отправьте всем сотрудникам убедительное фишинговое письмо, чтобы на практике проверить их знания о фишинге. Используйте поддельный электронный адрес компании и вставьте в письмо корпоративную символику, чтобы замаскировать его под обычную внутреннюю рассылку. Письмо должно содержать запрос на предоставление доступа или конфиденциальных данных. Заметив это, внимательные сотрудники смогут сообщить о попытке взлома. Выявив тех сотрудников, которые ничего не заподозрили, вы сможете провести для них дополнительное обучение, чтобы подготовить их к реальным угрозам.
- Имитация атаки, направленной на конкретное лицо. Здесь мы снова предлагаем вам использовать поддельное фишинговое письмо, но на этот раз его нужно адаптировать в соответствии с должностью адресата или его отделом. Чем реалистичнее будет ваша имитация, тем больше полезного опыта получат сотрудники
- Викторина или «Своя игра» для команды. Перерыв на обед или на неформальное общение — отличное время для того, чтобы провести веселое и познавательное мероприятие для команды. Подготовьте для них вопросы по кибербезопасности и мерах ее обеспечения. Чтобы стимулировать активное участие, предложите победителям официальное звание знатока и возможность сделать пожертвование в благотворительный фонд от лица компании.
- Соревнование по выявлению уязвимостей (для ИТ-специалистов). Не забывайте об ИТ-персонале и других специалистах по безопасности: для них можно провести соревнование по выявлению уязвимостей с призами для тех, кто найдет самые серьезные уязвимости. В ходе соревнования участники смогут выявлять расставленные вами (а также реальные) уязвимости и баги в системах или сети. Используйте для этого мероприятия тестовую среду, чтобы не нарушать производственные процессы и не перегружать узлы трафиком
- Цели и важные этапы. Составьте список утвержденных мероприятий, викторин, онлайн-тестов и сертификационных курсов, которые сотрудники смогут проходить в своем темпе в определенный период. За каждое выполненное задание сотрудники будут получать баллы, а в конце периода по сумме баллов вы сможете определить победителей, которые получат призы (отгул, подарочный сертификат, пожертвование в фонд и т. д.).
- Использование визуальных материалов и видео. Используйте разные методы представления информации, чтобы вовлечь сотрудников и помочь им усвоить важность затрагиваемых тем. Если у вас есть возможность, снимите видеоролик, посвященный наиболее важным вопросам. Либо просто включите в вашу рассылку один из флаеров по кибербезопасности, приведенных выше.
- Приглашенный эксперт. Существует множество специалистов и компаний, которые занимаются организацией увлекательных и познавательных мероприятий. Вы всегда можете обратиться к профессионалам, которые организуют для вашей команды мероприятие, презентацию или познавательный семинар с закусками.
Помните: чтобы мероприятия по улучшению внутренней безопасности увенчались успехом, они должны быть тематическими и интересными. Надеемся, что эти материалы помогут вам сформировать культуру соблюдения мер кибербезопасности и сократить число внутренних угроз.
ссылка на оригинал статьи https://habr.com/ru/company/varonis/blog/517232/
Добавить комментарий