Обучение по вопросам безопасности: ваша первая линия защиты (часть 3)

Опубликовано: 7 Апреля, 2023

Введение

В части 1 этой серии мы обсудили важность осведомленности о безопасности на современных строго регулируемых рабочих местах, а в части 2 мы сосредоточились на том, как разработать собственную программу обучения внутри компании. На этот раз мы рассмотрим другое мнение — наем сторонней компании для проведения обучения — и то, как нанять правильную компанию, чтобы гарантировать, что ваши презентация, на которую никто не обратит внимание и не запомнит.

Аутсорсинговое обучение по вопросам безопасности

Прочитав обо всем, что связано с разработкой хорошей программы обучения по вопросам безопасности, вы, возможно, решили, что будет разумнее и выгоднее просто нанять обучающую компанию, которая придет и сделает это за вас. Этот подход имеет много преимуществ, особенно если у вас ограниченные кадровые ресурсы внутри компании и/или если вам необходимо немедленно начать обучение.

Компания, которая специализируется на обучении по вопросам безопасности, будет (или должна) постоянно учиться у своих клиентов, что работает лучше всего, а что нет, и совершенствовать программу. Они уже прошли через этот процесс проб и ошибок много раз, в то время как с усилием «сделай сам» вам нужно сделать все правильно с первого раза.

Поскольку это то, что они делают каждый день, инструкторы, скорее всего, будут лучше разбираться в материале и предмете. Они могут лучше отвечать на вопросы пользователей и сталкиваться со многими необычными сценариями, которые учащиеся могут привести в классе, что поставило бы в тупик менее опытного учителя.

Однако качество обучения, которое вы получите от сторонней компании, может сильно различаться в зависимости от конкретной выбранной вами компании. Вот почему так важно провести исследование и тщательно оценить компанию и ее программы, заранее взять интервью у ее преподавателей и определить, какая компания предлагает наилучшие условия для вашей конкретной организации.

Оценка компании

Как вы относитесь к сравнению различных тренинговых компаний? Первый шаг — назначить задачу оценки и выбора конкретному человеку или команде в вашей организации. Придумайте критерии (исходя из потребностей вашей отдельной компании) и сроки проведения расследования в отношении каждой рассматриваемой компании.

Как правило, поиск начинается с определения нескольких компаний, которые предоставляют обучение нужного вам типа (будь то аудиторное или компьютерное). Из уст в уста — один из лучших способов получить рекомендации, поэтому вы можете опросить другие компании в вашем регионе, которые имеют схожие потребности и структуру с вашими (количество сотрудников, тип онлайн-задач, которые выполняют сотрудники, такой же уровень конфиденциальности / конфиденциальности). информацию, с которой они имеют дело, и так далее).

Еще один предварительный способ найти компании или проверить те, которые рекомендуются, — это, конечно же, посетить их веб-сайты. Когда вы смотрите на компании, которые, например, производят и продают автомобильные аксессуары, качество веб-сайта не обязательно отражает качество их продукции. Но когда вы смотрите на компании, которые специализируются на обучении безопасности в Интернете, они работают в технологической отрасли и, следовательно, должны иметь хорошие веб-сайты. Они также занимаются распространением информации и содействием обучению, поэтому сайты должны быть информативными, а информация на сайтах должна быть четкой и легкой для понимания и навигации. Если они не смогут сделать это правильно, я буду беспокоиться о том, насколько хорошо они смогут написать и представить программу обучения.

Конечно, само собой разумеется, что сайты должны использовать безопасные технологии. Если веб-сайт компании, занимающейся обучением безопасности в Интернете, вынуждает меня загружать элементы управления ActiveX или использовать Flash — и то и другое печально известно своими проблемами с безопасностью — для просмотра их веб-страниц, я буду настороже. Убедитесь, что если они разрешают онлайн-заказ или оплату, эти транзакции защищены HTTPS — это основа.

Как только вы закончите дизайн и реализацию сайта, обратите внимание на информацию там. Загляните в раздел «О нас» ( один из них, верно?) для получения информации о том, где физически находится компания, как долго она работает, кто ее руководители, сколько в ней сотрудников и, возможно, отзывы от его клиенты. Предоставляет ли он различные типы контактной информации? Компания, которая хочет, чтобы с ней связались только через онлайн-форму и не дает ни адресов электронной почты, ни номеров телефонов, ни физических адресов, может подать тревожный сигнал. С другой стороны, тот, кто настаивает на телефонном звонке и не предлагает возможности онлайн-контакта, может планировать использовать тактику жесткой продажи.

Есть ли на сайте подробная информация о предлагаемых видах обучения? Я не хочу тратить свое время, звоня или отправляя электронное письмо в компанию, которая предоставляет только компьютерное обучение, когда мне нужно обучение в классе, или наоборот. Веб-сайт должен предоставить вам достаточно информации, чтобы исключить тех, кто не соответствует вашим критериям высокого уровня, без необходимости связываться с ними, чтобы узнать эту самую основную информацию. Опять же, речь идет об их способности ясно общаться.

Оценка программ

В рамках оценки компаний вы также начнете оценивать программы. Как упоминалось выше, первый шаг — определить, предлагают ли они обучение в общем формате, который вы хотите использовать. Затем посмотрите на форматы времени; если вы ищете двухдневный обзорный курс, а компания предлагает только трехмесячный комплексный курс (или наоборот), он явно не подходит для ваших нужд.

Конечно, вы захотите рассмотреть цены. Самый дешевый вариант часто не самый лучший, хотя и самый дорогой тоже может быть не лучшим. То, что вы ищете, это лучшее цены и качества. Однако реальность такова, что если у вас есть определенный бюджет, выделенный на обучение, вы сможете выбирать только из программ, которые попадают в ваш ценовой диапазон. Нет смысла тратить много времени и усилий на оценку программы, которую ваша компания не может себе позволить.

Насколько индивидуальны предлагаемые курсы? Предлагает ли компания курсы, предназначенные специально для вашей отрасли (например, финансовые услуги, здравоохранение или розничная торговля), которые могут иметь особые соображения, выходящие за рамки основ, из-за нормативных требований или отраслевых предписаний?

Существуют ли различные краткие курсы, дополняющие базовый курс, которые могут быть актуальны для одних ваших сотрудников, а для других нет? Например, если только менеджеры получают доступ к сети компании через свои мобильные устройства, есть ли мини-курс по мобильной безопасности, который они могут пройти?

Если компания предлагает дополнительные курсы, вам необходимо тщательно оценить базовый курс по вопросам безопасности, чтобы убедиться, что он охватывает все ожидаемые вами темы и что некоторые из них, которые вы можете считать «базовыми», не были выделены в отдельные курсы. Некоторые темы, которые большинство компаний захотят охватить всеми сотрудниками — либо с помощью всеобъемлющего базового курса, либо путем составления хорошего «меню» коротких курсов, — включают следующее:

  • Терминология и концепции безопасности
  • Вредоносное ПО: вирусы, трояны, черви, рекламное ПО, программы-вымогатели и т. д.
  • Векторы вредоносных программ: электронная почта, Интернет, установка программ, мгновенные сообщения, съемные носители и т. д.
  • Опасные веб-сайты
  • Социальная инженерия (онлайн и оффлайн): распространенные тактики и приемы, как распознать и отреагировать; фишинг/целевой фишинг
  • Эксплойты: уязвимости операционной системы, приложений и протоколов
  • Атаки: DoS/DDoS, человек посередине, подмена IP, отравление DNS, взлом паролей
  • Безопасность данных и шифрование
  • Физическая охрана
  • Киберпреступность

Лучшие практики безопасности

В дополнение к общей информации, хорошая программа повышения осведомленности о безопасности также будет информировать ваших сотрудников о конкретных политиках вашей компании, связанных с безопасностью, а также о последствиях нарушений и процедурах сообщения о наблюдаемых нарушениях политики безопасности.

Обучение по вопросам безопасности для руководителей будет включать в себя другие темы, например, как обращаться с заявлениями в СМИ/прессе после нарушения безопасности, основы оценки и управления рисками, меры предосторожности и политики в отношении сотрудников, покидающих компанию (добровольно или нет)., юридические вопросы, связанные с информационной безопасностью, и подобные темы.

Просмотрите часть 2 этой серии и убедитесь, что цели обучения и планы уроков соответствуют обсуждаемым там моделям.

Оценка инструкторов

Даже при наличии превосходной учебной программы реальный эффект от любой программы обучения под руководством инструктора будет зависеть, по крайней мере частично, от квалификации и способностей инструкторов, преподающих материал. При оценке инструкторов помните, что учетные данные на бумаге — это только отправная точка. Задайте такие вопросы, как:

  • Каков опыт инструктора (кроме преподавания) в области информационной безопасности? Опыт в этой области дает ценную перспективу и способствует более глубокому пониманию проблем и решений.
  • Каковы педагогические полномочия инструктора? Сам по себе полевой опыт не гарантирует, что человек сможет эффективно учить других. Сколько классов провел инструктор или сколько лет он преподает? Какую формальную подготовку по обучению в классе и теории обучения взрослых он/она имеет?
  • Какие методики обучения использует преподаватель? Только лекция/слайд-шоу или преподаватель вовлекает студентов в обсуждение, лабораторные работы и практические занятия?
  • Увлечен ли преподаватель этой темой? Обладает ли преподаватель навыками работы с людьми, которые облегчают взаимодействие со студентами?

Резюме

Привлечение обучающей компании для проведения инструктажа по вопросам безопасности может быть хорошим бизнес-решением — или нет. Результаты зависят от выполнения вашей домашней работы и тщательной оценки потенциальных компаний, их программ и учебных планов, а также преподавателей, которые на них работают. В Части 4, заключительной части этой серии, мы обсудим, как провести оценку после курса, чтобы правильно оценить эти результаты.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023