Обучение по вопросам безопасности в Интернете
Обучение по вопросам безопасности в Интернете (ISAT) — это обучение, которое проводится для членов организации в отношении защиты различных информационных активов этой организации. ISAT — это часть общей подготовки по вопросам безопасности (SAT).
Такое обучение обычно рекомендуется проводить даже малым и средним предприятиям , но организации, которые должны соблюдать правительственные постановления (например, Закон Грэмма-Лича-Блайли , Стандарт безопасности данных индустрии платежных карт , Закон о переносимости и подотчетности медицинского страхования , Sarbox ) обычно требуется формальная ISAT ежегодно для всех сотрудников. [1] Часто такое обучение проводится в форме онлайн-курсов.
ISAT, также называемый Security Education, Training and Awareness (SETA), организации обучают и повышают осведомленность об управлении информационной безопасностью в своей среде. [2] Организациям выгодно, когда сотрудники хорошо обучены и чувствуют себя способными предпринимать важные действия для защиты себя и данных организации. [2] Цель программы SETA должна основываться на ролях пользователей в организациях, а для должностей, которые подвергают организации повышенному уровню риска, должны быть необходимы специализированные курсы. [2]
Существуют общие темы для обучения, но каждой организации необходимо иметь стратегию охвата, основанную на ее потребностях, поскольку это обеспечит практическую направленность обучения и охватит важные темы, имеющие отношение к организации. Поскольку ландшафт угроз меняется очень часто, организациям следует постоянно пересматривать свои учебные программы, чтобы обеспечить соответствие текущим тенденциям. [3]
Осведомленность о безопасности в Интернете означает, что вы понимаете, что есть люди, активно пытающиеся украсть данные, хранящиеся на компьютерах вашей организации. (Часто это касается имен пользователей и паролей, чтобы преступные элементы могли в конечном итоге получить доступ к банковским счетам и другим ценным ИТ-активам.) Вот почему важно защитить активы организации и не допустить этого. [5]
Общий охват должен включать такие темы, как безопасность паролей, фишинг электронной почты, социальная инженерия, безопасность мобильных устройств, безопасность конфиденциальных данных и деловые коммуникации. Напротив, те, кому требуются специальные знания, обычно должны пройти технические и углубленные учебные курсы. [2] Предположим, организация решает, что лучше всего использовать один из доступных на рынке инструментов обучения, она должна убедиться, что ставит цели, которым может соответствовать обучение, включая подтверждение того, что обучение предоставит сотрудникам знания для понимания рисков и поведение, необходимое для управления ими, действия, которые необходимо предпринять для предотвращения или обнаружения инцидентов безопасности, использование языка, легко понятного стажерам, и обеспечение разумной цены. [6]
.jpg/440px-Figure_3-_GAO's_Framework_of_Key_Elements_To_Incorporate_at_Each_Phase_of_DOD's_Insider-Threat_Programs_(19259572132).jpg)
.jpg){kind=link}