Обучение персонала - один из способов повышения эффективности деятельности компании, который уже давно стал для нас привычным, и нет необходимости говорить о плюсах, которые получает компания за счет повышения квалификации своих сотрудников. Каждый день проходят различные профильные семинары, курсы, тренинги для бухгалтеров, программистов, менеджеров по продажам и т.д. Подобные мероприятия дают специализированные знания сотрудникам, чтобы они могли лучше выполнять свои профессиональные обязанности.
Также как и профильные курсы для сотрудников, курсы по обеспечению информационной безопасности для обычных пользователей имеют своей целью повысить эффективность функционирования компании. Однако такие курсы имеют свою специфику. В данной статье мы рассмотрим, зачем нужны подобные курсы и какая форма организации обучения наиболее эффективна.
Ответим сначала на первый вопрос – зачем. По статистике больше половины потерь, которые несут компании из-за инцидентов в области информационной безопасности, вызваны действиями персонала. И в основном они происходят не из-за злого умысла, а просто из-за низкого уровня осведомленности пользователей. Таким образом, обучая своих сотрудников основным правилам в области информационной безопасности, компания может значительно снизить риск нарушения информационной безопасности. Не даром, обучение персонала – одно из основных требований международного стандарта управления информационной безопасностью ISO/IEC 27001.
Теперь перейдем ко второму вопросу – выбор наиболее эффективной формы обучения. И сразу мы сталкиваемся с большим количеством вопросов, которые на первый взгляд могут стать серьезной проблемой. Во-первых, мы не можем отправить одновременно на курсы или тренинги всех своих сотрудников – это не десять, не сто, часто даже не тысяча человек, и обучение потребует действительно очень больших финансовых вложений. Не надо также забывать о том, что во время обучения сотрудник отрывается от своих основных обязанностей, что также наносит компании немалый ущерб. Следующий вопрос делает картину еще хуже. Пользователям мало просто один раз рассказать о правилах, которые необходимо выполнять для защиты информационных ресурсов компании. Обучение должно быть регулярным, что практически нереально, учитывая написанное выше. Деятельность компании просто остановится. И последняя основная проблема – отсутствие мотивации. Ведь когда мы говорим, например, о бухгалтере, который принесет пользу компании, повысив свою квалификацию, он одновременно повышает ценность своего труда, что означает повышение зарплаты, большую востребованность на рынке. В рассматриваемом же нами случае пользователи мало того, что не заинтересованы в обучении, они в основном относятся к нему негативно, т.к. рассматриваемые на курсах вопросы им непонятны, они усложняют их обычную работу и т.д. При таком отношении очень сложно достичь хороших результатов по повышению уровня защищенности информационных активов компании. Даже если действовать методом кнута, трудно проконтролировать уровень знаний пользователей на курсах, администрация и преподаватели которых лично не заинтересованы в уровне квалификации обучаемых и зачастую выдают сертификаты просто по факту прохождения обучающимся очередного курса или семинара.
Итак, если сравнить положительные и отрицательные стороны обучения сотрудников в области информационной безопасности, мало кто будет спорить, что минусов значительно больше. Надо понимать, что в данном случае мы говорим только о внешних курсах, тренингах и семинарах. Внутренний очный инструктаж, который необходимо проводить с сотрудником, как минимум, при приеме на работу, никто не отменял. Но инструктаж и какие-то разовые мероприятия – одно, а организованное регулярное обучение – совсем другое. Остается опустить руки и смириться со всеми инцидентами, происходящими из-за незнания сотрудниками основных правил в области информационной безопасности – будь то пролитый на клавиатуру кофе, несохраненный файл, записанный на листке пароль, приклеенный потом на монитор и т.д.? Во многом - да, если рассматривать только традиционные виды обучения. Хотя тот вид повышения квалификации персонала, о котором пойдет речь дальше, тоже уже нельзя назвать чем-то новым и необычным. Всё больше компаний в последние несколько лет используют E-learning как наиболее оптимальный вариант обучения своих сотрудников. Причем, сразу надо оговориться, что речь идет не о дистанционном обучении через Интернет в различных учебных центрах, когда мотивация сотрудника должна быть еще выше, чем при очных курсах и семинарах, и при котором достичь необходимого уровня контроля над результатами труднее, чем на обычных курсах. Когда стоит задача обучить большое количество сотрудников без отрыва от работы при отсутствии мотивации у обучаемых, наладить эффективную систему контроля, сделать процесс регулярным, и при этом не понести значительных финансовых потерь, как в нашем случае, тут может помочь только внедрение корпоративной E-learning системы. Давайте разберемся, почему и действительно ли это так.
Для начала определим, что собой представляет корпоративная E-learning система. В первую очередь – это курсы и тесты, доступные любому количеству пользователей в любое удобное время. А дальше начинается самое интересное. Если просто перечислить все возможности, получится примерно следующее: простое управление графиком обучения, формирование любых групп обучающихся с назначением соответствующих курсов, тестов и сроков обучения, доступные в любое время отчеты по процессу обучения как каждого сотрудника, отдельных регионов, филиалов, отделов так и в целом всех сотрудников компании, т.е. появляется возможность, по сути, получать метрики эффективности системы обучения для представления руководству. Кроме того, корпоративная E-learning система – это эффективная система контроля знаний с напоминаниями и уведомлениями, возможностью добавления любых курсов и тестов, внутренняя система общения обучающихся с кураторами, причем, куратором может быть как сотрудник отдела информационной безопасности, так и специалист отдела кадров. Никаких специальных знаний, чтобы курировать процесс обучения сотрудников, не требуется. Благодаря всем этим возможностям легко достичь того, чего не дают обычные курсы – одновременное обучение большого количества сотрудников с небольшими затратами, причем если взять стоимость обучения одного сотрудника, то мы видим, что затраты получаются действительно минимальными. То же самое в отношении организации регулярных тренингов – практически без дополнительных вложений с любой регулярностью (обычно проводить обучение персонала рекомендуется дважды в год или раз в квартал) можно проводить очередной теоретический курс или практический тренинг с тестированием. При этом сотрудники знают финальную дату окончания каждого курса и сами могут планировать время обучения и прохождения тестирования, что позволяет свести к минимуму отвлечение от профессиональных обязанностей, которые все-таки всегда первичны.
Таким образом, мы видим, что практически все вопросы, поставленные в начале статьи, решены. Кроме одного – мотивации. Частично это проблема решается эффективной системой контроля – даже если сотрудник обучаться не хочет, ему приходится учиться, чтобы успешно сдавать тесты. Но, безусловно, наилучшие результаты достигаются, когда человеку действительно интересно учиться. А этого очень трудно достичь, когда необходимо донести до сотрудника сухие правила в области информационной безопасности, которые к тому же мешают ему в работе. Вопрос мотивации решается в каждом случае по-разному. Это может быть и премия за лучшие результаты по итогам тестирования, и нефинансовое премирование. Все зависит от системы поощрений, принятой в конкретной компании.
Кроме различных видов мотивации, для повышения уровня осведомленности пользователей есть решение, которое является эффективным дополнением корпоративной E-learning системы. Речь идет о различных играх, мультфильмах и, в первую очередь, скринсейверах. В первую очередь – потому что они не требуют какого-то выделенного времени, а также периодически повторяются, что хорошо способствует запоминанию простых и важных правил в области информационной безопасности. Причем правила, которые мы хотим донести до пользователей, не должны подаваться в виде текста. Самое главное – скринсейверы должны быть, во-первых, легкими для восприятия и, во-вторых, приятными, смешными, интересными и понятными. Это позволяет достичь основной цели – поменять отношение пользователей. Из чего-то незнакомого, мешающего в работе, сделать информационную безопасность чем-то привычным, понятным и, самое главное, нужным.
Подводя итог, хочется сказать о следующем. На Западе компании уже давно оценили преимущества E-learning систем и различных электронных способов обучения. Причем игровые и развлекательные элементы обучения занимают совсем не последнее место. При этом, понимая, что самое эффективное – комплексный подход, для компаний создаются специальные программы повышения осведомленности пользователей в области информационной безопасности (Information Security Awareness Programs), включающие в себя как набор различных универсальных решений, так и разрабатываемых с учетом специфики конкретной компании. Не так давно подобные услуги и решения стали появляться и в России.
Не вызывает сомнений тот факт, что обучение сотрудников повышает эффективность работы всей компании, так как снижает вероятность нарушения информационной безопасности. Но компании всегда важно, чтобы обучение проводилось с максимальной отдачей и при этом с минимальными вложениями. Компании требуется, чтобы сотрудники были обучены, умели применять знания на практике, умели грамотно работать с информационной системой. Кроме этого, руководство компании не хочет надолго отрывать сотрудников от выполнения прямых обязанностей. Учитывая перечисленные потребности, одним из наиболее эффективных средств для обучения сотрудников в области информационной безопасности является именно корпоративная дистанционная система обучения, которая позволяет не только снизить затраты на обучение, но и проводить обучение без отрыва от производства и контролировать результаты обучения.
наверх
