Igas ettevõttes tuleks vähemalt kord aastas teha infoturbe koolitus

 

Vähemalt kord aastas peaks iga ettevõte infoturbe koolitusel värskendama töötajate teadmisi küberohtudest ja nende vältimisest. Uute töötajate kiireks kaasamiseks tööprotsessi peaks infoturve olema ka uue töötaja koolituse osa, kirjutab infoturbe juht Janar Randväli.

 

Infoturbe koolitusi on vaja selleks, et kõik töötajad oleksid ettevõttesisestest protsessidest teadlikud ning turvaintsidendi korral ei öeldaks, et „mulle pole küll sellest räägitud“. Regulaarselt tuleb koolitada nii olemasolevaid töötajaid kui ka uusi kolleege, et nad saaksid võimalikult kiiresti ja valutult teada, mida turvariskide maandamiseks ette võtta ning kuidas intsidentide korral käituda. Lähtuda tuleks sellest, et mida teadlikum on arvutikasutaja, seda raskem on teda rünnata ning ära kasutada andmete õngitsemiseks. IT-turvalisust ei ole võimalik tagada üksnes tehniliste vahenditega, vaid see on hästi korraldatud kooslus inimestest, tööprotsessidest ja tehnoloogiast. Kõige nõrgemaks lüliks selles ketis peetakse inimest, sest ligikaudu 90% küberintsidentidest saab alguse inimese süül või hooletusest.

 

Töötajate turvateadlikkuse hindamine enne koolitust

Ideaalis võiks infoturbe koolitusele eelneda töötajate turvateadlikkuse hindamine, mis hõlmab kaht osa. Esiteks simuleeritud õngitsusrünnak (phishing), kus kuni kuuajalise perioodi jooksul saadetakse kõigile töötajatele 2–3 libakirja. Nende sisu ja eesmärk erinev: näiteks esimene meelitab inimest tundmatut linki klikkima, teine võltskeskkonda sisse logima (credential harvesting) ning kolmas kirjale lisatud faili avama. Lisaks linkide avamisele või andmete sisestamisele näitab simuleeritud õngitsusrünnak ka seda, kui palju töötajaid teatab juhtunust hiljem IT-osakonnale nagu turvaintsidentide käsitlemise protsess võiks ette näha.

 

Teise osana viiakse läbi töötajate turvateadlikkuse uuring, mis koosneb baastasemel küsimustest üldise turvateadlikkuse, küberhügieeni, interneti, sotsiaalmeedia ja nutiseadmete kasutamise ning ettevõtte turvaalaste protsesside kohta. Kahest osast koosnev hindamine annab tervikpildi töötajate turvateadlikkusest, kus küsitlusega saadud inimese enda hinnanguid kontrollitakse simuleeritud ründe käigus reaalse testiga. See on heaks sisendiks infoturbekoolituse planeerimisel, sest nii joonistuvad välja peamised haavatavused.

 

Samas on võimalik isegi ilma turvateadlikkuse hindamiseta kokku panna infoturbe koolitus, kus põhiteemadeks on tavaliselt:

  • Kuidas infoturve on ettevõttes üles ehitatud?
  • Kuidas on korraldatud IT ja IT-tugi (kust saab mure korral abi)?
  • Mida turvaintsidendi korral ette võtta ning milliste kanalite kaudu ja mil viisil sellest teatada?
  • Millised on täna peamised ründevektorid ja küberriskid?
  • Millist infot ettevõte töötleb ja kuidas seda kaitsta?
  • Mis põhimõtteid tuleks järgida sotsiaalmeedias?
  • Kuidas kaitsta oma kontosid ja käituda küberruumis turvaliselt?

 

2-3 tundi on infoturbe koolituseks piisav

Sõltuvalt ettevõtte spetsiifikast võib teemasid olla rohkem või vähem, näiteks võib kõne alla võtta isikuandmete kaitse või viimase aasta turvaintsidentide näited koos järeldustega, kuidas taolisi juhtumeid edaspidi vältida. Üldiselt piisab 2-3 tunnist, et infoturbealased põhiteemad ära katta. Samas tuleks infoturbe koolitusi teha vähemalt kord aastas, kriitilise infoga töötavates ettevõtetes isegi sagedamini. Põhjus on selles, et ründevektorid muutuvad aja jooksul ning küberkuritegevuse uutest trendidest lähtuvalt ilmnevad sageli ka uued riskid. Seetõttu peaks iga-aastased infoturbekoolitused olema omamoodi rutiin nagu tuleohutuskoolitused.

 

Eraldi peaks aga mõtlema uute töötajate kiirele kurssiviimisele infoturbe rutiinidest. Küberohtude spetsiifikast lähtudes peaks see toimuma esimeste töönädalate jooksul, sest ligi aasta järgmise infoturbe koolituseni oodata on kindlasti liiga kaua. Seetõttu peaks infoturbe blokk olema näiteks uue töötaja koolituse osa, et uutele kolleegidele võimalikult kiiresti ära rääkida infoturbe põhimõtted ja reeglid ning ka see, mis juhtub siis, kui neist kinni ei peeta.

 

Klassikoolitus vs veebikoolitus

Mil viisil infoturbe koolitusi teha? Kõige tõhusam on siiski tavaline n-ö klassikoolitus, kus on lihtsam panna osalejaid kaasa töötama. Veebikoolituse puhul puudub enamasti kontroll, kas inimene ka sisuliselt infoga tutvub või avab ta lihtsalt materjalid ja paneb video taustale mängima.

 

Kui ettevõttes on olemas infoturbealane kompetents, võib koolitusprogrammi ise kokku panna ja koolituse läbi viia. Alternatiivina on võimalik tellida koolitaja kontorisse või saata töötajad majavälisele infoturbe koolitusele. Väline spetsialist esitab kindlasti koolituse ettevalmistamisel küsimusi infoturbe ja IT-toe korralduse kohta ettevõttes, et end nende protsessidega kurssi viia. Võimalik on jagada koolituse läbiviimine ka mitme inimese vahel – kui väline koolitaja räägib infoturbealastest ohtudest ja nende vältimisest, siis ettevõtte enda esindaja näiteks konkreetsetest tegevusjuhistest turvaintsidentide korral.

 

Kui soovid lisainfot infoturbe koolituste kohta, siis kirjuta meile: [email protected]

Loe lisaks:

Mida teha lunavararünde korral?
Aasta 2022 infoturbes: trendid ja väljakutsed