19 Обучение и тренировки

Необходимо четко усвоить, что ИБ не является конечным набором конкретных мер, приняв которые администратор может ощутить себя в полной безопасности и более не уделять внимания этому вопросу на протяжении следующих 3–5 лет.

Безопасность — это непрерывный процесс. ИТ, в принципе, являются очень бурно развивающейся отраслью, и необходимо постоянно следить за происходящими в ней изменениями. Для этого вовсе не обязательно еженедельно прочитывать по огромному талмуду, посвященному какому-либо аспекту ИБ. Для начала подпишитесь на новостные рассылки специализированных ресурсов, например SecurityLab, Dark Reading и Security Week.

Также будет хорошей идеей подписаться на новостную рассылку, организованную производителем ПО, используемого вашей организацией. Это поможет вам из первых рук узнавать про новые бреши в защите, патчи и обновления. И если новости с агрегаторов можно читать пару раз в неделю, то информации из узких специализированных источников, коими и являются сообщения от производителей ПО, необходимо уделять первостепенное внимание. Очень часто бывает так, что информация об уязвимостях приходит к разработчикам с опозданием даже не в несколько дней, а в несколько месяцев, и кто знает, быть может, злоумышленник уже воспользовался этим и провел атаку на вашу сеть?

Следующее, чему стоит уделить внимание, — образование. Даже если вы окончили университет с соответствующей специализацией, смиритесь с тем, что полученные за несколько лет знания устарели уже на момент получения вами диплома.

Организации обычно оплачивают своим сотрудникам специализированные курсы. Однако, как мы уже писали, знания устаревают. Поэтому один и тот же курс можно и нужно проходить раз в 3–5 лет. Сразу оговоримся, что приведенная цифра является среднестатистической. Некоторые курсы, например привязанные к определенной версии ПО, вообще не требуют переаттестации.

Также мы рекомендуем не забывать и о специализированных форумах. На самом деле одним из лучших способов самообразования является обучение других людей.

236    Глава 19  •  Обучение и тренировки

Помогая своим коллегам, вы столкнетесь с нетривиальными и интересными задачами, для решения которых вам может потребоваться ознакомление с большим количеством информации, что сразу же повысит ваш профессиональный уровень. Не бойтесь браться за то, чего не знаете, ведь только так можно расширить границы познанного.

Не стоит оставлять без внимания и различные онлайн-курсы. Мы хотим обратить ваше внимание именно на веб-сайты, предоставляющие бесплатный доступ к различным образовательным программам, такие как edX и Coursera. Безусловно, они не смогут заменить полноценное образование, однако такие курсы обычно составляются преподавателями из очень хороших университетов и из них можно почерпнуть достаточно интересную информацию и свежие идеи.

Тренировки

Как мы уже сказали, учить других всегда интересно, весело и полезно для саморазвития. На курсах автовождения людей тренируют оказывать первую помощь, в крупных организациях минимум раз в год включают пожарную сигнализацию и учат людей эвакуироваться. Так почему бы и ИТ-специалистам не устраивать тренинги для коллег из своего департамента и сотрудников организации?

Итак, проникнувшись идеей всеобщего образования, рассмотрим несколько вариантов обучения.

Начнем с ИТ-специалистов. Они — люди подкованные и на них не страшно набивать руку. Даже если что-то пойдет не так, им всегда все проще объяснить и договориться.

Для начала получите одобрение вашего руководства, а затем уже начинайте учения. На наш взгляд, лучше всего, если о предстоящих тестах никто не будет ничего знать, кроме вас и начальства. Используя методологию и приведенные в данной книге примеры, попробуйте провести тест на проникновение. Это поможет вам выявить слабые места в защите вашей инфраструктуры, а также определить, насколько быстро ваши коллеги заметят попытку проникновения, как они на нее отреагируют, каким образом будет проведено расследование инцидента и какие меры будут приняты для предотвращения подобных случаев в будущем.

Сразу же хотим сказать, что в случае успешного проникновения, неправильных действий сотрудников организации и полного игнорирования ситуации будет неверно устраивать публичное обсуждение и наказание виновных. Это может привести к тому, что с вами, как со специалистом по ИБ, просто перестанут сотрудничать. Мы не хотим сказать, что надо умалчивать о проблемах. Нет, о них надо говорить и совместно искать методы решения, однако не стоит переходить на личности, а тем более применять санкции. Было бы логичнее отправить таких сотрудников на курсы повышения квалификации. Это касается как ИТ-специалистов, так и рядовых сотрудников.

Тренировки    237

Хотим отдельно выделить социальную инженерию. Про нее уже написано множество книг, родители с детства учат детей не доверять чужим дядям и тетям, однако количество связанных с ней инцидентов не уменьшается.

Проводить учения по противостоянию таким атакам можно со всеми сотрудниками. Например, разошлите письмо, в котором будет сказано, что срок действия учетной записи истекает и для его продления необходимо перейти по указанной ниже ссылке.

Естественно, что ссылка приведет на созданную вами же страничку. Чтобы стало интереснее, поставьте на эту страницу недействительный SSL-сертификат, а затем собирайте статистику о том, сколько пользователей проигнорировало предупреждения браузера. Результаты превзойдут все ваши ожидания, уверяем вас!

Социальная инженерия — область творческая, тут все ограничивается только лишь вашей фантазией. Придумывайте различные сценарии и отрабатывайте их на коллегах. Смелее, вам за это ничего не будет!

И третий пункт — это обучение. Причем если ИТ-специалистов можно попросту отправить на курсы, то остальных коллег лучше обучить самому. Придумайте мультимедийный курс и выделите один день в месяц, когда вы или кто-то из сотрудников отдела ИБ будет собирать всех новых коллег вместе и рассказывать им про основные ИС вашего предприятия, правила работы с ними и, разумеется, про основы ИБ. Не забудьте рассказать о безопасных паролях, фишинге и социальной инженерии. Объясняйте сложные вещи простым языком, не забывайте про юмор и истории из реальной жизни, представьте, что вы делаете презентацию не для взрослых, а для детей. Поверьте, лучше проводить такие курсы лично, ибо вопросов возникает много, а людям приятно, что с ними работает такой высококлассный специалист, как вы.

Естественно, вы не сможете работать абсолютно со всеми сотрудниками. Однодневные курсы для новичков — это скорее исключение, нежели практика. Однако для поддержания информированности сотрудников вы можете организовать внутреннюю рассылку или сделать соответствующий раздел в интранете. Так вы сможете постоянно информировать коллег о новых угрозах и способах избежать их.