Формирование групп риска для повышения осведомленности и тренировки навыков ИБ у сотрудников

Директор в Антифишинг

• 14 лет опыта в ИТ, из них 7 лет опыта в безопасности. Отвечал за информационную безопасность в международной компании со штатом 7 000 сотрудников. 
• Ведущий аудитор ISO/IEC 27001 (ISM04001RURUU-000132098). Внедрял системы информационной безопасности и отвечал за их соответствие стандартам PCI DSS, ISO 27001, SOC2. 
• Сооснователь сервиса Антифишинг Автор статей и публикаций, соавтор регулярного дайджеста Антифишинга.
• Публичный профиль: www.linkedin.com/in/voldokhin

Психолог в Антифишинг

• MS in Psychology, НИУ ВШЭ. 
• Исследователь, соавтор классификации и модели психологического воздействия цифровых атак. 
• Соавтор методологии обучения и тренировки навыков по безопасности.

Группы риска — понятный и полезный способ категоризации сотрудников в интересах ИБ, однако на практике его мало кто использует. 

Возникает множество вопросов: по каким критериям формировать группы, как определять значимость того или иного фактора, где брать необходимую информацию о сотрудниках, как ее накапливать и в каком виде хранить. 

Обычно специалистам ИБ понятно, как распределять значимость между техническими уязвимостями, а руководителям — как определять значимость разных должностей, отделов и подразделений для бизнес-процессов.

А вот с социально-психологической стороны остается большой пласт полезной, но неиспользуемой информации, которая может служить интересам ИБ.  

• Что такое группы риска. 
• Какие виды групп риска существуют. Примеры. 
• Почему специалисту ИБ стоит формировать группы риска. Каким целям могут служить формируемые группы риска. 
• Какие критерии формирования групп риска существуют и какие следует использовать для ИБ. Как и по каким категориям делить сотрудников. 
• Значимость психологических, демографических и поведенческих данных. 
• Как определять собственные критерии и факторы формирования групп риска и приоритизировать их под задачи своей компании.  
• Как собирать информацию о сотрудниках для формирования групп риска. Систематизация и накопление необходимой информации. 
• Как распределять вес (значимость) между факторами формирования групп риска. Какие математические методы здесь могут пригодиться. 
• Специфика работы с сотрудниками из разных групп риска. 
• Как использовать группы риска для прогнозирования поведения сотрудников. 
• Как выбирать для разных групп риска оптимальные пути обучения и тренировки навыков по ИБ.