Как построить программу Security Awareness с нуля

Что такое программа Security Awareness и зачем она нужна

Программа Security Awareness (SA) — это системный, непрерывный процесс повышения осведомлённости сотрудников в области информационной безопасности. Не разовый тренинг, не рассылка памяток раз в год. Именно системность отличает работающую программу от набора мероприятий «для галочки».

По данным Verizon DBIR, более 80% успешных взломов включают человеческий фактор: фишинг, использование слабых паролей, случайная передача доступов. Технические средства защиты — SIEM, EDR, межсетевые экраны — не защищают от сотрудника, который кликает по фишинговой ссылке, не задумываясь. Именно здесь SA-программа закрывает брешь, которую не закрыть никаким железом.

Хорошо выстроенная программа решает три задачи одновременно: снижает количество успешных атак через персонал, формирует культуру ответственного отношения к данным и выполняет регуляторные требования — в частности, требования ФСТЭК по обучению пользователей в государственных информационных системах. Подробнее о российской регуляторике — в статье «ФСТЭК, ФСБ, Роскомнадзор: регуляторы ИБ в России».

Шаг 1. Аудит: с чего начинается любая программа

Самая частая ошибка — начать строить программу с выбора платформы или контента. Правильный первый шаг — понять, что происходит прямо сейчас: насколько уязвим персонал, какие инциденты уже случались, какие категории сотрудников представляют наибольший риск.

Оценка текущего уровня осведомлённости

Базовый инструмент — фишинговая симуляция «вслепую»: отправить сотрудникам тестовое фишинговое письмо без предупреждения и зафиксировать, сколько открыли, сколько перешли по ссылке, сколько ввели данные. Это даст честную стартовую точку. Дополнительно — короткое анкетирование по базовым сценариям («что вы сделаете, если получите письмо с просьбой срочно перевести деньги?»). Результаты анкеты покажут разрыв между тем, что люди думают о своём поведении, и тем, как ведут себя на самом деле.

Анализ реальных инцидентов компании

Если в компании ведётся журнал инцидентов — это золото для SA-программы. Посмотрите на инциденты за последние 12–24 месяца: сколько из них имели человеческий вектор? Какие отделы фигурируют чаще всего? Это позволит выстроить приоритеты обучения по реальным данным, а не по общим отраслевым статистикам.

Шаг 2. Определение целевой аудитории и рисков

Не все сотрудники одинаково рискованны — и не все нуждаются в одинаковом обучении. Программа работает лучше, когда она сегментирована. Выделите хотя бы три группы: массовый персонал (все сотрудники), группы повышенного риска (финансы, HR, юристы, топ-менеджмент — они чаще получают целевые атаки) и технический персонал (ИТ, разработчики — у них другие векторы риска и другой уровень базовой грамотности).

Для каждой группы определите топ-3 угрозы. Для бухгалтерии — это целевой фишинг с имитацией платёжных поручений и BEC-атаки (Business Email Compromise). Для HR — поддельные резюме с вредоносными вложениями. Для руководства — вишинг и deepfake-аудио с имитацией голоса коллег. Эти сценарии лягут в основу контента и симуляций. Подробнее о методах социальной инженерии — в статье «Социальная инженерия: что это и как защититься».

Шаг 3. Контент и форматы обучения

Форматы обучения — это не вопрос эстетики, а вопрос эффективности. Разные форматы решают разные задачи: одни дают знание, другие формируют навык, третьи поддерживают готовность к действию в долгосрочной перспективе.

E-learning, живые тренинги, микрообучение

E-learning-модули — основа масштабируемой программы. Позволяют охватить всю компанию с контролируемым качеством контента. Ключевое требование: модули должны быть короткими (5–10 минут), сценарными (не лекции, а ситуационные задачи) и завершаться проверкой понимания. Живые тренинги незаменимы для группового разбора кейсов и отработки навыков реагирования — особенно для групп повышенного риска. Микрообучение (короткие push-уведомления, карточки, email-дайджесты) поддерживает готовность между основными сессиями и не требует выделения времени сотрудника.

Симуляции фишинга и социальной инженерии

Симуляции — самый мощный инструмент SA-программы, потому что они проверяют реальное поведение, а не декларируемое. Минимальная частота — раз в квартал, для зрелых программ — ежемесячно. Сценарии должны усложняться: начинать с простых массовых шаблонов, постепенно переходить к целевым симуляциям, имитирующим реальные атаки на конкретную отрасль или роль. Сотрудник, «попавшийся» на симуляцию, должен сразу видеть обучающий экран с объяснением — это превращает ошибку в точку обучения, а не в источник стресса.

Шаг 4. Запуск и поддержка программы

Как встроить обучение в рабочий процесс

Программа, которую сотрудник воспринимает как «ещё одна обязаловка», работает плохо. Встраивайте обучение в естественный рабочий ритм: онбординг нового сотрудника, квартальные апдейты, реакция на реальные инциденты в отрасли (если произошла громкая атака — используйте момент для обсуждения). Обязательно получайте поддержку руководства: когда топ-менеджмент не только «разрешает» программу, но и сам проходит обучение и говорит о нём — это кратно повышает вовлечённость.

Определите роль ответственного за программу. В небольших компаниях это может быть совмещённая функция ИБ-специалиста. В крупных организациях появляется отдельная роль Security Awareness Manager — специалиста, который совмещает знание ИБ с навыками корпоративного обучения, коммуникаций и работы с данными. О формировании такой культуры читайте в статье «Киберкультура в компании».

Шаг 5. Метрики: как понять, что программа работает

Без измерений SA-программа превращается в статью расходов без понятной отдачи. Метрики нужны не для отчётности — они указывают, где программа работает, а где пробел остался незакрытым.

Поведенческие метрики — главные: click rate в фишинговых симуляциях (доля перешедших по ссылке), report rate (доля сотрудников, которые сообщили о подозрительном письме), credential submission rate (ввели данные). Эти три показателя в динамике квартал к кварталу — честная картина эффективности. Учебные метрики — охват (% прошедших обучение), результаты тестов, скорость прохождения. Операционные метрики — количество инцидентов с человеческим вектором по сравнению с базовым периодом.

Типичные ошибки при построении SA-программ

Разовость. Обучение раз в год — не программа. Компании с ежеквартальным циклом обучения фиксируют click rate в 4 раза ниже, чем те, кто проводит тренинги раз в год. Одинаковый контент для всех. Бухгалтер и разработчик сталкиваются с разными угрозами — общий модуль не решает ни одну задачу полностью. Отсутствие поддержки руководства. Программа, которую продвигает только ИБ-отдел, воспринимается как ещё одна техническая инициатива. Фокус на наказание, а не на обучение. Если сотрудников штрафуют за ошибки в симуляциях — они начинают скрывать реальные инциденты. Нет метрик и итерации. Программа без цикла улучшений деградирует: контент устаревает, вовлечённость падает.

Курсы по Security Awareness и социальной инженерии

«Security Awareness» — INSECA

Профессиональный курс для ИБ-специалистов и тех, кто выстраивает SA-программу в компании: от психологии обучения и создания контента до симуляций фишинга, Evil Twin, USB-атак и построения дорожной карты с метриками.

«Фишинг — тебе пишут мошенники»

SberCyberSecurity School — практический курс о том, как распознавать фишинговые письма, сообщения и звонки. Подходит для сотрудников любого уровня подготовки.

«Социальная инженерия»

Академия Айспринг — вводный курс по основным техникам социальной инженерии и методам защиты. Удобный формат для корпоративного обучения.

«Курс по противодействию социальной инженерии и мошенничеству»

Data Secure на Stepik — углублённый курс с практическими сценариями. Подойдёт ИБ-специалистам и тем, кто выстраивает SA-программу в компании.

Читайте также:

• Социальная инженерия: что это и как защититься
• Security Awareness: как обучить сотрудников и выбрать платформу
• Фишинг как основная угроза: как обучить сотрудников не попадаться