Пограємо у гру?
Ні, сьогодні гратимемо не в “Монополію” або “Мафію”, а в настільну кабінетну гру, яка допоможе вашому бізнесу вистояти в кризу і процвітати навіть у разі війни чи страшної невідомої пандемії.
Обговорення за зачиненими дверима – по суті є форматними нарадами, у процесі яких гравці освоюють свої ролі та моделюють стратегії на випадок тієї чи іншої кризової дії зовнішніх сил чи події будь-якого характеру, що є потенційною загрозою стабільності підприємства.
Розробляються сценарії та чіткі покрокові протоколи для усунення загрози та для відпрацювання кожним гравцем призначеної ролі у позаштатній ситуації.
Свого роду штабні вчення. Війни або пожежі може і не трапитися, однак знаючи свою роль і відігравши кілька сценаріїв з імітації природного катаклізму або лиха техногенного характеру – ви отримаєте план безпосередньо зі свого комп’ютера – для готовності до будь-яких ситуацій та порятунку бізнесу та відображення атак.
Про хороші атаки в IT ми писали в нещодавньому випуску нашого блогу , сьогодні ж поговоримо про можливі погані і як захиститися в такому випадку.
Photo by geralt on Pixabay
Підписуйтесь на нас у Facebook, Telegram, Twitter чи Instagram, щоб бути у тренді!
Змодельована криза та її мета
Навчання персоналу компаній та менеджерів вищої ланки в галузі IT новим скілам і постійне профільне прокачування знань про кібер-ризики сьогодні звичайне явище.
Компанії, які невпинно стежать за розвитком загроз за замовчуванням, застосовують у своїй політиці захисту принципи зеро траст.
А компанії які на крок попереду – використовують ще й штабні навчання з моделювання можливих надзвичайних ситуацій та розробляють вичерпні сценарії, ґрунтуючись на досвіді інших та реальному відпрацьованому кейсі з кожного випадку. Основний елемент захисту це ПЗ та люди, які у вас працюють.
У моделях і сценаріях крім відпрацювання дій відбувається не теоретичне, а реальне виявлення поведінкових реакцій людей у конкретних ситуаціях, які не описані ні в підручниках ні в посібниках з криз-менеджменту.
Тому такі штучні войнушки або трилери в кабінеті найкращий інструмент, щоб зрозуміти, де прихована реальна загроза та як її усунути без шкоди для вашого бізнесу.
Всебічний огляд кібер-ризиків та авторський інструмент захисту на його основі – можна отримати тільки з досвіду та моделювання та ніяк інакше. Будь-яка навіть найчистіша стратегія та опрацювання в теорії – розвалиться, якщо ви не враховуватимете усього спектра технічних складових та “людський фактор”.
Найкраще ПЗ та захист може зламати співробітник, який ненадійно працює у разі тиску або недоступності технологій. Розгорнуті ситуації щодо моделей, про які поговоримо нижче, дають картину правильного реагування та адекватного відновлення вашої команди та окремих гравців.
Найголовніша мета таких навчань – це те, щоб люди вміли працювати без втрати якості у непередбачуваних ситуаціях.
Правила
Ви повинні бути впевнені, що всі гравці розуміють, що ці навчальні збори є конфіденційними.
Окрім технічних, вигадуйте й креативні незвичайні сценарії загроз. Це розвине ваш соціальний інтелект і внесе елемент розваги в такий серйозний комплекс заходів захисту.
У навчаннях обов’язково мають бути задіяні топ-менеджери. Вони затверджують остаточні сценарії, оцінюють ризики та приймають рішення. І відповідають за всі наслідки, ясна річ. За підсумками прийнятих рішень складається звіт власникам чи генеральному директору, президенту, раді директорів або зборам акціонерів – залежно від того, яка структура вашого підприємства.
Призначте з-поміж співробітників на роль фасилітатора того, кому група може довірити, образно кажучи, ключі від квартири або свої таємниці. Це може бути ваш Бос або працівник, з яким всі раді поспілкуватися, світлий, люблячий людей і смачно поїсти. Принцип призначення людини цієї ролі ви зрозуміли. Можливо, це чиясь мама.
Такий рольовий призначенець допоможе групі під час навчань досягти синергії та виступатиме за відкриту комунікацію, інклюзивність та справедливість незалежно від думок. Свого роду нейтральний гравець, якого неможливо втягнути у конфронтацію чи негативну воронку сценарію.
Важливо пам’ятати, що тест проходять не так технології, як люди та комунікативні канали.
Розробляйте кілька сценаріїв на кожну загрозу.
Гравці повинні ставитися до навчань як до реальної події та вжитися у роль максимально.
Група на кожен сценарій не повинна бути надмірно великою. Час проведення навчання не повинен перевищувати двох годин.
Простір має бути безпечним і знайомим кожному учаснику для мінімізації стресу при експериментах, оскільки невдачі це частина гри.
Принципи та створення моделей реагування
Необхідно прояснити, які існують реальні ризики, задокументувати їх у вигляді окремих капсул, щоб після розробки моделей-рішень така аптечка була під рукою. У цьому сегменті важливо розуміти, які реальні події можуть призвести до краху компанії, а не робити з мухи слона на основі незначних інцидентів, які відбуваються часто-густо. Потрібно вміти аналізувати, які критичні події на зразок злому системи, руйнівної пожежі, війни, ментальних проблем чи нездорових нестатутних відносин можуть зруйнувати бізнес. Прикладів у недавній історії та у ЗМІ чимало.
Навчання проводять працівники безпеки та пропонують свої ідеї щодо захисту. Юридичний, відділ сапорту, ейчари та люди, які працюють у логістичному відділі – все однаково важливі. І у них також будуть ролі. Тому що саме вони у разі сценарію, що реалізувався, будуть використовувати інструменти для комунікації з клієнтами та відновлення вашого бренду.
Деякі учасники можуть не розуміти, для чого потрібні такі ігри. Проте, всі повинні усвідомлювати, що це потрібно для тесту комплексної реакції на загрозу та тест поведінки членів команди не в мирний час, а в штучно створеній загрозливій для всіх фейк-атаки для глибокого розуміння, що потрібно покращити. У повсякденному житті такі навички мало ким напрацьовуються, а здобувати досвід у вихорі реальної трагедії без плану та без знання, хто насправді працює поряд з вами – провальний за всіма статтями. Розумні навчаються на досвіді інших.
Розробляйте моделі відновлення на основі того, що доведеться покладатися на малі ресурси. Виключіть надмірний вплив технологій та поміркуйте про запасні варіанти з життєзабезпечення бізнесу. У вас мають бути запасні джерела енергії та мануали для кожного співробітника, що йому робити у разі стихійного чи іншого лиха. Або у випадку, якщо будуть недоступні канали зв’язку, як наземного, так і електронного.
Збирайте аналітику та свіжі дані щодо атак у світі. Не розраховуйте, що взявши чужий сценарій після виходу з руйнівного DDoS-у ви автоматично захищені. Так, безсумнівно базові знання потрібні, ось у цій статті є начерки по основним поняттям як захиститися від такого роду подій. Разом з тим завдяки вашим штабним навчанням ви розробите свій індивідуальний максимально реалістичний сценарій і у разі лиха – швидко вийдете в робоче поле. У найближчих випусках ми вам розповімо, як захиститись від програм-вимагачів і як їх видалити зі своїх комп’ютерів, стежте за нашим блогом .
Навчання – це така своєрідна рольова гра, і вона може відрізнятися від того, що ваші співробітники роблять у своєму повсякденному робочому житті. Так як сценарії загроз вигадані, роль призначена, то гравець повинен вжитися в цю роль і виявити свіжий погляд на події та побачить прогалини.
Не відволікайтеся на порожню балаканину під час навчань, тому що при відхиленні від центрального завдання ви отримаєте низький ККД і втому присутніх. Концентруйтеся на кінцевому результаті.
Знайте, що виявлення слабких місць та несподівані реакції означають, що ваша модель та вчення вдалися – тому що підвищення безпеки в короткостроковій та довгостроковій перспективі, покращення комунікації та координації всередині команди – принесе стабільність бізнес-процесів.
Щоб ваш форум був комфортним та бездоганним, встановіть людям свободу в діях, тому що багато підлеглих відчувають скутість та незручність, коли їм доводиться висловлюватися перед керівниками. Зрештою, це ж вигадана бізнес-примочка у вигляді гри для виявлення тонкого льоду. Люди повинні почуватися природно і невимушено. Програш гравця в заданому сценарії – це теж є результатом, тому що “тільки виграш” не те, що потрібно режисерам.
Приклади сценаріїв
Фішингова атака. Розробіть інструкцію, як поводитися співробітнику при отриманні нестандартного або підозрілого листа. Зробіть модель з осередками за сценарієм, якщо гравець вступив у модель атаки і по кожному акту взаємодії розробіть мануал реакції. Тобто, якщо співробітник з першого кроку не зрозумів, що це фішинг і пройшов за посиланням, він повинен знати, що робити далі. Також якщо після першого кроку він зробив другий неправильний і таке інше. Сценарій має бути розписаний до кінця з варіативним результатом. На всілякий прохід гри має бути мануал, тому що навіть у моделі з нульовим результатом та розгортанням неконтрольованих наслідків, необхідно знати, що робити. При реалізації гри всі учасники пропонують рішення та призначені на роль жертви гравці розповідають, як би поводилися і що робили у разі невірних кроків. Підсумки обговорення оформляються в інструкцію у базу знань.
Атака на відділ логістики чи продажу. Змоделюйте атаку на відділ продажу. Наприклад, компанія придбала нове програмне забезпечення з розміщення аналітичних інструментів у хмарі у неперевіреного постачальника. Обслуговування та обслуговування ПЗ на певному етапі починає приносити одні проблеми та затримки. Кількість незадоволених клієнтів зростає, навантаження на саппорт збільшується, пов’язані відділи теж відчувають тиск ї напругу через простої. Гравці з рольовими завданнями повинні відіграти сценарій як взаємодіяти до позитивного вирішення ситуації без шкоди для бізнесу. І зворотний сценарій у разі погіршення прогнозу. Адміністратори мережі розробляють запасні майданчики для розгортання комплексів послуг або ланцюжків постачання. Враховуються тимчасові та матеріальні витрати та максимально оптимізуються. Гравці обговорюють всі можливі хороші варіанти, розглядають наявні ресурси та обмеження. Щоб зупинка вашого бізнесу не переросла в міжнародну трагедію, потрібно ясно знати, де саме події виходять з-під контролю вашої компанії.
Соціальна гра за участю фактор-ризику людини. Іноді люди божеволіють і це теж не повинно вплинути на вас. Розгорніть сценарій з людиною, яка влаштувала пожежу або завдала інших пошкоджень обладнання або розгромила лабораторію, наприклад. Або не одна людина, а група або навіть більше – завдала фізичних збитків вашому бізнесу на рівні обладнання, будівель та людей. Щоб уникнути такого роду форс-мажорних обставин, ви повинні бути впевнені у своїй службі охорони, у комплексі заходів із пожежної безпеки та у підготовці людей за структурою цивільної оборони. Вогнегасники та інше допоміжне обладнання, чергові на вахті, пропускний режим тощо – обов’язкова умова безпеки. Масштаб та комплектація залежить від розміру вашої компанії. Гравці проходять модель покроково, начебто інцидент стався. План евакуації, відеофіксація, оперативні канали зв’язку із правоохоронними органами, запасні місця дислокації тощо.
Нова пандемія. Нещодавня пандемія навчила багатьох бізнесменів адаптувати бізнес та команду до реалій невідомого ділового середовища. Однак не завадить розробити моделі та інструкції на випадок ще більш обмежуючої та небезпечної світової хвороби.
Розробіть стратегії на випадок, якщо ваш колектив буде функціонально укомплектований наполовину від потрібної кількості людей. Як правильно розподіляти навантаження, щоб ті, хто залишився, не вигоріли і так само любили свою роботу. Слухайте думки та пропозиції призначених гравців, які оптимальні рішення та виходи є вже сьогодні.
Це було кілька довільних прикладів ігор безпеки. Придумати та відчути, що саме актуально для вашого сегменту і які рішення підходять саме для вас – дізнайтесь у своїх співробітників та запитайте у себе.
Профілактика краща за лікування, це загальновідомо.
У нас ви отримаєте надійний і захищений хостинг, гарний домен та SSL-сертифікат для свого бізнесу.
