Обучение и информирование сотрудников организаций должно иметь не формально-галочный характер, как это принято проводить. Должна достигаться поставленная цель.
Для проверки эффективности обучения сотрудников и с целью пробуждения дремлющей бдительности необходимо проводить подконтрольные (проверочные) атаки, возможно с привлечением компаний, специализирующихся в этом направлении.
Во многих компаниях с иностранными владельцами уже давно проводятся тренинги по повышению осведомленности персонала к атакам с использованием социальной инженерии, однако довольно часто это делают очень странные специалисты.
При выборе компании для проведения тренингов по информационной безопасности нужно понимать, что приглашаемые специалисты должны быть осведомлены о новейших методах кибершпионажа, современных инструментах и направлениях киберпреступности.
Лучшим выбором будут организации, проводящие компьютерно-технические экспертизы для правоохранительных органов и активно занимающиеся расследованиями инцидентов информационной безопасности для физических и юридических лиц.
В этом случае специалисты такой организации смогут смоделировать и провести атаку, отвечающую современным тенденциям, разработать и реализовать план комбинированной атаки по всем законам жанра.
Эффективность такого подхода, по сравнению с методами, ограничивающимися рассылкой и зачитыванием сотрудникам инструкций, не требует обсуждения.
Проведение тестовых нападений, помимо тренинга всего персонала, сможет выявить несовершенства используемых систем информационной защиты, проверить грамотность действий сотрудников безопасности.
Для проведения тестовых атак существует довольно много инструментов, доступных для реализации специалистами, например инструменты, содержащиеся в дистрибутиве Kali Linux, однако разработки инструментария и сценариев атак должны быть индивидуальны для различных сетей и предприятий с учетом массы специфических параметров.
Проведение контролируемых атак — это единственный действенный способ снизить риски, связанные с хищением информации и денежных средств при использовании вредоносного программного обеспечения и неправомерного доступа к компьютерной информации.
Использование методов обучения в форме учений, приближенных к реальности, имеет сразу несколько положительных сторон.
В результате проведенных тестовых атак специалисты могут разработать планы модернизации систем защиты и регламентов, а руководство может поощрить наиболее внимательных и бдительных сотрудников.
Важным моментом при проведении тестовых атак и обучений является участие в них руководителей всех уровней, чего на практике часто не происходит. Все мероприятия проводятся лишь среди сотрудников.