Анализ мер, которые уже принимались в компании, показал, что информирование проводилось по обоим направлениям. Однако вишинг разбирали намного подробнее: сотрудникам рассказывали про атаки, описывали реалистичные сценарии, предлагали конкретные меры противодействия и регулярно проверяли их соблюдение.

А часть программы, посвященная фишингу, состояла из ежегодного просмотра нескольких видеороликов. Я мог бы попытаться продать клиенту новые программы по защите от вишинга и фишинга, но ему это было просто не нужно. Поэтому мы сосредоточились на доработке части программы, посвященной фишингу. Я призвал клиента ничего не менять в отношении вишинга. Короче говоря, я помог ему понять, какие доработки необходимы, ориентируясь на результаты, полученные в процессе выполнения предыдущих трех шагов.

Одинаковых клиентов не бывает, каждый заказ уникален. Поэтому создание действительно готовых к реализации программ занимает определенное время. Этот процесс нельзя свести к использованию заготовок и созданных заранее модулей.

Разрабатывая программу повышения осведомленности, отвечающую конкретным потребностям конкретного клиента, вы помогаете сотрудникам его компании понять, что не нужно и что нужно делать, если ситуация будет развиваться по нежелательному сценарию. Вы помогаете разобраться в новой политике безопасности, а затем придерживаться ее.

А вот еще один пример из моей работы с Джошем. Когда он советовал мне снижать потребление определенного вида пищи или чаще заниматься определенными активностями, я был готов следовать его рекомендациям, даже если они мне не нравились. Почему?

• Я видел позитивный эффект — изменения, происходившие со мной под его руководством.

• Джош подробно и понятно объяснял, что и зачем мне нужно делать.

• Он давал мне реалистичные советы по преодолению возникающих трудностей.

• Когда я терпел неудачу (а это случалось нередко), Джош не называл меня лузером (а я таковым себя чувствовал). Он действовал ровно наоборот: относился ко мне как к человеку, которому нужна помощь и который стремится найти способ в следующий раз не наступить на прежние грабли.

Его программа помогла мне не только улучшить состояние здоровья, но и сделать важные выводы по поводу того, как внедрять в компаниях новые требования безопасности. Не думайте, что если вы все поняли, то ваши знания автоматически передадутся всем сотрудникам. Им может потребоваться больше времени, чтобы разобраться.

Соединяем все вместе

Вспомните те далекие времена, когда в смартфоны еще не встраивали всевозможные дополнительные функции, в том числе карту всего мира с GPS-навигацией. Припоминаете? Я — да.

Когда-то я даже пользовался бумажными картами. И делал это по принципу выполнения все тех же четырех шагов.

Шаг 1 (научиться выявлять атаки) — найти свое место на карте. После этого я искал самый короткий маршрут, который не предполагал проезда по платным или небольшим дорогам, но в то же время приближал меня к пункту назначения.

Шаг 2 (разработка реализуемых и реалистичных правил) — проложить маршрут таким образом, чтобы захватить максимальное количество скоростных шоссе, на которых можно двигаться быстро.

Шаг 3 (проводить регулярные проверки) — я периодически уточнял, на какой именно нахожусь дороге, и сверялся с проложенным на карте маршрутом, чтобы ничего не перепутать.

Наконец, шаг 4 (программа информирования) объединял весь процесс использования карты: я вовремя добрался из пункта А в пункт Б, не попадая в неприятности, — одним словом, действовал в соответствии с собственным планом.

Карта помогала мне передвигаться по США в реальной жизни, так же как ПЛАН помогает ориентироваться в вопросах создания программ безопасности.

Обратите внимание: недостаточно было бы ограничиться только первым шагом или просто положить в машину карту и ждать магического перемещения в пункт назначения. Нет. Нужно сначала составить план, а потом воплотить его в жизнь.

Конечно же, я не могу пообещать каждому из вас волшебного превращения в супергероя Мистера Безопасность. Тем не менее выполняйте эти четыре шага, и вы сможете развить необходимые для отражения атак мускулы.

В оставшейся части главы мы разберем еще несколько важных аспектов, которые необходимо иметь в виду при разработке ПЛАНа.

Обновляйтесь

Предположим, вы успешно выполнили четыре шага. Можно ли с чистой совестью вешать на дверь бумажку с печатью и подписью: «Защищено от хакеров»?

Можно, конечно, если хотите повеселить мошенников, которые будут в эту дверь входить. Выполнение описанных выше шагов сделает вас не самой легкой мишенью и поможет подготовить сотрудников к возможным атакам. Это, безусловно, полезная практика. Но она не защитит вас от риска подвергнуться фишингу, вишингу, СМС-мошенничеству или имперсонации — и попасться на уловки злоумышленников. Что же делать?