Метрики обучения по ИБ: 5 рабочих показателей и шаблон отчёта для руководителя

Если вы только пришли руководителем по ИБ (или ответственным за ИБ) в компанию, у вас почти всегда есть две параллельные задачи. Вам нужно снизить риск человеческого фактора и одновременно показать руководству понятный прогресс — без долгих внедрений, консультантов и бесконечных таблиц.

Особенно в первые месяцы, когда команда часто маленькая (иногда вы один или вас 1–2 человека), а от вас уже ждут ответа: «что мы измеряем и что делаем дальше».

Проблема не в том, что метрик много. Проблема в том, что метрики часто собирают ради отчёта, а не ради управленческих решений. В результате вы получаете цифры, которые не помогают ни вам, ни директору: «проценты где-то в LMS», «клики где-то в почте», «обучение где-то в HR».

Почему метрики нужны сразу: короткий контекст про фишинг

Согласно отраслевым исследованиям 2025 г. (Verizon DBIR, Positive Technologies), фишинг участвует в 36–45% первичных компрометаций, а человеческий фактор присутствует в ~74% успешных инцидентов

Типичные последствия фишинговых атак в компаниях любого размера:

• утечка конфиденциальных данных (клиентские базы, учётные записи);
• временное нарушение бизнес-процессов из-за блокировок или расследований;
• финансовые потери как прямой или косвенный эффект.

Важно: цифры зависят от методики и выборки; здесь они нужны как ориентир, почему «обучение + симуляции + метрики» стоит собирать в управляемый процесс.

В статье — рабочий минимум: какие метрики выбрать, как их считать, как быстро оформить короткий отчёт для директора и где проходит граница между «Excel ещё тянет» и «пора выбирать платформу».

Какие метрики нужны на старте: 3 уровня, чтобы не утонуть

В ИБ‑обучении есть три уровня метрик. Если вы пропускаете первый — у вас нет базы. Если пропускаете второй — вы не видите изменение поведения. Если пропускаете третий — руководству сложно связать обучение с риском.

Уровень 1. Охват и дисциплина (управляемое обучение)

Это метрики, которые отвечают на вопрос: «Процесс существует или это разовые активности?»

• Охват: кто из сотрудников действительно попал в программу.
• Прохождение: сколько людей завершили обязательный минимум.
• Просрочки: сколько людей «зависли» и требуют напоминаний или эскалации.

Эти метрики не доказывают снижение риска. Они доказывают, что у вас появился воспроизводимый процесс — и это уже важный шаг для нового ИБ‑руководителя.

Уровень 2. Поведение в симуляциях и тестах (изменение реальных действий)

Эти метрики отвечают на главный вопрос: «Стали ли сотрудники вести себя безопаснее?»

• Доля рискованных действий в фишинговых симуляциях (клики, ввод данных — если вы это используете в сценарии).
• Доля корректных действий: кто распознал атаку и сделал правильный шаг (например, сообщил в ИБ/ИТ или отметил письмо как подозрительное).
• Динамика по группам: где хуже всего (финансы/кадры/закупки/ИТ/руководители).

Здесь важно не «поймать людей», а найти группы риска и запустить корректирующие действия: микро‑обучение, короткие напоминания, дать сценарии «как правильно».

Уровень 3. Риск‑картина для руководства (метрики для топ-менеджеров)

Эти метрики отвечают на вопрос руководителя: «Что это меняет для бизнеса?»

• Группы риска: какие подразделения чаще совершают рискованные действия.
• Тренд: что улучшается, что стоит на месте, где ухудшение.
• План действий: какие 2–3 управленческих решения вы предлагаете (регламент, процесс, инструмент, роль).

На этом уровне вам не нужно обещать «нулевые клики». Вам нужно показать, что риск становится управляемым: есть измерение → есть реакция → есть повторная проверка.

«Фишинг‑индекс»: как считать и зачем он нужен

Во многих компаниях «фишинг‑индекс» используют как единую, агрегированную метрику для руководства. Это удобно, потому что директору сложно сравнивать «клики», «сообщения», «прохождения» в разных местах.

Самый практичный подход — договориться о внутреннем определении, которое вы сможете воспроизводить каждый месяц. Вариант «минимум без математики» выглядит так:

• Базовая метрика риска: доля сотрудников, совершивших рискованное действие в симуляции.
• Базовая метрика зрелости: доля сотрудников, совершивших корректное действие (сообщили/отметили/обратились в поддержку по регламенту).

Если вы хотите один индекс, можно собрать его как взвешенную оценку (пример подхода, который легко объяснить руководству):

• риск растёт, когда растёт доля рискованных действий;
• риск падает, когда растёт доля корректных сообщений и падают повторные «попадания».

Ключевое правило: индекс должен вести к действию. Если индекс «плохой», у вас должны быть заранее определённые шаги — что вы делаете на уровне контента, коммуникации и процесса.

Пример простого фишинг‑индекса, который можно считать каждый месяц

Главная цель индекса — не «идеальная математика», а воспроизводимость: один и тот же расчёт → один и тот же смысл → понятные действия.Выберите 3–4 события, которые вы реально можете стабильно собирать:

• Click rate = кликнувшие / получившие симуляцию
• Data entry rate (если используете формы) = ввели данные / получившие симуляцию
• Report rate = корректно сообщили / получившие симуляцию
• Repeat rate = повторно «попались» / все участники

Пример индекса (шкала условная, главное — тренд месяц к месяцу):

Фишинг‑индекс = 100 × (0.5×Click rate + 0.3×Data entry rate + 0.2×Repeat rate − 0.4×Report rate)

Если вы не собираете какие-то события (например, Data entry rate), просто уберите их из формулы и перераспределите веса. Весов «правильных для всех» не существует. Важно другое: зафиксировать формулу (и веса), чтобы сравнивать тренд месяц к месяцу и не спорить о числах на каждом отчёте.

Таблица метрик: что считать, где брать и что делать по результату

Ниже — компактная таблица. Её можно использовать как основу для ежемесячного отчёта и как «контракт» между ИБ и руководством: что именно вы измеряете и зачем.

Как собрать данные без "зоопарка" таблиц: минимальный контур

Если у вас маленькая команда (или вы один), вам нужен контур, который минимизирует ручную работу.

Рабочий минимум выглядит так:

• единый список сотрудников (с отделами и ролями);
• назначения (кто что должен пройти и до какого срока);
• события (что произошло: курс начат/завершён, симуляция пройдена, клик/сообщение);
• выгрузка отчёта (в формат, который понимает директор).

Эта же логика решает вашу «личную» задачу как ЛПР: вы перестаёте зависеть от «знания в головах» и начинаете управлять процессом как системой.

Как оформить отчёт для директора: структура на 1 страницу

Директору почти никогда не нужен «полный журнал обучения». Директору нужен ответ на 4 вопроса.

1) Что изменилось с прошлого периода

Один абзац: что стало лучше/хуже и почему это важно.

2) Где риск выше всего

2–3 группы (подразделения/роли) и короткое объяснение: «почему» и «что делаем».

3) Какие действия вы уже сделали

Список из 3–5 пунктов: кампании, обучение, регламенты, канал сообщений.

4) Что вы предлагаете руководству (одно решение)

Один управленческий запрос: например, закрепить регламент реакции на фишинг, назначить владельца процесса в HR, или выделить время на пилот инструмента.Такой отчёт одновременно защищает вас как ИБ‑руководителя: у вас есть след действий и понятная логика «измерили → исправили → проверили».

Пример отчёта по кибербезопасности для директора (шаблон на 1 страницу)

Этот шаблон можно копировать в Word/Google Docs и заполнять каждый месяц. Он устроен так, чтобы директор увидел 1) тренд 2) риск‑зоны 3) действия 4) один понятный запрос.

Период: ___ / Охват обучения: ___ / Фишинг‑индекс: ___ (Δ к прошлому месяцу: ___)

1. Что изменилось (3 строки)

• …

1. Где риск выше всего (топ‑3 группы)

• …

1. Что сделали за период (3–5 пунктов)

• …

1. Что нужно от руководства (1 решение)

• …

Примечание (необязательно): чем вы измеряли (симуляции/тесты/канал сообщений) и какие ограничения у данных.

Как измерять эффективность обучения по кибербезопасности

Если коротко: «эффективность» — это не средний балл теста и не факт прохождения. Это изменение действий в сценариях, похожих на реальные атаки.

Практическая логика измерения выглядит так:

• До: замерить базовый уровень (первая симуляция/тест) и зафиксировать группы риска.
• Действие: обучение + короткие напоминания + упрощение «правильного шага» (например, как сообщить о фишинге).
• После: повторный замер тем же способом и сравнение тренда (по группам, а не только «в среднем по компании»).

В отчёте руководству важно показывать не «мы обучили N людей», а «группа X стала делать безопаснее Y; у группы Z пока хуже — вот что делаем».

Как часто измерять метрики и какой горизонт считать улучшением

Чтобы у метрик был смысл, их нужно считать в одном ритме:

• ежемесячно: тренд по 3–5 ключевым метрикам (охват/прохождение + 1–2 поведенческих + фишинг‑индекс);
• после каждой кампании: разбор по группам риска и корректирующие действия;
• раз в квартал: короткий пересмотр программы (что убрать/что усилить/какие группы добавить).

Обычно вы увидите первые понятные сдвиги на горизонте 1–3 месяцев, если цикл «измерили → исправили → проверили» действительно запускается, а не остаётся в презентации без реальной работы.

Какие метрики не брать на старте (и почему)

Ниже — частые ошибки новых ИБ‑руководителей. Они дают цифры, но плохо помогают управлять риском:

• Средний балл теста без привязки к действиям: люди «выучили ответы», но всё ещё кликают.
• «Сколько писем отправили» / «сколько тренингов провели»: это активность, а не результат.
• Одна «средняя по больнице» цифра без групп: скрывает проблемные подразделения.
• «Нулевые клики» как KPI: стимулирует нечестные сценарии и демотивирует, а не снижает риск.

Если хочется оставить одну цифру для директора — оставьте её как индекс (см. «фишинг‑индекс») и обязательно рядом держите разрез по группам риска.

Если метрики «плохие»: что делать в первую очередь

Удобно думать в трёх разрезах. Идти лучше сверху вниз — от простого к сложному:

1. Контент: микро‑обучение после инцидента, короткие напоминания, разбор «как правильно».
2. Процесс: единый канал «сообщить о фишинге», дедлайны, напоминания, эскалация, понятные правила.
3. Инструмент: автоматизация назначений и отчётности, сегментация, регулярные отчёты без ручной сборки.

Идея простая: вы не «ругаете людей», вы строите управляемый цикл и каждый месяц показываете, что сделали на основе измерений.

Когда Excel уже не справляется: признаки, что пора искать платформу фишинг-симуляций и обучения

Excel и разрозненные инструменты работают до тех пор, пока вы не пытаетесь сделать процесс регулярным и доказуемым.

Сигналы, что вы «упёрлись»:

• вы не можете быстро сегментировать результаты по отделам и ролям;
• вы тратите время на ручные напоминания и сбор статусов;
• у вас нет понятной регулярной отчётности в одном месте;
• после инцидента вы не можете быстро назначить корректирующее микро‑обучение;
• данные нужны «вчера», а чтобы собрать их, требуется несколько систем и людей.

Если вы узнали себя хотя бы в двух пунктах, это уже не проблема "людей", а проблема инструмента и процесса.

Как Avareange закрывает разрыв

Для нового ИБ‑руководителя ключевой критерий при выборе решений — гибкость и быстрое освоение, чтобы вы могли управлять программой самостоятельно и при этом получать видимые метрики.

По функциональности платформы Avareange это закрывается так:

• Встроенная LMS и курсы: хранение, управление и назначение материалов, контроль прохождения и сертификация; поддержка SCORM 1.2/2004.
• Аналитика и отчёты: прогресс пользователей и эффективность кампаний/курсов/тестов; выгрузка в XLSX/CSV/PDF и автоматическая отправка регулярных отчётов на почту.
• События и автоматизация: автоматическое назначение корректирующих микротренингов после инцидента и назначение материалов по событиям (триггерам); напоминания и уведомления (email/in‑app).
• Интеграции: в том числе выгрузка логов в Syslog, REST API (OpenAPI/Swagger) для пользователей/курсов/кампаний/отчётов/событий.
• Варианты развёртывания: SaaS (быстрый старт) и On‑Premise (данные внутри контура заказчика).

Платформа превращает обучение и симуляции из разовых активностей в управляемый цикл с доказательствами и повторяемостью.

3 вопроса, которые стоит задать себе перед следующим отчётом

1. Есть ли у меня 3–5 метрик, которые я могу повторить в следующем месяце без "героизма"?
2. Могу ли я объяснить директору что изменилось одним абзацем и одной таблицей?
3. Есть ли у меня понятный следующий шаг, если метрики "плохие" (контент → процесс → инструмент)?

Как ускорить процесс обучения ИБ

Пройдите этот путь быстрее: запишитесь на демо Avareange и посмотрите, как будут выглядеть отчёты, автоматические назначения и сегментация по вашим отделам и ролям.

Записаться на демо платформы Avareange 

Скачать технический обзор платформы Avareange