Исследование Gartner показало, как превратить каждого сотрудника в киберзащитника, сообщает securitylab.ru.
Фото:freepik.com
Исследование Gartner показывает, что традиционные подходы к информированию сотрудников о киберрисках часто оказываются неэффективными в предотвращении опасного поведения. Специалисты отмечают, что для снижения числа нарушений безопасности необходимо использовать подходы, основанные на культурных и поведенческих аспектах, а не только на информировании.
Основной вывод исследования — важно сделать последствия киберрисков более ощутимыми для сотрудников, не прибегая к наказаниям. Согласно опросу Gartner, около 93% сотрудников осознанно совершают действия, увеличивающие киберриски, а 74% готовы нарушить политику безопасности ради достижения целей в бизнесе. Одна из главных причин такого поведения — отсутствие личных последствий для сотрудников.
Эксперты рекомендуют директорам по безопасности изменять стиль коммуникаций и активно использовать общественное давление. Gartner предлагает использовать модель PIPE (People, Impact, Process, Environment), которая фокусируется на формировании культурных норм в сфере безопасности. Модель помогает сделать безопасность частью корпоративной культуры и увеличить вовлечённость сотрудников в соблюдение норм кибербезопасности.
В отчете выделены 5 ключевых тактик, которые помогут привить сотрудникам понимание личных последствий киберрисков и мотивировать к соблюдению норм безопасности, основанных на культуре организации.
Тактика №1: Связывайте действия с конкретными последствиями
Люди естественным образом стремятся к возможностям и избегают опасностей. Поэтому важно сделать последствия решений в области кибербезопасности понятными и личными для каждого сотрудника.
Как это работает: Важно акцентировать внимание на положительных результатах безопасного поведения и подчеркивать, что такие действия способствуют развитию доверия клиентов. Например: «Когда клиенты уверены, что их данные в безопасности, это привлекает новых клиентов».
Пример: Приводите положительные примеры поведения, чтобы сотрудники могли ориентироваться на них. Например: «Анна смогла использовать синтетические данные вместо привилегированных, что упростило работу и ускорило вывод приложения на рынок».
Почему это работает: Люди начинают видеть реальные примеры последствий и выгод безопасного поведения, что мотивирует их соблюдать правила безопасности.
Тактика №2: Основывайтесь на существующих корпоративных ценностях
Проще внедрить новые убеждения, когда они опираются на уже существующие корпоративные ценности.
Как это работает: В компаниях, где безопасность или качество уже являются важными ценностями, можно связать эти ценности с безопасностью информационной среды.
Пример: «Мы можем предсказать, когда оборудование выйдет из строя, но не можем предсказать, когда оно подвергнется атаке».
Почему это работает: Когда новая установка тесно связана с ценностями компании, сотрудникам проще принять ее. Например, если они осознают, что безопасность данных влияет на финансовые результаты компании, это побуждает их к действиям.
Тактика №3: Усиливайте последствия через общественное давление
Люди склонны более консервативно подходить к рискам, которые касаются других людей, чем к тем, что касаются их лично.
Как это работает: Создание осознания того, что действия каждого сотрудника могут повлиять на окружающих, может существенно повысить их приверженность правилам безопасности.
Пример: «Утечка данных может разрушить чью-то жизнь».
Почему это работает: Чувство ответственности перед коллегами и окружающими помогает формировать культуру осознания рисков и придерживаться правил безопасности.
Тактика №4: Сделайте угрозу персональной
Сотрудники начинают больше осознавать важность безопасности, если могут представить последствия нарушений для себя или своих близких.
Как это работает: Важно показать, что последствия нарушений могут затронуть каждого, включая личные данные и финансовую безопасность.
Пример: Постер с надписью «Если смена пароля кажется неудобной, попробуй сменить личность» подчеркивает, насколько серьезными могут быть последствия для каждого.
Почему это работает: Когда последствия становятся личными и ощутимыми, сотрудники начинают воспринимать их всерьез и действуют более осознанно.
Тактика №5: Используйте юмор и делайте обучение увлекательным
Юмор — мощный инструмент, который помогает сделать информацию запоминающейся.
Как это работает: Мемы и юмористические фразы, касающиеся безопасности, делают процесс обучения менее формальным и более доступным.
Пример: Постер с изображением ребёнка в школьной форме и кредитными счетами с надписью «Кража личности останется в твоем постоянном досье».
Почему это работает: Юмор облегчает восприятие серьёзных тем, делает их более доступными и помогает запомнить информацию надолго.
Прогнозируется, что к 2027 году половина компаний будет переходить от фокуса на «индивидуальную осведомленность» к подходу, ориентированному на «групповые нормы поведения». Такой подход более эффективно связывает осознание рисков с реальным поведением сотрудников.
Исследование также подчеркивает, что культурное восприятие безопасности требует постоянных усилий со стороны руководства. В частности, важна поддержка со стороны старших менеджеров, которые могут демонстрировать, что безопасность — это приоритет компании, и это должно стать общепринятой корпоративной нормой.
Источник securitylab.ru