Как сформировать культуру кибербезопасности в компании
Новости об инцидентах с утечками данных прочно заняли свое место в заголовках средств массовой информации. Подобные инциденты происходят постоянно и с самыми разными организациями. Естественно, многие начинают интересоваться этой темой и пытаются защитить себя, однако простого интереса недостаточно — в случае с организациями требуется решать проблему на более глобальном уровне. С чего следует начать? С формирования в компании культуры кибербезопасности, когда каждый сотрудник знает и ответственно подходит к вопросу защиты информации.
В отечественных компаниях отношение к кибербезопасности складывается особенно печально. Еще с советских времен сохранилось пренебрежительное отношение ко всем вопросам, не относящимся непосредственно к работе, в частности к вопросам техники безопасности. Инструктажи по технике безопасности, согласно регламенту, должны проводиться постоянно, однако на деле оказываются формальностью. И подобное отношение среди сотрудников чаще всего переносится на инициативы по введению корпоративной политики безопасности. Серьезное отношение к таким вопросам не возникает на пустом месте, а культивируется, отсюда первое правило — не заставляйте, а вовлекайте. В случае обучения сотрудников от них не требуются специфические знания, начинать следует с базовых вещей — сложные пароли, своевременное обновление ПО, создание бэкапов, распознавание фишинга.
Кибербезопасность начинается сверху. Безынициативность в этом вопросе руководства — верный признак того, что и вся организация не станет всерьез к нему относится. Обычно главным и единственным сподвижником организации информационной безопасности является служба безопасности. И если в случае с рядовыми сотрудниками её полномочий и решимости хватает на принуждение «из-под палки» к соблюдению формальных требований безопасности, то уже на этапе среднего звена могут возникнуть проблемы и игнорирование рекомендаций и даже прямых требований. Возникает нежелательное противостояние между сотрудниками компаний, которые чаще всего считают, что их отвлекают от непосредственных обязанностей глупыми и ненужными требованиями, и службой безопасности, которая, к сожалению, чаще всего пользуется приказными методами, не объясняя, для чего нужны применяемые шаги. Вследствие этого и формулируется следующее правило.
Кибербезопасность должна быть мотивированной. А главный мотиватор в случае с любыми компаниями — денежный. К сожалению, даже для руководства компаний неочевидно, какие именно риски несут инциденты информационной безопасности и как они в перспективе скажутся на компании. В любой сфере экономики можно найти пример неудачной ситуации с утечкой данных, после которой компания-жертва определенно понесла значительный убыток. Кроме того, подобные инциденты оборачиваются и подмоченной репутацией, которая зачастую стоит дороже любых денег. Улучшение состояния информационной безопасности мотивируется не только «страшилками»; внедрение политик и средств безопасности приносит и непосредственную выгоду — в виде повышения прозрачности работы персонала и оптимизации рабочих процессов (подробнее об этом на примере DLP-систем мы уже писали). В случае понимания этого руководством правильно мотивировать сотрудников становится куда легче. Как и с любыми нововведениями здесь главным становится не их навязывание, а освещение того, что именно требуется от персонала и для чего. Соответствующее стимулирование — в виде поощрений или санкций — облегчает процесс, но не заменяет разъяснение и обучение.