Як сформувати культуру кібербезпеки в компанії
Новини про інциденти з витоками даних міцно тримають своє місце в заголовках актуальных новин від ЗМІ. Подібні інциденти відбуваються постійно і трапляються з різними організаціями. Природно, багато хто починає цікавитися цією темою і намагається якось захистити себе, проте простого інтересу тут недостатньо – у випадку з організаціями потрібно вирішувати проблему на більш глобальному рівні. З чого почати? З формування в компанії культури кібербезпеки, коли кожен співробітник знає і відповідально підходить до питання захисту інформації.
У вітчизняних компаніях відношення до кібербезпеки особливо сумне. Ще з радянських часів збереглося зневажливе ставлення до всіх питань, що не відносяться безпосередньо до роботи, зокрема до питань техніки безпеки. Інструктажі з техніки безпеки, згідно з регламентом, повинні проводитися постійно, однак на практиці це чиста формальність. І таке ставлення серед співробітників найчастіше переноситься на ініціативи щодо введення корпоративної політики безпеки. Серйозне ставлення до таких питань не виникає на порожньому місці, а культивується, звідси перше правило — не змушуйте, а залучайте. У разі навчання співробітників від них не вимагають специфічних знань, починати слід з базових речей — складні паролі, своєчасне оновлення ПЗ, створення резервних копій, розпізнавання фішингу.
Кібербезпека починається зверху. Безініціативність керівництва в цьому питанні – яскраве свідчення того, що і вся організація не стане серйозно відноситись до нього. Зазвичай головним і єдиним сподвижником організації інформаційної безпеки є служба безпеки. І якщо у випадку з рядовими співробітниками її повноважень і рішучості вистачає на примусове дотримання формальних вимог безпеки, то вже на етапі середньої ланки можуть виникнути проблеми і ігнорування рекомендацій і навіть прямих вимог. Виникає небажане протистояння між співробітниками компаній, які найчастіше вважають, що їх відволікають від безпосередніх обов'язків дурними і непотрібними вимогами, і службою безпеки, яка, на жаль, найчастіше користується методами прямого примусу, не пояснюючи, для чого потрібні ті чи інші дії. Внаслідок цього і формулюється наступне правило.
Кібербезпека повинна бути вмотивованою. А головний мотиватор у випадку з будь-якими компаніями – гроші. На жаль, навіть для керівництва компаній неочевидно, які саме ризики несуть інциденти інформаційної безпеки і як вони в перспективі позначаться на самій компанії. У будь-якій сфері економіки можна знайти приклад невдалої ситуації з витоком даних, після якої компанія-жертва безумовно зазнала значних збитків. Крім того, подібні інциденти обертаються і підмоченою репутацією, яка часто коштує дорожче будь-яких грошей. Поліпшення стану інформаційної безпеки мотивується не тільки «страшилками»; впровадження політик і засобів безпеки приносить і безпосередню вигоду – у вигляді підвищення прозорості роботи персоналу і оптимізації робочих процесів (докладніше про це на прикладі DLP-систем ми вже писали). Якщо керівництво розуміє це, правильно мотивувати співробітників стає значно легше. Як і з будь-якими нововведеннями тут головним стає не їх нав'язування, а висвітлення того, що саме потрібно від персоналу і для чого. Відповідне стимулювання – у вигляді заохочень або санкцій – полегшує процес, але не замінює роз'яснення та навчання.