• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Кадры - самое слабое или самое ценное звено в безопасности?

Created: 09 February 2021

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №1 за январь 2021 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Существует очень известный стереотип. Сотрудники это самое слабое звено в информационной безопасности. Или даже шире - самое слабое звено в любом сложном производственном процессе. И, на первый взгляд, такое суждение кажется обоснованным, ведь большинство утечек данных, инцидентов, сбоев системах происходит именно из-за так называемого «человеческого фактора», непреднамеренных ошибок, недостатка опыта и квалификации.
Во-первых. Отношение к персоналу как слабому, уязвимому звену   неконструктивно и не приводит к решению проблем.
Пример. На наших глазах развивается ситуация с глобальной пандемией опасного вируса. Безусловно, самым слабым, уязвимым звеном в этом кризисе стал человек - именно он подвержен заболеванию. Если мы признаем, что слабым звеном в этом случае является человек, поможет ли это разрешению кризиса? Виноват ли в этом человек? И что же делать? Там где возможно уже давно отказываются от человека - автоматизируют производство, сокращают ручной труд. Но человек по-прежнему остаётся в центре большинства производственных процессов. Поэтому-то и пришлось буквально на ходу изобретать варианты с удалённой работой. Т.е. даже такие глобальные катаклизмы не в силах повлиять на ситуацию   человек, его знания и умения по-прежнему в «центре» предприятия.
Другой пример. Когда проигрывает наша любимая спортивная команда - являются ли спортсмены виновниками поражения? Вроде, очевидно, что да. А в победе тоже «виноваты» игроки? Но если мы будем раз за разом винить и упрекать, то это может стать и вовсе деморализующим фактором и приводить к новым поражениям.
Во-вторых. Вместо того, чтобы обвинять сотрудников в провалах и видеть их основной причиной убытков, нужно признаться, что традиционные программы осведомлённости или инструктажи - малоэффективны или не работают вовсе. Их продолжают проводить, сотрудников обучают, собирают подписи в журналы и т.д., а количество ошибок сотрудников не снижается. Осведомлённость сотрудников о рисках и проблемах безопасности очень важна, но этого явно недостаточно. Почему-то люди, даже осознавая риски, продолжают вести себя по-старому.
На самом деле, повышение осведомлённости должно выходить за рамки простой лекции и инструктажа. Оно должно приводить к изменению модели, образа поведения, а затем и формированию культуры безопасности. Получается замкнутый круг - осведомлённость должна приводить к изменению ежедневного образа поведения. Образ действия со временем формирует культуру безопасности, а уже эта культура требует постоянного повышения осведомлённости. Пример: не может же человек, который по пути на работу несколько раз нарушил правила дорожного движения, нагрубил кому-то, был невоздержан, придя на рабочее место тут же стать дисциплинированным и аккуратным.

Так как же формировать эту (производственную) культуру и стимулировать положительные изменения в поведении сотрудников? К сожалению, простого ответа на этот вопрос нет. Но начать стоит с того, чтобы понять, в чём же причина нежелательного поведения, почему люди не хотят следовать правилам и рекомендациям? И в этот момент обычно выясняется:
- они не считаю проблемы информационной (да и не только) безопасности такими уж серьезными, считают их преувеличенными. И уж точно не касающимися их лично.
- они не чувствуют, что они ответственность за обеспечение безопасности лежит именно на них. Есть профильные службы, вот пусть они этим и занимаются.
- они не понимают, какой именно вклад в обеспечение безопасности вносят, как их работа может повлиять на безопасность предприятия.
    Другой аспект проблемы   чаще всего отношение сотрудников к службе безопасности очень скептичное, скорее негативное. Службу физической безопасности, охрану могут воспринимать как бездельников. А службу информационной безопасности чуть ли не как шпионов, которые следят за сотрудниками и готовы «подловить» на нарушениях, которые могут незримо вмешиваться в работу и тайну личной жизни, читать отправляемые с рабочего компьютера письма, прослушивать телефонные переговоры. И в целом весь процесс обеспечения безопасности воспринимается как помеха на пути всех процессов. Часто даже высокое руководство, финансовый менеджмент, видит безопасность как «бездонную бочку», поглощающую деньги в увеличивающихся объемах и не приносящих никакой пользы, кроме обозначенных выше помех.

Для достижения сколько-нибудь заметного успеха на пути повышения безопасности, руководителю предприятия нужно решить две задачи:
1. Персонализировать процесс обеспечения безопасности. Т.е. сотрудники должны знать   кто именно на предприятии занимается обеспечением информационной безопасности. Например, часть инструктажей или лекций могут проводить сотрудники, занимающиеся ИБ. Ещё лучше, если между коллективом и службой безопасности завяжется доверительный диалог   по части вопрос можно будет обратиться напрямую в службу безопасности, т.е. рядовые пользователи будут знать своих «киберзащитников» лично. Пока же часто происходит ровно наоборот - служба безопасности это самое закрытое подразделение на предприятии, кто и чем занимается - секрет, а с пользователями на связь выходят только для расследования нарушений, проступков и для последующего наказания. Если сотруднику звонят из службы безопасности, то такой звонок обычно не предвещает ничего хорошего. И наоборот - звонить в службу безопасности не принято. Так как это означает, что пользователь не читал инструкций, не помнит материала инструктажа и сам в этом открыто признаётся. Такой подход нужно менять. У безопасности должно быть «человеческое лицо» и в первую очередь для сотрудников своего предприятия. Современные практики предлагаю включить в этот процесс геймификацию, придать какой-то игровой, соревновательный характер. Например, как-то отметить/премировать самый интересный вопрос в службу безопасности. Поддерживать и стимулировать бдительность - если рядовой сотрудник обнаружил серьезную проблему и сообщил о ней службе безопасности, нужно это поощрить, поддержать такую инициативу. Совсем необязательно требовать сообщать обо всех нарушениях соседа по кабинету (вопрос о доносительстве/информировании о нарушениях коллег очень полемичен и неоднозначен), но отметить действительно важное сообщение обязательно нужно. Только если бизнес-подразделения и служба безопасности поймут что все они «в одной лодке», то и службу безопасности будут понимать и уважать, а не бояться.

2. Упрощение и разъяснение процедур безопасности. Пример: сотрудник ушел в отпуск и служба безопасности тут же заблокировала его учётную запись в информационной системе. Вернувшись из отпуска, сотрудник недоволен   ему нужно куда-то звонить и просить включить его учётную запись. Ему нужно объяснить, что это делается не только для безопасности предприятия, но и чтобы защитить самого сотрудника. Чтобы в его отсутствия никто от его имени ничего не сделал в системе, не подставил его тем самым. Тогда он поймёт и значение этой меры и даже свою заинтересованность в ней. И так по каждой процедуре - сотрудник не только должен понимать что́ он должен делать, но и для чего.

Итак, нужно перестать воспринимать сотрудников как «слабое звено» в безопасности. Грамотные и лояльные сотрудники это наоборот - самый ценный актив. А далее   всячески поддерживать формирование правильных навыков, привычек, и в конечно счёте - культуры безопасности. Процесс очень непростой, но другого пути нет.

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости