В отечественных компаниях отношение к кибербезопасности складывается особенно печально. Еще с советских времен сохранилось пренебрежительное отношение ко всем вопросам, не относящимся непосредственно к работе, в частности к вопросам техники безопасности. Инструктажи по технике безопасности, согласно регламенту, должны проводиться постоянно, однако на деле оказываются формальностью. И подобное отношение среди сотрудников чаще всего переносится на инициативы по введению корпоративной политики безопасности. Серьезное отношение к таким вопросам не возникает на пустом месте, а культивируется, отсюда первое правило — не заставляйте, а вовлекайте. В случае обучения сотрудников от них не требуются специфические знания, начинать следует с базовых вещей — сложные пароли, своевременное обновление ПО, создание бэкапов, распознавание фишинга.
Кибербезопасность начинается сверху. Безынициативность в этом вопросе руководства — верный признак того, что и вся организация не станет всерьез к нему относится. Обычно главным и единственным сподвижником организации информационной безопасности является служба безопасности. И если в случае с рядовыми сотрудниками её полномочий и решимости хватает на принуждение «из-под палки» к соблюдению формальных требований безопасности, то уже на этапе среднего звена могут возникнуть проблемы и игнорирование рекомендаций и даже прямых требований. Возникает нежелательное противостояние между сотрудниками компаний, которые чаще всего считают, что их отвлекают от непосредственных обязанностей глупыми и ненужными требованиями, и службой безопасности, которая, к сожалению, чаще всего пользуется приказными методами, не объясняя, для чего нужны применяемые шаги. Вследствие этого и формулируется следующее правило.
Кибербезопасность должна быть мотивированной. А главный мотиватор в случае с любыми компаниями — денежный. К сожалению, даже для руководства компаний неочевидно, какие именно риски несут инциденты информационной безопасности и как они в перспективе скажутся на компании. В любой сфере экономики можно найти пример неудачной ситуации с утечкой данных, после которой компания-жертва определенно понесла значительный убыток. Кроме того, подобные инциденты оборачиваются и подмоченной репутацией, которая зачастую стоит дороже любых денег. Улучшение состояния информационной безопасности мотивируется не только «страшилками»; внедрение политик и средств безопасности приносит и непосредственную выгоду — в виде повышения прозрачности работы персонала и оптимизации рабочих процессов (подробнее об этом на примере DLP-систем мы уже ). В случае понимания этого руководством правильно мотивировать сотрудников становится куда легче. Как и с любыми нововведениями здесь главным становится не их навязывание, а освещение того, что именно требуется от персонала и для чего. Соответствующее стимулирование — в виде поощрений или санкций — облегчает процесс, но не заменяет разъяснение и обучение.
