Самое уязвимое место любой компании – это ее сотрудники. Человеческий фактор, невнимательность, неосведомленность и ошибки, к сожалению, становятся причиной большинства утечек.
Но как правильно донести до сотрудников про информационную безопасность? Да так, чтобы они отнеслись к этому серьезно, и это реально работало?
В чем причина халатного отношения к ИБ
Для сотрудников вопрос кибербезопасности второстепенный. Поэтому на то, чтобы чтобы поставить надежные пароли после вашей лекции, может банально не хватать времени.
Регулярные напоминания о «проверке файлов на предмет таргетированной атаки с помощью целевого фишинга» тоже мало что могут донести до сотрудников. Как минимум, сотрудники, не погруженные в ИТ, не варятся в теме и не осознают всех рисков.
Решение: настроить правильную коммуникацию.
В вашей компании скорее всего есть эксперты информационной безопасности или айтишники, которые знают все правила -- а еще есть специалисты по общению с людьми, например, в HR-отделе или внутренних коммуникаций.
Последних, конечно, нелегко будет замотивировать вникнуть в правила кибербезопасности и разжевывать их сотрудникам. Но не стоит опускать руки. Нужно найти того самого, который технически подкован.
Если такого нет, то можно попробовать поискать нового, который разбирается и во внутренних коммуникациях, и имеет технический бэкграунд (или интересуется им).
Дальше заняться его апгрейдом и научить смотреть на работу через призму информационной безопасности, чтобы потом грамотно донести про нее другим сотрудникам.
Кажется, что найти такого очень сложно – но на самом деле, вполне возможно. У нас в Перезагрузке, например, все айтишники умеют проводить консультации с руководителями и сотрудниками.
Как добиться успеха
Представитель внутренних коммуникаций или HR-отдела обычно хорошо представляет, чем занимается каждый сотрудник, поэтому сможет составить стратегию коммуникации с чувством, с толком, с расстановкой (не перегружать ненужной информации, а разъяснять только то, что касается поля деятельности).
Главный лайфхак -- разработать вместе доходчивую инструкцию по информационной безопасности, которую вы раздадите сотрудникам, как памятку, и будете вручать новым.
Конечно, изменения наступят не сразу. Но есть несколько правил, которые ускорят этот процесс:
- Делайте упор на простоту и конкретику, объясняйте без лишней информации и сложных терминов.
- Сделайте упор на взаимодействие и поощряйте уточнения сотрудников – пусть у них будет возможность советоваться со специалистом по поводу подозрительных писем и других ситуаций.
- Обращайте внимание на результаты и демонстрируйте их внутри компании – чтобы поощрить сотрудников, которые стали заботиться о вопросах ИБ.
А как вы в компании обеспечиваете кибербезопасность?