Политики ИТ-безопасности часто вызывают сопротивление сотрудников. CISO необходимо перейти от санкций к эмпатичному проектированию политик и стратегической коммуникации, чтобы создать устойчивую культуру безопасности. — csoonline.com
Во многих компаниях ИТ-политики безопасности сталкиваются с сопротивлением, поскольку сотрудники воспринимают их как обременительные или оторванные от практики. Это затрудняет внедрение, подрывает эффективность и портит отношения между отделом безопасности и профильными подразделениями. Кибербезопасность часто воспринимается не как партнер, а как тормоз — фатальный риск для безопасности. Для CISO (Chief Security Information Officer) это означает, что наряду с технически корректными политиками решающее значение имеет принятие их в повседневной работе. Новый подход, основанный на эмпатичном проектировании политик (Policy Engineering) и стратегических коммуникациях в области безопасности, способствует формированию устойчивой культуры безопасности.
ИТ-безопасность: рабочее давление и социальные факторы влияния
Во многих ИТ-отделах распространено мнение, что пользователи мало мотивированы соблюдать требования безопасности. Компании полагаются на санкции и обучение, чтобы заставить соблюдать правила. Однако двухдневный эксперимент, изучавший влияние настроек безопасности на соответствующее политике поведение пользователей, показал: если вначале участники имели положительное отношение к политикам безопасности, то при усилении рабочего давления они стали воспринимать их как все более препятствующие, что приводило к учащению нарушений правил. Стресс и ситуативные факторы заметно влияли на поведение участников, связанное с безопасностью.
Таким образом, безопасное поведение возникает не только благодаря передаче знаний, но и сильно зависит от индивидуальной оценки рисков и конкретных повседневных ситуаций. Пользователи не всегда действуют так, как предписывают политики. Часто не из-за нежелания, а потому, что другие факторы перевешивают или считаются более важными. Амбициозные цели, нехватка времени и потребность в бесперебойном сотрудничестве часто вступают в противоречие с абстрактными требованиями безопасности. Эти конфликты интересов быстро приводят к напряженности между службой безопасности, ИТ и другими подразделениями. В конечном итоге это ставит под угрозу культуру безопасности.
Специалисты по безопасности могут предпринять действия по трем направлениям, чтобы противодействовать этому.
1. Понимание пользователей
CISO в первую очередь следует задаться вопросом, почему пользователи ведут себя небезопасно. Здесь играет роль множество факторов: например, пользователи не осведомлены об угрозе, не видят пользы от безопасного поведения или считают меры безопасности препятствием для своей работы. Возможно, существует конфликт интересов с целями пользователей или они испытывают нехватку времени. Часто просто не хватает средств — например, когда предписания требуют безопасного обмена данными с поставщиками и клиентами, но сотрудникам не предоставляется платформа для такого обмена, — или же отсутствуют ролевые модели в окружении.
Перед внедрением мер безопасности важно выявить и сбалансировать противоречивые цели и приоритеты различных заинтересованных сторон (ИТ-отдел, технические подразделения, руководство, администрация, производственный персонал). Это возможно, например, в рамках анализа заинтересованных сторон (Stakeholder-Analyse) — метода из области прикладной информатики для сбора предпочтений всех вовлеченных стейкхолдеров. Чем больше специалисты по безопасности знают о реальных условиях труда и целях различных подразделений, тем лучше им удается адаптировать меры безопасности, что приводит к большему принятию и, в конечном итоге, к успешному внедрению.
2. Разработка политик безопасности с учетом пользователей
Небезопасное поведение часто приписывают пользователям, хотя проблема часто кроется в самой мере. В исследованиях ИТ-безопасности фокус часто смещен на индивидуальное поведение пользователей — например, на вопрос, зависит ли безопасное поведение от личностных характеристик. При этом игнорируется вопрос о том, насколько хорошо меры безопасности соответствуют реалиям работы — то есть, насколько вероятно, что они будут приняты в повседневной жизни.
Для каждой угрозы обычно существует несколько доступных мер безопасности. Однако различия в усилиях, приемлемости, совместимости или сложности на практике часто не учитываются. Вместо этого решения часто принимаются отделами безопасности или ИТ исключительно на основе технических аспектов.
Для установления эффективных политик ИТ-безопасности они должны быть не только технически корректными — они должны быть осмысленными и практически применимыми с точки зрения сотрудников. Ключ к этому лежит в эмпатичном проектировании политик (empathic Policy Engineering): требования безопасности должны быть сформулированы таким образом, чтобы они были понятны, принимались и соответствовали повседневным рабочим целям. Лучше всего это достигается, когда сотрудники вовлекаются в разработку на раннем этапе — включая их конфликты целей и практические проблемы.
Последующий пилотный проект помогает заблаговременно выявить потенциальные подводные камни и препятствия и соответствующим образом скорректировать меры. Проверенной практикой является начало работы с «ранними последователями» (Early Adopters) — группой пользователей, открытых к нововведениям и способных дать конструктивную обратную связь. Эту обратную связь следует учесть до широкого развертывания. Таким образом, может возникнуть культура безопасности, которая работает — и реально живет в повседневной жизни.
3. Осмысленная коммуникация: подход RESPECT
В настоящее время меры и политики безопасности часто доводятся до сведения таким образом, что не затрагивают реальную рабочую ситуацию пользователей, поскольку они не нацелены на то, чтобы сотрудники заинтересовались ими и были мотивированы: например, через инструкции, стандартные онлайн-тренинги или слишком игривые форматы, такие как комиксы, которые сотрудники не воспринимают всерьез. Лучше работает подход RESPECT: он основан на общении на равных, а не на запретах и наказаниях.
Ключевое отличие: сотрудники рассматриваются как компетентные, ответственные взрослые. В центре внимания — эмпатичный взгляд на их потребности и рабочую реальность — без потери из виду целей безопасности.
Существует несколько методов, чтобы сделать коммуникацию политик безопасности успешной и избежать конфликтов:
Тактическая эмпатия: Она создает признание, укрепляет доверие и тем самым гарантирует, что сотрудники чувствуют себя услышанными и готовы воспринимать информацию, касающуюся безопасности.
«Помогите мне помочь вам» вместо «Нет»: Вместо того чтобы навязывать требования безопасности, CISO могут с помощью целенаправленных вопросов «Как?» побудить пользователей задуматься о предложенных решениях. Если у пользователей есть пожелания по изменению требований безопасности, служба безопасности не должна просто говорить «Нет». Целесообразно спросить, что сами сотрудники предлагают для соблюдения требований безопасности и обеспечения эффективной работы. Таким образом, возникает диалог, и легче найти компромисс, приемлемый для всех участников.
Практический опыт вместо сухой теории: Концепция обучения, основанная на прямом опыте, сталкивает участников с реалистичными сценариями — например, кибератаками, такими как фишинг, программы-вымогатели (Ransomware) или атаки через USB. Они на собственном опыте в среде, максимально приближенной к реальности, отражающей типичные рабочие места в малых и средних предприятиях, видят, как происходят кибератаки. Так формируется глубокое, устойчивое понимание ИТ-безопасности. В центре внимания вместо поучений находятся человек и пережитый опыт.
Вывод: CISO как создатели эффективной культуры безопасности
Небольшой успех многих мер безопасности связан не только с пользователями — часто виной тому нереалистичные требования, отсутствие вовлеченности и недостаточная коммуникация. Для руководителей служб безопасности это означает: вместо воспитания и санкций необходима стратегическая смена парадигмы. Они должны стать своего рода Архитекторами Эмпатичных Политик (Emphatic Policy Architect), чья стратегия безопасности не только технически работает, но и убеждает на человеческом уровне. Такой руководитель создает условия, в которых безопасные решения естественным образом вписываются в рабочий процесс. Для этого требуется хорошее чутье на конфликты целей, общение на равных — и способность закрепить безопасность как общую ценность в компании. (jm)
Советуем прочитать: Как выполнить требования комплаенса
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Heiko Roßnagel