Как создать культуру цифровой безопасности в организации

Как создать культуру цифровой безопасности в организации
digital security culture

Куль­ту­ра циф­ро­вой без­опас­но­сти – одна из тех нема­те­ри­аль­ных цен­но­стей, кото­рая может при­не­сти поль­зу вашей орга­ни­за­ции. Ника­кая стра­те­гия или тех­ни­че­ский кон­троль не смо­гут предот­вра­тить нару­ше­ние без­опас­но­сти, если пер­со­нал не будет на вашей сто­роне.

Непро­ду­ман­ный кон­троль над сотруд­ни­ка­ми может при­ве­сти к ситу­а­ции, когда они нач­нут обхо­дить пра­ви­ла и исполь­зо­вать, напри­мер, лич­ную элек­трон­ную почту и облач­ные сер­ви­сы обме­на фай­ла­ми в рабо­чих целях, что толь­ко уси­лит рис­ки для орга­ни­за­ции.

Рас­ска­зы­ва­ем о несколь­ких сове­тах, кото­рые помо­гут пере­ве­сти сотруд­ни­ков на вашу сто­ро­ну в вопро­сах циф­ро­вой без­опас­но­сти.

1. Показать реальные риски

Хотя заго­лов­ки пест­рят инфор­ма­ци­ей о мно­же­ствен­ных ата­ках хаке­ров, боль­шин­ство орга­ни­за­ций не явля­ют­ся мише­нью для зло­умыш­лен­ни­ков.

Обра­ща­ясь к сво­им сотруд­ни­кам, необ­хо­ди­мо выде­лить рис­ки в соот­вет­ствии с ролью чело­ве­ка в орга­ни­за­ции. Этот под­ход зай­мет боль­ше вре­ме­ни, но оку­пит­ся в дол­го­сроч­ной пер­спек­ти­ве бла­го­да­ря пони­ма­нию сотруд­ни­ка­ми сво­ей ответ­ствен­но­сти.

2. Смотреть, что происходит в других организациях

Чте­ние пото­ка ново­стей о том, какие слу­чаи нару­ше­ния циф­ро­вой без­опас­но­сти про­ис­хо­дят в дру­гих ком­па­ни­ях, ино­гда быва­ет удру­ча­ю­щим, но это может вам помочь быть в кур­се. Мож­но настро­ить опо­ве­ще­ния по клю­че­вым сло­вам, исполь­зуя Google Alerts.

3. Создать разъясняющие материалы

Что­бы повы­сить осве­дом­лен­ность сотруд­ни­ков орга­ни­за­ции о важ­но­сти циф­ро­вой без­опас­но­сти, мож­но при­влечь отдел мар­ке­тин­га для созда­ния обу­ча­ю­щих мате­ри­а­лов – листо­вок, пла­ка­тов, накле­ек и т.д.

4. Измерять эффективность

То, что мож­но изме­рить, – мож­но сде­лать. Если вы запу­сти­ли инфор­ма­ци­он­ную кам­па­нию для того, что­бы обра­тить вни­ма­ние к фишин­гу, сле­ду­ет опре­де­лить кри­те­рии, по кото­рым мож­но будет оце­ни­вать успех и вос­при­им­чи­вость кам­па­нии людь­ми, а так­же срав­ни­вать резуль­та­ты после­ду­ю­щих кам­па­ний.

Нуж­но иметь в виду, что не всем сотруд­ни­кам при­сущ есте­ствен­ный инте­рес к вопро­сам кибер­без­опас­но­сти. Поэто­му с тече­ни­ем вре­ме­ни необ­хо­ди­мо изме­рять дей­ствия каж­до­го работ­ни­ка.

5. Приучить с самого начала

Без­опас­ность как при­о­ри­тет для новых сотруд­ни­ков может при­не­сти диви­ден­ды в буду­щем. Про­цесс для новень­ко­го может быть непро­стым в пер­вый день, но ста­нет намно­го лег­че спу­стя неде­ли.

Так­же может помочь ярлык на рабо­чем сто­ле ком­пью­те­ра сотруд­ни­ка, веду­щий на обра­зо­ва­тель­ные мате­ри­а­лы, а так­же напо­ми­на­ния при вхо­де в систе­му или под­сказ­ки по веб-без­опас­но­сти.

Тест на зна­ние вопро­сов циф­ро­вой без­опас­но­сти после пер­вых 30 дней рабо­ты в орга­ни­за­ции помо­жет выявить, какие слож­но­сти испы­ты­ва­ет сотруд­ник.

6. Замечать мелкие нарушения

Впер­вые пред­став­лен­ная в 1982 году ста­тья социо­ло­га Джейм­са Уил­со­на рас­ска­зы­ва­ет, что обра­ще­ние вни­ма­ния на мел­кие пре­ступ­ле­ния помо­га­ет создать атмо­сфе­ру поряд­ка и закон­но­сти, а так­же предот­вра­тить боль­шие, более серьез­ные пре­ступ­ле­ния. В нашем слу­чае это зна­чит обра­щать вни­ма­ние сотруд­ни­ков на мел­кие нару­ше­ния поли­ти­ки циф­ро­вой без­опас­но­сти.

Если вы види­те неза­бло­ки­ро­ван­ный ком­пью­тер – не про­хо­ди­те мимо. Если вы услы­ша­ли в чьем-то раз­го­во­ре об обмене паро­ля­ми – не игно­ри­руй­те это. Сде­лать что-то в оди­ноч­ку все­гда слож­нее, чем с союз­ни­ка­ми. И поче­му бы самим сотруд­ни­кам не стать ими?

Здесь так­же могут помочь поощ­ри­тель­ные про­грам­мы для тех, кто сооб­щит о про­бле­ме. Напо­ми­ная нару­ши­те­лям пра­виль­ный спо­соб дей­ствий с помо­щью дру­гих сотруд­ни­ков, вы помо­га­е­те выстро­ить хоро­шие отно­ше­ния внут­ри кол­лек­ти­ва и избе­жать выго­во­ров со сто­ро­ны руко­вод­ства.