Читать книгу "Искусство обмана - Кристофер Хэднеги"

Какое отношение все это имеет к корпоративной культуре осведомленности в вопросах безопасности? Да самое прямое!

Если должным образом готовить сотрудников, регулярно напоминать им о необходимых мерах безопасности и поощрять следование протоколу, то со временем в компании сформируется соответствующая культура. Каждый сотрудник будет знать, что любое его мелкое решение может иметь долгосрочные последствия. И каждый будет знать о том, какой вред компании могут нанести более серьезные ошибки с его стороны.

Благодаря работе с Джошем я сбросил вес, стал лучше себя чувствовать и выглядеть, мое здоровье окрепло. Эти улучшения вдохновили меня продолжать работу. Однако не каждый сотрудник будет так же мотивирован, если «раскусит» фишинговый e-mail или «сообщит» о случае вишинга. Не потому, что ему все равно, не потому, что он ненавидит компанию. Просто у него может быть слишком много других дел и обучающие программы будут казаться ему бесполезной тратой драгоценного времени.

С таким настроем сотрудников работать сложно— но возможно. Например, однажды мне довелось работать в организации, где менеджер отдела однозначно и открыто продемонстрировал свое негативное отношение к нашей деятельности. В результате 450 его подчиненных превратились в главное уязвимое место компании. В его отделении постоянно возникали проблемы с вирусами, фишингом и другими формами атак.

Руководитель понял, что его сотрудники попросту не выполняют требований безопасности. Он не знал, что делать, и пытался исправить ситуацию через наказание виноватых. Лично я ни разу не видел, чтобы такой подход работал: обычно он, наоборот, лишь усиливает напряжение в отношениях между начальником и подчиненными. Если сотрудники все же следуют протоколу в таких ситуациях, то делают это со страхом, злостью и презрением. Поэтому в ходе очередной встречи с клиентом я предложил провести среди работников его колл-центра шуточный конкурс. В качестве приза взять мягкую игрушку в форме рыбы. А первый сотрудник, который не перейдет по вредоносной ссылке и сообщит о фишинговой атаке руководителю, получит эту игрушечную рыбу на свой рабочий стол и заработает статус «Главного фишера»[18] на целый месяц.

Возможно, вы сейчас сидите и думаете, что это дурацкая идея. Согласен. Тем не менее два месяца спустя 450 взрослых сотрудников сражались за то, чтобы заполучить игрушечную рыбу. А званием «Главного фишера» по-настоящему гордились.

В результате существенно увеличилось количество людей, активно вовлеченных в программу. Сотрудники искали «плохие» письма, и количество сообщений о них за несколько месяцев возросло с 7 до 87 %. Количество переходов по опасным ссылкам за то же самое время сократилось с 57 до 10 %. Но самое главное, объем вредоносного кода, выявляемого в Сети, снизился более чем на 79 %.

Одна простая мера позволила изменить отношение к безопасности в компании. Сотрудники начали принимать более грамотные решения, увидели последовавшие за этим изменения и ощутили мотивацию их поддерживать.

Как добиться таких же изменений в вашей организации? Без личной беседы с вами я точно на этот вопрос не отвечу. Но могу посоветовать несколько методов, которые за годы работы показали свою эффективность.

Поощрения. Я на своем веку повидал самые разные способы вознаграждения сотрудников: от упомянутой выше игрушки до подарочных сертификатов. Были и другие формы поощрения за соблюдение правил безопасности на протяжении нескольких месяцев. Конечно, если речь идет о большом коллективе, подарки могут недешево обойтись руководству. А если в качестве поощрения использовать никому не нужные безделушки, это вряд ли кого-то мотивирует. Например, мне довелось работать с компанией, которая обещала выдать подарочный сертификат на $5 за безоговорочное следование требованиям безопасности на протяжении целого квартала. Такой подарок, естественно, никого не впечатлил. Награда должна мотивировать. Конечно, я не настаиваю, что надо обещать сотрудникам телевизор с диагональю в 60 дюймов или годовую зарплату. Просто поощрение должно демонстрировать, что для вас на самом деле важны действия и отношение, которых вы добиваетесь от сотрудников.

Положительное подкрепление. В некоторых компаниях создают списки сотрудников, которые идеально соблюдали требования безопасности на протяжении Х месяцев. Или списки «самых внимательных сотрудников»: в них попадают люди, на протяжении нескольких месяцев отследившие Х фишинговых сообщений. В долгосрочной перспективе положительное подкрепление стимулирует желаемое поведение намного эффективнее, чем попытки пристыдить или унизить.

Дополнительное обучение. Погодите, не набрасывайтесь на меня, позвольте объяснить, что конкретно я имею в виду. Например, я неоднократно видел, какого успеха добивались компании, запускавшие программы в духе «Обучение на обеде». Они покупали пиццу или что-то подобное (если вдруг вы задумаете пригласить меня на такое мероприятие, пожалуйста, закажите зеленый салат, а то Джош будет недоволен) и собирали сотрудников. Пока люди поедали пиццу, им показывали обучающее видео или же спикер проводил презентацию по теме, связанной с безопасностью. Конечно, многие изначально шли на такую встречу за бесплатной едой. Однако с большинства подобных мероприятий многие посетители уносили и полезную информацию. Мне доводилось бывать на таких собраниях, так что я знаю, о чем говорю. И кроме того, это еще одна отличная возможность продемонстрировать, как на самом деле для вас важны идеи и действия, которые вы хотите распространить среди сотрудников.

Воздействие «сверху». Этот метод производит почти мистический эффект, работает как заклинание. Если генеральный директор сообщит сотрудникам, что руководство компании проходит проверку фишингом раз в месяц вместе со всеми, он озвучит очень важное сообщение: «Мы все с вами в одной лодке… серьезно». Однажды я работал в компании, сотрудники которой восприняли новую программу безопасности без особого энтузиазма. Одна сотрудница неправильно отреагировала на фишинговые сообщения. Узнав, что это была проверка, она потребовала связаться со мной напрямую и 10 минут отчитывала: говорила, что я ужасный человек и мне стоило бы подумать над тем, достойное ли я выбрал дело жизни. Спустя несколько месяцев весь штат компании собрали на массовое совещание, на котором выступал в том числе и гендиректор. И вот, рассказывая о программе, он упомянул, что тоже подвергся проверке, повел себя неправильно и на собственном опыте убедился, что впредь нужно быть осторожнее. После этого ситуация в компании изменилась как по мановению волшебной палочки. Рядовые сотрудники больше не злились, агрессия по отношению к моей СИ-команде практически сошла на нет, а процент людей, соблюдавших новые требования, резко возрос. Иногда сотрудникам кажется, что руководство просто издевается над ними и пытается выставить дураками. Естественно, отношения в компании от этого не улучшаются. А вот если члены правления выражают такой инициативе поддержку действием — ситуация в корне меняется.

И еще два важных момента, о которых не стоит забывать:

• Терпение