В настоящее время довольно часто работники организации вместо содействия по обеспечению кибербезопасности, вносят массу дополнительных задач для отдела информационной безопасности в компании, посредством бесконтрольного поиска по ресурсам интернета. Данный стереотип сложился ввиду того, что большинство даже не желает вникнуть, и предотвратить угрозу кибербезопасности до её возникновения. Ведь это возможно даже без углубления в программирование более подробно. Несмотря на это, стоит отметить, что, даже если кибербезопасность организации не принуждает к изучению углубленной информации, зато психология как мотивировать сотрудника на выполнение элементарных правил безопасности, требует обратить на себя должное внимание. Ведь каждое изменение идет, в первую очередь, с изменения отношения к той или иной проблеме, и её осознания.
Начиная разбирать пути внедрения кибербезопасности в организации более подробно, встает, казалось бы, непреодолимый вопрос: как заставить пренебрежительное отношение сотрудников к данного вида безопасности, сменить на ответственное и вполне серьезное? Ответ кроется в мотивации. Ведь каждый человек знает ту яркую специфику, которая заключается в том, что соблюдение каких-либо правил не всегда ведет к доходу, скорее, уменьшает расходы тому, кто требует соблюдения правил. Таким образом, перед начальником, желающим обучить свою команду кибербезопасности, стоит главная задача, которая заключается в том, чтобы показать персоналу, что высокий уровень безопасности, повлечет за собой более низкий уровень убытков, однако, данное не найдёт своей реализации в случае, если не будет сплоченности между членами компании, а именно ответственного отношения к безопасности каждого персонально.
Исходя из вышесказанного, можно сделать вывод, что мотивация сотрудникам необходима. Мотивировать можно тремя способами: наказание, информирование, поощрение.
Однако, данные правила эффективнее всего действуют в комплексе. Рекомендуется это в первую очередь потому, что, например, наказание может быть разным, так, в отношении небольших проступков, можно обойтись простым предупреждением. Зачастую именно предупреждения достаточно, чтобы в дальнейшем избежать повторения нарушения. Происходит это потому, что наша психика утроена так, что осуждение (а «предупреждение», как правило, можно считать именно таковым), мы воспринимаем как наказание за какой-то проступок. Психологическое воздействие на сотрудников, стимулирование к выполнению правил организации, а в частности, ее кибербезопасности, может производиться посредством: материального стимула, записью в трудовую книжку, вводным, периодическим, или дополнительным инструктажем. Стоит отметить, что в настоящее время запись в трудовой книжке не так широко распространена, так при смене работы, будущий работодатель не всегда смотрит на записи, а предпочитает полагаться на стаж, собеседование, и первые видимые знания кандидата на должность, при выполнении тестового задания, если такое предусмотрено работодателем. Таким образом, материальный стимул и инструктажи, в современном мире, куда более продуктивны, при стимулировании мотивации сотрудников организации к выполнению правил.
Важно показать сотрудникам, что несмотря на то, что от кибербезопасности они не получат дохода, но она очень важна, как сам факт безопасности и гарантии надежной работоспособности. Для того, чтобы это сделать, важно не только замотивировать сотрудника посредством «кнута и пряника», необходимо также показать всю важность соблюдения правил кибербезопасности. Элементарным примером можно привести то, что при утечке информации к конкурентам, кражи данных, невыполнение законодательства об информационной безопасности, может привести к большим финансовым потерям. Что вероятнее всего, будет обозначать сокращение рабочих мест, так как велика вероятность, что компания уже не сможет выплачивать зарплату в таком размере, котором делала до этого, или же это грозит элементарным снижением заработной платы на неопределенный период времени, пока организация будет восстанавливать свою бизнес-структуру. Люди так устроены, что зачастую собственную безопасность они воспринимают серьезнее, подобное объяснение будет для них ключевым, так как соблюдение правил кибербезопасности будет означать, что заработку сотрудника ничего не угрожает, ибо он, со своей стороны, предпринял все возможные меры по предотвращению хищения данных с компьютеров и прочих гаджетов, которые используются компанией в процессе её деятельности. Более эффективным является поощрение добросовестных сотрудников.
Несмотря на всё вышесказанное, стоит отметить, что ответственность и добросовестное отношение к кибербезопасности сотрудников станет тогда, когда управляющий начнет показывать всю важность и ответственность к кибербезопасности своей компании. В настоящее время, время технологий, каждая вторая компания поддерживает актуальным вопрос информационной безопасности (кибербезопасности) своей организации. Однако, данная заинтересованность носит довольно часто формальный характер, так как зачастую, контроля за действиями в сети интернет не нет, следовательно, пренебрежения правилами безопасности можно обнаружить в каждом втором случае. Даже при наличии в компании сотрудника, а то и отдела, отвечающего за информационную безопасность, все их рекомендации (информирования), как правило, воспринимают несерьёзно. Кибербезопасность в сознании людей, носит довольно «размытое» представление. Как правило, люди не воспринимают инструкции по кибербезопасности серьезно, до первого случая. Поэтому, сотруднику по информационной безопасности, довольно сложно донести остальным всю важность возможных обстоятельств, которые моно избежать, если объединить усилия, и следовать довольно несложным правилам.
Информационную (кибер) безопасность необходимо прививать сотруднику с самого начала его работы на данном месте и должности. Так, информационную (кибер) безопасность стоит вывести на тот уровень, на котором действия сотрудника будут доведены до автоматизма, и самым элементарным из всех возможных способов защитить себя в данной сфере, это автоматическая проверка всей системы антивирусом. Стоит отметить, что при правильном распределении прав и обязанностей, случайные и непреднамеренные нарушения будут сводиться к минимуму, в данном случае, речь идет не только о кибербезопасности, а также и в целом «безопасность» в надлежащем виде.
Довольно часто в практике приходится сталкиваться с такими людьми, которые не воспринимают всей важности кибербезопасности, и по факту, считают, что подобные правила будут только усложнять их жизнь. Происходит это ввиду того, что при введении определенного ряда правил, направленных на кибербезопасность, придется успевать делать работу вовремя, пользоваться пропускной системой, любые информационные носители с конфиденциальной информацией о компании, хранить в сейфе, без возможности выноса их за пределы территории организации, а также пользоваться, и подключать данные носители исключительно к стационарным компьютерам компании. В таком случае, будет целесообразным объяснить необходимость нововведений, посредством примера, что будет, если пропадет любая из баз данных прикрепленных к данной компании и ее сотрудникам, в том числе, как был приведен ранее пример, рассказав, какие последствия ожидают самих сотрудников, при таком исходе событий. Как правило, для большей мотивации, необходимо, чтобы данный инструктаж проводил не только информационный работник или отдел по информационной безопасности данной компании, а вместе с директором, ведь как известно, когда начальство рядом, работник лучше воспринимает информацию. Инструктажи необходимо периодически повторять, они не навредят восприятию, так как программное обеспечение зачастую обновляется не реже одного раза в месяц, следовательно, какая-либо информация может оказаться не актуальной, обновленной.
Зачастую проблема в соблюдении правил безопасности не столько в малой мотивации сотрудника, сколько сложность в его понимании правил. Идеалом в решении данного вопроса будет создание памяток, в которых будет кратко, но понятным языком расписана инструкция, что нужно делать в тех или иных случая. При наличии таких памяток, выполнения требований кибербезопасности будет не столь проблематичным занятием. Данные памятки можно раздавать на презентации, которая должна быть также проста, лаконична, и доходчива для каждого сотрудника любого стажа и возраста. На подобных презентациях, отдел службы безопасности, может организовать показательный сбой системы, возможные проблемы, которые могут при этом возникнуть. Так, визуализируя рассказанное ранее, будет воспринято более серьёзно, что будет являться хорошей мотивацией. Ввиду того, что под воздействием стресса (даже если этот стресс был искусственно созданным), информация будет лучше усваиваться, особенно если позволить под контролем информационного работника, сотрудникам разрешить самостоятельно ситуацию (сбой в системе), тем самым проработав подобные случаи, что непосредственно также даст заряд мотивации.
Для мотивации сотрудников к выполнению правил кибербезопасности, как и было сказано выше, необходима вовлеченность начальства в данный процесс. Нужно это в силу того, чтобы контролировать выполнение правил, а вернее сказать, последствия за их отрицание. Необходимо выработать хорошо – отлаженную систему, в которой мотивированный сотрудник будет осознавать необходимость сохранения стабильной безопасности, а равно работы. Добиться этого можно либо включением в права информационного отдела такой возможности, как влияние на последствия за невыполнение прописанных правил, либо начальству необходимо уделять время данной сфере жизни компании, чтобы не упускать из виду нарушения, для своевременного принятия мер по ликвидации и предупреждения подобных проблем. Чтобы мотивация сотрудников не спадала, необходимо подтверждать прописанные правила, а в частности последствия за несоблюдение таких правил, на деле. Так как в противном случае, сотрудники поймут, что «наказание» – это что-то образное, прописанное исключительно на бумаге, а равно никак не касающееся самого сотрудника, даже если нет соблюдения прописанных правил организации по кибербезопасности.
Несмотря на вышесказанное, не стоит забывать и о «похвале» работников, за соблюдение, данной безопасности. Ведь для поддержания мотивации, а в некоторых случаях её усиления, сотруднику важно довести до осознания, как облегчится его жизнь не только на работе, но и зная некоторые особенности кибербезопасности, за пределами работы, ради охраны своей частной личной жизни тоже.
Сложно не отметить, что мире технологий, работники становятся противниками «бумажной» работы. Куда проще вынести необходимую информацию для работы использовать так, как было бы удобно самому сотруднику, для более «беззаботной» жизни в офисе. В данном случае речь идет всё о той же защищенности конфиденциальных данных организации, которые не должны подлежать возможности «выноса» их за пределы компании. Для соблюдения субординации между сотрудниками и начальством, а также продуктивного продвижения бизнеса, просто необходимы соблюдение кибербезопасности, и направленность сотрудников на единство. Таким образом, начальнику следует не перегибая планку, а вполне спокойно, объясняя на примерах, и также рассказывая о всех преимуществах кибербезопасности, несмотря на определенный ряд неудобств, связанных с её соблюдением, в данном случае, необходимости ведения своей работы строго в стенах офиса, и (или) персонального компьютера с антивирусом, и соблюдением правил безопасности.
Созданный внутри компании отдел информационной (кибер) безопасности, перед инструктажем, необходимо проработать план, очевидные вопросы, которые могут возникнуть в ходе его проведения. Одним из важных этапов инструктажа является выделение признаков, по которым могут происходить действия злоумышленников. Стоит предупредить сотрудников, какой антивирус устанавливать, что делать если похитили личные данные, что не стоит доверять каждой присланной ссылке на почту компании, ибо многие мошенники действуют именно через убеждение и внедрение в доверие. Наряду с этим необходимо объяснить, что в случае необъяснимого выполнения команд, которые не были заданы настоящим пользователем компьютера, необходимо срочно обратиться к специалисту по информационной безопасности, для выявления и решения проблемы. Таким образом, как и говорилось ранее, работник может нарушить правила непреднамеренно, а в силу недостаточной информированности о возможных ситуациях, и должной реакции на подобные происшествия.
Наряду с этим, если руководитель заинтересован в выполнении правил по кибербезопасности, то и сам должен их придерживаться. Это покажет, что руководитель компетентен и осознаёт сам всю важность выполнения правил, продемонстрирует, что в организации нет разделения по должности, каждый является таким же человеком, группой людей, объединенных общей целью. Однако, несмотря на, казалось бы, равенство, руководитель будет казаться «выше» в глазах сотрудников, а это будет поднимать их мотивацию к выполнению поставленных задач и поручений руководства.
Стоит отметить, что для поддержания «тонуса» мотивации, необходимо проводить проверки. При этом желательно, чтобы они были спонтанными. Данное необходимо, так сотрудники могут запомнить, когда начальство может прийти с проверкой выполнения правил, и именно к этому моменту начать активно их выполнять. Соответственно, если проверки не имеют определенной постоянной даты, то это также будет поддерживать мотивацию каждого сотрудника, ответственно относиться к данным правилам по кибербезопасности, для того чтобы избежать выговора. Как говорилось ранее, для поддержания мотивации можно создавать «учебную тревогу». Подобный заряд «адреналина» и серьезности ситуации, несмотря на понимание, что это обучение, сотрудник начнет выводить мотивацию на максимум, для того чтобы решить, наряду со всеми, представшую задачу.
Подводя итог всего вышесказанного, необходимо отметить, что каждый человек индивидуален, как минимум, по данной причине не стоит уходить в крайности, избирая метод мотивации своих сотрудников. Не стоит делать поспешные выводы, необходимо обдуманно подходить к каждой проблеме для того, чтобы избежать неловких ситуаций и конфликтов внутри коллектива, или негативного отношения к начальству.
Необходимо найти золотую середину между «кнутом и пряником», так как тотальный контроль телефонов, компьютеров и прочих гаджетов каждого работника, настроит против отдела информационной безопасности и начальства в целом, следовательно, может привести к тому, что сотрудники начнут действовать наоборот против прописанных правил организации.
Руководителю (начальнику) необходимо быть в хороших отношениях со своими подчиненными, но, не давая усомниться в себе как в руководителе. Для предотвращения неуместных и рискованных ситуаций, стоит ещё на собеседовании отсеивать кандидатов на должность, не способных вникнуть и воспринять сказанное. В противном случае, данное сотрудничество обещает быть не долгим.
Таким образом, во всех нововведениях необходимо понимать, как можно мотивировать сотрудников, чтобы точно показать цель, намерения, но и не перейти грань, где это будет считаться большим ограничением личного выбора человека. Например, если человек постоянно выполнял правила, и единожды ошибся, в таких случаях можно обойтись предупреждением. Равно как и наоборот, при серьезной ошибке, в последствии которой злоумышленникам попала конфиденциальная информация, обойтись предупреждением было бы недостаточным наказанием. Таким образом, для своевременного выявления нарушений, проверки не должны быть заранее запланированы, необходимо, чтобы они были неожиданными.
Ввиду всего вышесказанного, необходимо отметить, что сотрудник должен всецело понимать всю ответственность, которую он возлагает он на свои плечи, работая в компании. Во время продвинутых технологий, абсолютно каждый сотрудник должен быть хорошо проинформирован и обучен элементарным способам кибербезопасности, а для наиболее внушительного и продуктивного обучения, необходимо правильно мотивировать сотрудников. Чередуя похвалу за соблюдение правил, с наказанием за отказ от соблюдения кибер (информационной) безопасности. При правильном построении отношений в коллективе, равно как и хорошо отлаженном мотивировании работников организации, будущее компании обещает быть светлым, а кибербезопасность надежной.
Каждому человеку нужна мотивация к движению, свершениям, и достижениям. Несмотря на то, что кибербезопасность довольно новое понятие, это не отменяет того, что для осознания его важности, также должно быть что-то, что поможет человеку, а в данном случае, сотруднику, воспринять кибербезопасность как неотделимую часть от всех остальных правил безопасности, которые он привык повседневно соблюдать.
