Безпека довго зосереджена на тому, щоб працівники усвідомлювали кібер -ризики та пом'якшені дії, які слід вжити, але такий підхід не був особливо ефективним у припиненні небезпечної поведінки.
Згідно з опитуванням Gartner, 93% працівників свідомо здійснюють дії, що збільшують ризик для організації. Крім того, 74% працівників порушили б політику кібербезпеки для досягнення бізнес -мети.
Справа не в тому, що працівники зловмисні чи необережні; Вони просто звикли для обходу контролю, як і будь -яка інша щоденна доцільність роботи, щоб закінчити діяльність швидше та з мінімальними зусиллями. Однією з трьох найкращих причин, які цитують особи для цих типів поведінки, є відсутність наслідків.
Цю проблему потрібно атакувати в культурному шляху та зміною цінностей. Лідери безпеки повинні адаптувати те, як вони звертаються до працівників, знаходячи нові способи, щоб кібер -ризик відчував себе досить реальним для них, щоб уникнути небезпечної поведінки, крім прямого покарання. Використання культурних важелів, таких як тиск однолітків, корисно для його виконання.
Чудовим прикладом є знаменита кампанія «Популярні губи раковини», яку США використовували під час Другої світової війни. Це стало дуже ефективним гаслом, який зробив пліток війни непатріотичними, оскільки він зв'язав дію та наслідки разом, в той час, коли ці наслідки можуть бути дуже особистими: кохана людина може бути на цьому кораблі.
Порівняйте це з організаціями сьогодні. Як створити програму поведінки та культури безпеки, яка так само ефективна?
Організації повинні зробити порушення політики безпеки “непатріотичною”, підкреслюючи особисті наслідки кібер -ризику. Найкращий спосіб досягти цього-використовувати потужні знімки та винести речення з високим впливом у комунікації, що викликає емоційну реакцію.
Повідомлення також повинні залишатися максимально видимими – плакатами; Оголошення в бюлетенях або порталах працівників; Або, коли старші лідери обговорюють, чому даний набір цінностей важливий для компанії.
Прив’яжіть дії тісно до впливу
Люди, природно, мотивовані шукати можливості та уникати небезпеки. Зробіть наслідки – позитивними чи негативними – рішень кібербезпеки чіткими та особистими. Зосередьтеся на впливу, а не на наслідках, оскільки він відкриває можливість позитивного спілкування.
Підкреслення позитивних наслідків та моделей для наслідування далеко не змінить культурні ставлення. Додавання прикладу реальної людини також служить чіткою інструкцією для інших і демонструє їх ще більше як зразок для кібербезпеки.
Трамплін з наявними корпоративними цінностями
Простіше виховувати або змінити віру, коли вона пов'язана з тим, що люди вже вірять. Безпека часто є основною корпоративною цінністю в галузі енергетики та комунальних послуг, як і фінансова безпека в банківській справі та страхуванні, або якість – у виробництві. Пов'язуйте ці значення однозначно до кібербезпеки та використовуйте їх для посилення культурного впливу обміну повідомленнями.
Зміна культури вимагає наміру та роботи. Так само, як кібербезпека не може очікувати, що “обізнаність” зробить роботу для нас, ми не можемо просто проголосити “безпеку”. Для робочої сили необхідно встановити зв’язок.
Посилити наслідки із сприйняттям соціального тиску
Розглянемо комунікації, які грають на вбудований соціальний тиск, щоб не завдати шкоди іншим. Це добре працює в таких умовах високого ризику, як банки, або в умовах, де культура фізичної безпеки вже є нормою (наприклад, лікарні, виробництво або видобуток).
Наприклад, австралійський банк зробив порушення даних та конфіденційності реальним для своїх людей, навчаючи працівників, які зловживають вітчизняними партнерами, які можуть використовувати банк, щоб отримати житлові деталі відстороненого партнера з потенційно летальними наслідками.
У середовищах з менш властивим ризиком та вбудованою культурною обізнаністю про безпеку взагалі, що робить повідомлення про реальну людину, може мати великий вплив. Виділення людей, які роблять правильну справу як моделі для наслідування, є ефективним. Це посилює соціальний тиск, а також наводить приклад для інших.
Зробити це особистим
Цінності та переконання навколо зміни ризику, коли людина може уявити наслідки, що трапляються з ними, або з кимось, кого вони хвилюють. Зосередження обміну повідомленнями на дуже реальній загрозі, яку крадіжка ідентичності представляє для всіх, наприклад, полегшує інтерналізацію наслідків. Емпатичні зображення також допомагають у таких видах повідомлень.
Аналогічно, відігравши клопоту про дотримання контролю за безпекою, демонструє, як це призводить до проблем для інших, робить його особистим та застосовує соціальний тиск.
Зробити це весело
Гумор по суті запам'ятовується. Хоча це може бути складно підключити результати ризику жартівливо, це може залишити тривале враження, коли це робиться добре.
Наприклад, австралійська приватна школа, яка грала на старості, побоюючись, що поведінка, що порушує правила, матиме тривалу шкоду для студентів, створюючи плакат студента в уніформі, з обідньою коробкою та стеком рахунків за кредитні картки, з гаслом: ” Крадіжка особистість залишатиметься на вашому постійному записі ».
Найкращі та найбільш вражаючі повідомлення з'єднують наслідки, посилює їх із соціальним тиском, плацдармами від існуючих переконань та цінностей, є особисто відносним та ідеально цікавим. Якщо всі ці поля можуть бути поставлені на спілкування з працівниками, організації будуть більш успішними у зміні небезпечної поведінки.
Лі МакМаллен-видатний віце-президент, аналітик та співробітник Gartner у Gartner
