Три правила позитивной культуры кибербезопасности | Большие Идеи

・ Корпоративный опыт
Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»

Три правила позитивной
культуры кибербезопасности

Как проводить проверки кибербезопасности эффективно и этично

Авторы: Райан Райт , Джейсон Беннет Тэтчер

Три правила позитивной культуры кибербезопасности
Tim Robberts/ Jesada Athaput/Getty Images

читайте также

Что делать с невыносимыми клиентами

Джон Бутман

«Что я на самом деле тут делаю?!»: зачем авторитарным режимам консультанты

Калверт Джонс

«Креативные идеи появляются, когда вы не думаете»

Уволиться нельзя остаться

Владимир Рувинский

В декабре прошлого года хостинговая компания GoDaddy.com разослала 500 сотрудникам электронное письмо с предложением праздничного бонуса в размере $650. К сожалению, эти письма были отправлены не в знак признательности за хорошую работу, как говорилось в тексте. Это был тест на фишинг. Те, кто перешли по ссылке, получили вознаграждение, но не в виде денег, а в виде дополнительного тренинга по кибербезопасности.

Возможно, у вас (как и у авторов этой статьи) на работе пользуются аналогичными тестами. В 2020 году компания Knowbe4, один из крупнейших поставщиков тренингов по защите от фишинга, опубликовала отчет о применении таких решений в 17 тыс. организаций, отправивших по электронной почте 9,5 млн писем с тест на фишинг, более чем 4 млн пользователей.

Тесты на фишинг могут быть полезны для защиты пользователей, однако применение сомнительных тактик — например, предложение льгот или бонусов— может потенциально нанести ущерб отношениям между компанией и сотрудниками. В недавно опубликованном исследовании Дэн Пиента, один из четырех членов нашей команды в Бэйлорском университете, доказывает, что пользователи рассматривают кибербезопасность с точки зрения защиты. Но рассылка писем с тестами на фишинг может изменить представления адресатов, и они станут считать эти сообщения источником ущерба, а не защиты. В крупномасштабном эксперименте в реальных условиях мы обнаружили доказательства того, что тесты на фишинг могут действительно восприниматься как источник вреда, и сотрудники могут чувствовать, что организация их предает.

Учитывая, что тесты на фишинг обычно помогают специалистам по кибербезопасности выявлять пробелы в защите и укреплять их, как следует поступить организациям, чтобы сотрудники не считали их нечестными, неэтичными или несправедливыми? Наше исследование показывает, что опытные менеджеры применяют следующие три принципа, которые позволяют найти баланс между требованиями кибербезопасности и благополучием сотрудников.

Тестируйте команды, а не отдельных сотрудников. Тесты на фишинг следует применять в том же рабочем стиле и окружении, которые сложились в организации. Например, если больше внимания уделяется командной работе, тест должен быть направлен на отражение угрозы всей командой. Специалистам по кибербезопасности следует поощрять разговоры в коллективе на тему безопасности. Группа исследователей из Оклахомского и Виргинского университетов обнаружили, что с пользователями важнее строить отношения, а не барьеры. Их проект под названием Human Firewall посвящен построению отношений с сотрудниками, а не контролю над ними.

Не стыдите за ошибки. Специалистам по кибербезопасности нужно перестать ставить в неловкое положение сотрудников, допустивших ошибку. Результатом тестов на фишинг, как в вышеупомянутом примере GoDaddy, может стать наказание. Например, нам известна одна организация, где попавшимся сотрудникам вручают резинового цыпленка.

Вместо того, чтобы стыдить сотрудников, командам, отвечающим за безопасность, следует создавать культуру обмена информацией. Когда команда безопасности развивает прямые коммуникации с сотрудниками, специалистам становится проще определять, как контрмеры, такие как тесты на фишинг, влияют на культуру компании. Наши коллеги, занимающиеся организационной психологией, могут с уверенностью сказать, что, как правило, в профессиональной среде пряник оказывается эффективнее кнута. Тесты на фишинг дают возможность определить, кто справляется с задачей хорошо, и их не стоит использовать, чтобы выявлять виноватых.

Не надо вручать резинового цыпленка тому, кто провалил тест на фишинг, лучше наградить бесплатным кофе тех, кто сообщил о письме в отдел информационной безопасности и предупредил свою команду — в этом случае вы добьетесь понимания важности этой задачи. Отмечая успехи и вручая вознаграждения, вы на уровне команды уменьшаете число ошибок и создаете культурные предпосылки для усиления бдительности, и в каждом случае это помогает многие недели успешно отражать угрозы безопасности.

Геймифицируйте и вознаграждайте. Дальновидные компании обращаются к соревнованиям команд для создания позитивной культуры кибербезопасности. Во время месяца информирования о кибербезопасности Facebook награждает команды, правильно идентифицировавшие самое большое число фишинговых писем в электронной почте. Другие применяют принципы геймификации, чтобы заручиться поддержкой при использовании тестов на фишинг. Некоторые компании публикуют список команд-лидеров, выявивших больше всех фишинговых сообщений в течение определенного периода времени, и награждают их за результаты.

Важно обеспечивать обратную связь, чтобы команды, показывающие недостаточно хорошие результаты, не изменили отношение к кибербезопасности как к необходимому механизму защиты. Сотрудники отдела кибербезопасности должны консультировать команды с низкими результатами, чтобы те достигли успехов в следующих раундах игры. Затем сотрудники, отвечающие за кибербезопасность, должны оценить изменения на уровне команды и отметить прогресс. Если компания действительно хочет добиться более активного отклика от сотрудников, следует включить навыки кибербезопасности в ежегодную аттестацию команды и учитывать их совершенствование.

Мы чаще слышим о тестах на фишинг, когда что-то идет не так или компания применяет сомнительные методы тестирования. Но большинство компаний все делают правильно: относятся к ним как к возможности выявить проблемы, развивать способности сотрудников выявлять фишинговые сообщения и понимать, как ранее неизвестные виды атак влияют на информационную безопасность. При правильном применении тесты на фишинг являются важной частью любой программы кибербезопасности, но компаниям необходимо понимать, как дать сотрудникам более широкие полномочия, а не ограничить их.

Об авторах

Райан Райт (Ryan T. Wright) — профессор информационных технологий Школы коммерции Макинтайра Виргинского университета, работает директором программы Сертификата кибербезопасности для бизнес-лидеров. Его исследования посвящены человеческим и организационным элементам, помогающим защищать компании от кибератак.

Джейсон Беннет Тэтчер (Jason Bennett Thatcher) — профессор кафедры управления информационными системами Школы бизнеса Фокса Университета Темпла, изучает использование технологий, кибербезопасность и стратегические вопросы, связанные с применением информационных технологий в организациях.

* деятельность на территории РФ запрещена