Информационная безопасность: что может сделать HR

Тема информационной безопасности заботит владельцев бизнеса, но, как показывает практика, наладить работу с персоналом так, чтобы избежать хотя бы утечек из-за халатности, удается немногим. О том, как HR может помочь сохранить тайны бизнеса, рассказывает эксперт «Работы.ру»
Кирилл Медведев,
HR-директор компании SearchInform
Подразделение IBM Security и исследователи Institute for Business Value (IBV) опросили более 700 руководителей высшего звена компаний из 18 отраслей и 28 стран. И лишь 57% директоров по персоналу сообщили, что проводят тренинги по кибербезопасности. А ведь это базис, на котором строится любая система безопасности. Прошлогоднее исследование SearchInform на постсоветском пространстве показало иную цифру: инструктируют сотрудников по вопросам информационной безопасности 72% организаций. Однако уровень защищенности по-прежнему оставляет желать лучшего.

Проблема в том, что персонал не понимает проблемы


Для рядового сотрудника информационная безопасность — это антивирус на компьютере. На работе он стоит по умолчанию, есть и на личном ПК. А почему? Потому что скачал когда-то музыку неудачно — и машина накрылась, пришлось везти в ремонт. Это понятный человеку опыт: причинно-следственная связь здесь очевидна. А все, что под информационной безопасностью имеют в виду сотрудники службы безопасности и служб информационной безопасности, сотруднику неясно.

Инструктажи, написанные сухим канцелярским языком, не объясняют, почему нельзя передавать персональные пароли доступа и игнорировать системные сообщения. А без этого нет понимания, чем чреваты нарушения. Люди не будут соблюдать даже простейшие техники безопасности, если не поймут, зачем это нужно.

Второй аспект проблемы: отсутствие личной заинтересованности. Данные, которые стремится защитить владелец бизнеса, не представляют особой важности для сотрудника, потому что а) это не его и б) разглашение обернется для него в крайнем случае штрафом или увольнением. Поэтому работа с персоналом так или иначе должна строиться на мотивации, и проводить её нужно постоянно.

HR не должен быть «отделом по борьбе с персоналом»

Для постсоветского пространства самый простой способ привлечь штат к соблюдению техник ИБ — запугать. Увы, когда речь не идет о личной заинтересованности, у нас работают только 90% кнута и 10% пряника.
Гораздо более действенные варианты — наладить партнерские или даже дружеские отношения с сотрудниками. Для сплоченного коллектива, который сходится во взглядах на жизнь, работу и разделяет общие ценности компании, информационная безопасность — в какой-то мере личный интерес. Но, во-первых, это сложнее, поскольку предполагает манипуляции. А во-вторых, мешает банальная нехватка времени: нашим управленцам некогда «дружить» с каждым сотрудником. И потому модель менеджмента все больше походит на американскую, где человек — винтик, который согласился выполнять конкретные задачи за согласованное вознаграждение. Между ними сделка — и ничего личного.

Универсальных советов о том, как обойти эти проблемы и наладить доверительные отношения в коллективе, нет, все очень ситуативно. Но даже тем, кто уже работает «по классике» — запугать, — советую пересмотреть подход. Вместо того чтобы взыскивать с сотрудника за оплошность, грозить остальным и бороться с последствиями плохо налаженной работы, переведите формальные инструктажи на простой человеческий язык, регулярно напоминайте о технике безопасности и проверяйте ее соблюдение на практике. Как только сотрудники привыкнут к правилам, HR прекратит быть «отделом по борьбе с персоналом».
Информировать мало ­— помогите усвоить

Пренебрежение сотрудников техникой безопасности — проблема не инструктажей как таковых, а подачи. Если при устройстве на работу человеку дают на подпись формальный документ, то и отношение к нему будет формальным. Совсем иное — очный инструктаж, когда сотрудник компании рассказывает новичку, как вести себя в тех или иных случаях, и приводит примеры оплошности, которые не стоит повторять. Кроме вводных полезно практиковать дополнительные инструктажи (в случае выявления нарушений, как для виновника инцидента, так и для всего штата), а также периодические инструктажи, чтобы персонал не забывал о важности соблюдения правил.
Имеет смысл готовить и печатные материалы, чтобы люди могли обратиться к ним, когда возникнет необходимость. Но стандартным документам можно предпочесть плакаты и брошюры; время от времени памятки с правилами могут приходить в виде корпоративной рассылки.
Еще одно слабое звено в этой цепочке — отсутствие контроля усвоения информации. Проводить тестирование полезно как по результатам обучения, так и внепланово для всего персонала: постоянные проверки (и вероятность проведения новых без предупреждения) будут держать команду в тонусе. И, конечно, нельзя забывать про ответственность. Проверки ради проверок не имеют смысла: сотрудники должны осознавать, что несоблюдение правил чревато взысканиями.

Дань моде: геймификация

Прогрессивные менеджеры все чаще внедряют игровые техники в бизнес-процессы, но я убежден, что они неуместны, когда речь идет об информационной безопасности. Конечно, цель геймификации — изменить поведение человека в нужном ключе — сопоставима с целями ИТ- и HR-отделов в нашем контексте. Но любая игровая методика работает на позитивном опыте пользователя, тогда как суть инструктажей сводится к отсутствию негативного. Индикаторы прогресса, списки лидеров и публичная похвала хороши для мотивации профессионального роста, увеличения активности продаж или шаринга в соцмедиа, но не в сфере, которая требует серьезного отношения. Элемент юмора без объяснения последствий убирает важный акцент: правила обязательны к исполнению. Поэтому дополнительную мотивацию, в частности, и в игровой форме, можно пробовать вводить, но в качестве эксперимента.

Модели управления из новых учебников по менеджменту — это калька, которую можно попробовать наложить на реальность. Где-то реальность порвет эту кальку, где-то рисунок встанет на место. Исход определит социокультурная среда и бизнес-процессы, уже налаженные в компании. Сказать наверняка, сработает тот или иной прием, нельзя.