- 13,646
- 20
- 8 Ноя 2022
Исследование Gartner показало, как превратить каждого сотрудника в киберзащитника.
Исследование Gartner показывает, что традиционные подходы к информированию сотрудников о киберрисках часто оказываются неэффективными в предотвращении опасного поведения. Специалисты отмечают, что для снижения числа нарушений безопасности необходимо использовать подходы, основанные на культурных и поведенческих аспектах, а не только на информировании.
Основной вывод Для просмотра ссылки Войдиили Зарегистрируйся — важно сделать последствия киберрисков более ощутимыми для сотрудников, не прибегая к наказаниям. Согласно опросу Gartner, около 93% сотрудников осознанно совершают действия, увеличивающие киберриски, а 74% готовы нарушить политику безопасности ради достижения целей в бизнесе. Одна из главных причин такого поведения — отсутствие личных последствий для сотрудников.
Эксперты рекомендуют директорам по безопасности изменять стиль коммуникаций и активно использовать общественное давление. Gartner предлагает использовать модель PIPE (People, Impact, Process, Environment), которая фокусируется на формировании культурных норм в сфере безопасности. Модель помогает сделать безопасность частью корпоративной культуры и увеличить вовлечённость сотрудников в соблюдение норм кибербезопасности.
В отчете выделены 5 ключевых тактик, которые помогут привить сотрудникам понимание личных последствий киберрисков и мотивировать к соблюдению норм безопасности, основанных на культуре организации.
<div class="dropdown" onclick="toggleDropdown('content1')">Тактика №1: Связывайте действия с конкретными последствиями <div id="content1" class="dropdown-content"> Люди естественным образом стремятся к возможностям и избегают опасностей. Поэтому важно сделать последствия решений в области кибербезопасности понятными и личными для каждого сотрудника.
<strong>Как это работает:</strong> Важно акцентировать внимание на положительных результатах безопасного поведения и подчеркивать, что такие действия способствуют развитию доверия клиентов. Например: «Когда клиенты уверены, что их данные в безопасности, это привлекает новых клиентов».
<strong>Пример:</strong> Приводите положительные примеры поведения, чтобы сотрудники могли ориентироваться на них. Например: «Анна смогла использовать синтетические данные вместо привилегированных, что упростило работу и ускорило вывод приложения на рынок».
<strong>Почему это работает:</strong> Люди начинают видеть реальные примеры последствий и выгод безопасного поведения, что мотивирует их соблюдать правила безопасности.
<div class="dropdown" onclick="toggleDropdown('content2')">Тактика №2: Основывайтесь на существующих корпоративных ценностях <div id="content2" class="dropdown-content"> Проще внедрить новые убеждения, когда они опираются на уже существующие корпоративные ценности.
<strong>Как это работает:</strong> В компаниях, где безопасность или качество уже являются важными ценностями, можно связать эти ценности с безопасностью информационной среды.
<strong>Пример:</strong> «Мы можем предсказать, когда оборудование выйдет из строя, но не можем предсказать, когда оно подвергнется атаке».
<strong>Почему это работает:</strong> Когда новая установка тесно связана с ценностями компании, сотрудникам проще принять ее. Например, если они осознают, что безопасность данных влияет на финансовые результаты компании, это побуждает их к действиям.
<div class="dropdown" onclick="toggleDropdown('content3')">Тактика №3: Усиливайте последствия через общественное давление <div id="content3" class="dropdown-content"> Люди склонны более консервативно подходить к рискам, которые касаются других людей, чем к тем, что касаются их лично.
<strong>Как это работает:</strong> Создание осознания того, что действия каждого сотрудника могут повлиять на окружающих, может существенно повысить их приверженность правилам безопасности.
<strong>Пример:</strong> «Утечка данных может разрушить чью-то жизнь».
<strong>Почему это работает:</strong> Чувство ответственности перед коллегами и окружающими помогает формировать культуру осознания рисков и придерживаться правил безопасности.
<div class="dropdown" onclick="toggleDropdown('content4')">Тактика №4: Сделайте угрозу персональной <div id="content4" class="dropdown-content"> Сотрудники начинают больше осознавать важность безопасности, если могут представить последствия нарушений для себя или своих близких.
<strong>Как это работает:</strong> Важно показать, что последствия нарушений могут затронуть каждого, включая личные данные и финансовую безопасность.
<strong>Пример:</strong> Постер с надписью «Если смена пароля кажется неудобной, попробуй сменить личность» подчеркивает, насколько серьезными могут быть последствия для каждого.
<strong>Почему это работает:</strong> Когда последствия становятся личными и ощутимыми, сотрудники начинают воспринимать их всерьез и действуют более осознанно.
<div class="dropdown" onclick="toggleDropdown('content5')">Тактика №5: Используйте юмор и делайте обучение увлекательным <div id="content5" class="dropdown-content"> Юмор — мощный инструмент, который помогает сделать информацию запоминающейся.
<strong>Как это работает:</strong> Мемы и юмористические фразы, касающиеся безопасности, делают процесс обучения менее формальным и более доступным.
<strong>Пример:</strong> Постер с изображением ребёнка в школьной форме и кредитными счетами с надписью «Кража личности останется в твоем постоянном досье».
<strong>Почему это работает:</strong> Юмор облегчает восприятие серьёзных тем, делает их более доступными и помогает запомнить информацию надолго.
Прогнозируется, что к 2027 году половина компаний будет переходить от фокуса на «индивидуальную осведомленность» к подходу, ориентированному на «групповые нормы поведения». Такой подход более эффективно связывает осознание рисков с реальным поведением сотрудников.
Исследование также подчеркивает, что культурное восприятие безопасности требует постоянных усилий со стороны руководства. В частности, важна поддержка со стороны старших менеджеров, которые могут демонстрировать, что безопасность — это приоритет компании, и это должно стать общепринятой корпоративной нормой.
Исследование Gartner показывает, что традиционные подходы к информированию сотрудников о киберрисках часто оказываются неэффективными в предотвращении опасного поведения. Специалисты отмечают, что для снижения числа нарушений безопасности необходимо использовать подходы, основанные на культурных и поведенческих аспектах, а не только на информировании.
Основной вывод Для просмотра ссылки Войди
Эксперты рекомендуют директорам по безопасности изменять стиль коммуникаций и активно использовать общественное давление. Gartner предлагает использовать модель PIPE (People, Impact, Process, Environment), которая фокусируется на формировании культурных норм в сфере безопасности. Модель помогает сделать безопасность частью корпоративной культуры и увеличить вовлечённость сотрудников в соблюдение норм кибербезопасности.
В отчете выделены 5 ключевых тактик, которые помогут привить сотрудникам понимание личных последствий киберрисков и мотивировать к соблюдению норм безопасности, основанных на культуре организации.
<div class="dropdown" onclick="toggleDropdown('content1')">Тактика №1: Связывайте действия с конкретными последствиями <div id="content1" class="dropdown-content"> Люди естественным образом стремятся к возможностям и избегают опасностей. Поэтому важно сделать последствия решений в области кибербезопасности понятными и личными для каждого сотрудника.
<strong>Как это работает:</strong> Важно акцентировать внимание на положительных результатах безопасного поведения и подчеркивать, что такие действия способствуют развитию доверия клиентов. Например: «Когда клиенты уверены, что их данные в безопасности, это привлекает новых клиентов».
<strong>Пример:</strong> Приводите положительные примеры поведения, чтобы сотрудники могли ориентироваться на них. Например: «Анна смогла использовать синтетические данные вместо привилегированных, что упростило работу и ускорило вывод приложения на рынок».
<strong>Почему это работает:</strong> Люди начинают видеть реальные примеры последствий и выгод безопасного поведения, что мотивирует их соблюдать правила безопасности.
<div class="dropdown" onclick="toggleDropdown('content2')">Тактика №2: Основывайтесь на существующих корпоративных ценностях <div id="content2" class="dropdown-content"> Проще внедрить новые убеждения, когда они опираются на уже существующие корпоративные ценности.
<strong>Как это работает:</strong> В компаниях, где безопасность или качество уже являются важными ценностями, можно связать эти ценности с безопасностью информационной среды.
<strong>Пример:</strong> «Мы можем предсказать, когда оборудование выйдет из строя, но не можем предсказать, когда оно подвергнется атаке».
<strong>Почему это работает:</strong> Когда новая установка тесно связана с ценностями компании, сотрудникам проще принять ее. Например, если они осознают, что безопасность данных влияет на финансовые результаты компании, это побуждает их к действиям.
<div class="dropdown" onclick="toggleDropdown('content3')">Тактика №3: Усиливайте последствия через общественное давление <div id="content3" class="dropdown-content"> Люди склонны более консервативно подходить к рискам, которые касаются других людей, чем к тем, что касаются их лично.
<strong>Как это работает:</strong> Создание осознания того, что действия каждого сотрудника могут повлиять на окружающих, может существенно повысить их приверженность правилам безопасности.
<strong>Пример:</strong> «Утечка данных может разрушить чью-то жизнь».
<strong>Почему это работает:</strong> Чувство ответственности перед коллегами и окружающими помогает формировать культуру осознания рисков и придерживаться правил безопасности.
<div class="dropdown" onclick="toggleDropdown('content4')">Тактика №4: Сделайте угрозу персональной <div id="content4" class="dropdown-content"> Сотрудники начинают больше осознавать важность безопасности, если могут представить последствия нарушений для себя или своих близких.
<strong>Как это работает:</strong> Важно показать, что последствия нарушений могут затронуть каждого, включая личные данные и финансовую безопасность.
<strong>Пример:</strong> Постер с надписью «Если смена пароля кажется неудобной, попробуй сменить личность» подчеркивает, насколько серьезными могут быть последствия для каждого.
<strong>Почему это работает:</strong> Когда последствия становятся личными и ощутимыми, сотрудники начинают воспринимать их всерьез и действуют более осознанно.
<div class="dropdown" onclick="toggleDropdown('content5')">Тактика №5: Используйте юмор и делайте обучение увлекательным <div id="content5" class="dropdown-content"> Юмор — мощный инструмент, который помогает сделать информацию запоминающейся.
<strong>Как это работает:</strong> Мемы и юмористические фразы, касающиеся безопасности, делают процесс обучения менее формальным и более доступным.
<strong>Пример:</strong> Постер с изображением ребёнка в школьной форме и кредитными счетами с надписью «Кража личности останется в твоем постоянном досье».
<strong>Почему это работает:</strong> Юмор облегчает восприятие серьёзных тем, делает их более доступными и помогает запомнить информацию надолго.
Прогнозируется, что к 2027 году половина компаний будет переходить от фокуса на «индивидуальную осведомленность» к подходу, ориентированному на «групповые нормы поведения». Такой подход более эффективно связывает осознание рисков с реальным поведением сотрудников.
Исследование также подчеркивает, что культурное восприятие безопасности требует постоянных усилий со стороны руководства. В частности, важна поддержка со стороны старших менеджеров, которые могут демонстрировать, что безопасность — это приоритет компании, и это должно стать общепринятой корпоративной нормой.
- Источник новости
- www.securitylab.ru
