Приближается конец финансового года, и вопросы управления бюджетом волнуют миллионы людей. По всему миру есть только одна область с бесконтрольным ростом расходов: безопасность данных. По оценкам, через два года расходы компаний на обеспечение кибербезопасности достигнут баснословной суммы – 1 триллиона долларов США. И этот показатель не преувеличен. Только за 2018 год киберпреступность привела к выплате компенсаций в размере 1 триллиона долларов США, а к 2021 году эта цифра должна вырасти до 6 триллионов.
Пока компании инвестируют астрономические суммы на управление процессами и внедрение технологий, они часто забывают о третьем немаловажном факторе кибербезопасности – людях. Удивительно, но 90% кибератак и случаев разглашения информации вызваны человеческим фактором, а не техническими сбоями.
Теперь вовлечение персонала – задача информационной безопасности
В некоторой степени ошибки неизбежны, но вовлечение персонала может предотвратить добровольное нарушение протоколов безопасности и избежать инцидентов, допущенных по неосторожности.
Безразличное отношение сотрудников – одна из самых важных проблем обеспечения безопасности в компании. По данным проведенного исследования, 22% случаев нарушения безопасности данных были совершены по злому умыслу сотрудников, а 65% стали результатом халатности. Безразличные сотрудники в большей степени подвержены внешним манипуляциям, более склонны оставлять системы незащищенными по неосторожности и подвергаются большему риску «слива» конфиденциальной информации компании. Фактически вероятность утечки данных от незаинтересованных сотрудников выше в 5 раз.
3 самые распространенные причины безразличия сотрудников к обеспечению информационной безопасности:
1. Изменилось отношение к владению данными и защите конфиденциальной информации
Миллениалы не помнят своей жизни без Интернета и спокойно относятся к его проникновению во все аспекты жизни. Кроме того, популярность социальных сетей привела к появлению культуры распространения информации. Не зная, кто сидит по другую сторону экрана, люди делятся личными подробностями своей жизни дома и на работе.
Это привело к низкому уровню восприятия стандартов и процедур защиты данных, принятых в компаниях. Миллениалы больше других возрастных категорий повторно используют один и тот же пароль, а 60% из них «большую часть времени» открыты к контактам с незнакомцами. Также нет единого мнения, кому принадлежат данные, созданные в процессе работы. 72% миллениалов считают, что имеют право на данные, в разработке которых они участвовали, тогда как среди представителей поколения «бэби-бума» так считают только 41%.
2. Это сложный и деликатный вопрос
Стремительное развитие технологий опережает нашу способность к адаптации. Поэтому компании разработали протоколы безопасности и регулярно их обновляют для контроля над доступом к конфиденциальным данным. Двухфакторная аутентификация, VPN, управление мобильными устройствами и прочие технологии и программы могут показаться обычному человеку сложными для восприятия.
Большинство Интернет-пользователей просто в нужной степени не понимают положения последних стандартов безопасности и лучшие методики их применения. Помимо этого, некоторые программы обеспечения безопасности требуют установки приложений или предоставления доступа к персональным устройствам. Сотрудники начинают считать это вторжением в личное пространство.
3. Отсутствие взаимодействия и сотрудничества с департаментом ИТ
Даже если ИТ-отдел разработал лучшие планы защиты данных, их труды могут быть напрасны, если другие сотрудники организации их не понимают. Сотрудники ИТ-отдела должны поддерживать осведомленность по вопросам безопасности данных и способствовать совместной работе всех сотрудников для предотвращения потери данных или нарушения их безопасности.
Возникают проблемы, если нетехнические специалисты не могут понять суть сообщений или чувствуют, что не участвуют в обсуждении. Так сложилось, что ИТ-специалисты не получают достаточной подготовки для ведения коммуникации с другими сотрудниками, поскольку большую часть времени тратят на техническую работу и выполнение процессов.
3 способа предотвращения потери или кражи данных благодаря активному участию персонала
1. Напоминание о сохранении бдительности
Каждый в организации несет ответственность за защиту данных. Когда сотрудники вовлечены в процесс и чувствуют личную ответственность за защиту организации и друг друга, они будут активно участвовать в программах безопасности данных и тщательно соблюдать конфиденциальность информации. Когда все в компании, а не только ИТ-отдел, заинтересованы в сохранении конфиденциальности, риски разглашения сокращаются.
2. Предоставление информации от ИТ-отдела в доступном виде
Обеспечение функционирования технических систем и принятие мер безопасности – обязательный минимум обеспечения кибербезопасности в современном мире. Активный руководитель ИТ-отдела найдет время на обучение сотрудников и взаимодействие с руководителями других отделов для информирования об опасностях и средствах защиты.
Заинтересованные ИТ-специалисты будут общаться с коллегами и повышать их осведомленность об инициативах по защите данных. Такое инвестирование времени поможет организации подготовиться к реагированию на любые внутренние и внешние угрозы.
3. Предотвращение кражи данных
Мотивированный сотрудник, неравнодушный к защите своей компании и коллег, менее склонен к участию в краже данных. Активные работники лучше других знакомы с руководствами компании по работе с данными и знают возможные последствия их нарушения.
Как руководители ИТ-отделов могут повысить мотивацию сотрудников в вопросах безопасности
1. Определить последствия для бизнеса
Нетехническим специалистам бывает сложно понять, как происходит нарушение безопасности данных и какие могут быть последствия. ИТ-специалистам нужно говорить с другими сотрудниками на одном языке и рассказать об угрозах так, чтобы они поняли и смогли применить.
Выделите потенциальные риски и последствия для бизнеса от кибератак и кражи данных. По возможности укажите финансовые последствия с указанием числовых данных, чтобы прояснить ситуацию. Когда сотрудники, а особенно руководство, смогут визуализировать прямые последствия нарушений на их работу, они с большей вероятностью будут соблюдать рекомендации и руководства по обеспечению безопасности.
2. Определить персональный риск
Каждый сотрудник должен знать, как угроза безопасности может повлиять на компанию, но всегда есть те, кто относится к этим вопросам несерьезно.
Главное – привлечь внимание к личной угрозе нарушения правил безопасности для каждого сотрудника. Помимо бизнес-данных, компании хранят большое количество личных данных о сотрудниках и их семьях. Данные социального обеспечения, адреса, номера телефонов, имена членов семей и многое другое может храниться в корпоративных системах и подвергаться угрозам в той же степени, что и данные компании. Соблюдение стандартов кибербезопасности – в интересах каждого.
3. Научите ИТ-отдел навыкам коммуникации с другими отделами
Для понимания планов и процессов безопасности они должны быть доступны всем сотрудникам компании. Инвестируйте в обучение навыкам коммуникации ИТ-специалистов, чтобы они могли налаживать взаимодействие с другими отделами. Попросите специалистов по вопросам коммуникации помочь информировать компанию об инициативах по обеспечению безопасности. Воспользуйтесь решением для управления совместной работой, чтобы люди узнали о процедурах и процессах информационной безопасности.
Использование такого инструмента, как Wrike, в качестве единого источника достоверных данных объединяет всю важную информацию в одном месте с возможностью автоматического обновления. Кроме того, инструменты управления совместной работой позволяют наладить свободный обмен данными и обеспечить защиту конфиденциальной информации.
Мотивированные сотрудники – ваша лучшая защита
Кибербезопасность требует подхода с учетом трех факторов: технологии, процессы и люди. У руководителей ИТ-отделов большой фронт работ. Мы живем в сложном изменчивом мире, в котором каждый день появляются новые угрозы безопасности. Помимо того, чтобы поддерживать безопасность компаний, руководители ИТ-отделов также должны внедрять инновации и обеспечивать свободный обмен данными между командами.
Когда речь заходит о защите организаций от внутренних и внешних угроз, внедрении новых инициатив по защите данных и сокращении рисков, лучшей инвестицией ИТ-отдела будет повышение мотивации персонала.