За 2018 год собственные сотрудники нанесли компаниям намного больше ущерба в информационной безопасности, чем внешние атаки. По данным InfoWatch, 89% случаев утечек данных произошло из-за умышленного или случайного несоблюдения правил безопасности.
Показательная история случилась в начале 2019 года в Mar-a-Lago — флоридском фешенебельном клубе президента США Дональда Трампа. Сотрудники службы безопасности задержали подозрительную гражданку из Китая. С собой у нее были несколько мобильных телефонов, флешка с неизвестным ПО и прочие странные гаджеты. Злоумышленницу остановили, флешку отобрали и подключили к рабочему компьютеру одного из сотрудников службы безопасности, стали проводить допрос. Кстати, если вас не насторожила предыдущая фраза, то информационная безопасность вашего бизнеса под угрозой. Впрочем, так же, как данные на компьютере незадачливого сотрудника охраны президента, на который автоматически начало устанавливаться шпионское ПО с вставленной в него китайской флешки.
Вот так, одной нелепой ситуации достаточно, чтобы данные компании попали под угрозу. Но, если использовать несколько простых принципов в ежедневной операционной деятельности, можно улучшить ситуацию с информационной безопасностью достаточно быстро, особенно если обратить на это внимание прямо сейчас.
Безопасность с самого начала
Нет смысла надеяться на отдельных специалистов по информационной безопасности и регламенты, внешний аудит или инструменты повышения безопасности разработки, если у разработчиков и системных администраторов отсутствует понимание, что систему изначально необходимо проектировать как безопасную.
Внешний аудит, который проведут на поздних стадиях разработки продукта, может выявить серьезные недостатки. Но, чтобы устранить их, придется полностью переписывать компоненты приложения. Большим компаниям это грозит серьезными тратами, а для стартапов последствия могут быть еще более болезненными, вплоть до закрытия. Именно поэтому руководителям важно донести до своего коллектива, что сохранность корпоративной тайны зависит от каждого сотрудника на каждом этапе — от разработки нового продукта до его внедрения и использования.
Каждый сотрудник — часть культуры
Наиболее надежный способ заставить людей что-то делать — убедить их в том, что это на самом деле нужно и важно, чтобы они воспринимали корпоративную идею как свою собственную. Идея становится привычной, если сделать из нее традицию или своего рода ритуал. Традицию будут с легкостью и интересом принимать, при этом выполняя предписания и регламенты без дополнительного контроля со стороны руководства. В коллективе появится система саморегуляции: сотрудники сами начнут следить за тем, чтобы все вокруг, в том числе коллеги-новички, также не нарушали негласных правил.
Некоторые из идей приживаются особенно хорошо и, однажды зародившись, пользуются особенной популярностью во всей компании — к большому удовольствию сотрудников. Например, в нашей компании есть такая традиция: если сотрудник оставил компьютер незаблокированным и покинул рабочее место, то коллеги могут беспрепятственно воспользоваться его рабочим местом и, например, написать от его имени нелепые посты в соцсетях или комментарии на внутреннем портале компании.
Сотрудников высшего звена это правило тоже касается. Например, как-то раз топ-менеджер одной технологической компании забыл на кофе-пойнте набор дорогого оборудования. Его коллеги из внутренней службы безопасности спрятали эту коробку и стали ждать, когда потеря обнаружится. Каково же было их удивление, когда за ней никто так и не пришел. Оказалось, менеджер просто заказал новый комплект. Вывод тут простой: не стоит щадить топ-менеджеров, правила должны быть едины для всех.
Помощь вместо регламентов
Конечно, нельзя полностью отменить письменные правила и регламенты, которые регулируют информационную безопасность в компании. Но нужно помнить, что они работают только тогда, когда понятны сотрудникам. Формальность в этом вопросе сыграет в обратную сторону. Например, сложный юридический язык плохо воспринимается сотрудниками. В результате они не читают правил безопасности, а в большинстве случаев просто расписываются в листе ознакомления с документом. В чем тогда смысл этих правил? Необходимо помочь сотруднику разобраться в основных принципах безопасности и моделях потенциальных угроз на простых и понятных ему примерах, а также рассказать о последствиях, которые могут грозить компании и каждому отдельному работнику при потере важных корпоративных данных.
Представьте, например, что вы — сотрудник финансового департамента в благополучной небольшой компании. Что вы будете делать, если вдруг вам напишет руководитель и попросит перевести деньги с корпоративного счета неизвестному контрагенту без договора и даже без счета? Конечно, есть вероятность, что это действительно важная непредвиденная ситуация и ваш руководитель просто не может сейчас позвонить. Но, с большой долей вероятности, почтовый адрес отправителя просто подменили, а вы рискуете отправить деньги кому-то другому. Нужно уметь отличать типичные ситуации от мимикрирующих под них. В регламенте всех подобных случаев не опишешь, но можно привить культуру перепроверять договоры и переводы больше определенной суммы.
Сохранить корпоративные данные можно только тогда, когда информационная безопасность не зависит от жестких регламентов компании. Важно, чтобы сотрудники понимали принципы информационной безопасности и могли мыслить вне шаблонов и жестких рамок инструкций. Это должно стать частью корпоративной культуры.
Геймификация для мотивации
Идеально, если процесс обучения сотрудников получится геймифицировать — например, ввести систему виртуальных уровней и поощрений для тех, кто изучил определенные темы по информационной безопасности и прошел тестирование.
В нашей компании проверили эффективность геймификации на системе мотивации сотрудников. Структура ее такова: у каждого работника есть виртуальный парк динозавров. В нем живут тирексы — наши маскоты, то есть персонажи-талисманы. Раз в месяц появляется новый динозавр, которого нужно вырастить. Для этого нужно больше взаимодействовать с коллегами, говорить им спасибо за помощь в рабочем процессе, отправлять бейджи и т. д. За каждое из этих действий сотрудник получает бейджи и «спасибо» от коллег. Чем больше внутренних «спасибо» получит сотрудник, тем упитаннее будет его динозавр. Если же «спасибо» не появятся, то тирекс отправляется не в динопарк, а парит над ним в образе духа. Это дополнительно мотивирует сотрудников взаимодействовать друг с другом напрямую на уровне горизонтальных связей между департаментами, а также не стесняться делиться фидбэком о совместной работе, так как система поощряет именно такое поведение.
На сегодняшний день игра пользуется популярностью. За прошлый год 80% сотрудников отправили друг другу 3655 «спасибо» и 1569 бейджей. В дальнейшем планируем игру развивать, добавлять новые уровни и задачи, в том числе по информационной безопасности.
С точки зрения стоимости разработки подобной системы система геймификации не была очень дорогостоящей. На момент ее создания мы как раз внедрили и начали поддерживать внутренний корпоративный портал, на котором существует блок с информацией и функциями, которые относятся к HR-направлению (структура компании, графики отпусков, система ревью сотрудников и т. д.). Система геймификации стала одним из модулей этой системы и в общей стоимости проекта не заняла значимого объема.
Автор: Олег Любимов, генеральный директор Selectel
selectel.ru