Журнал о системах электронного документооборота (СЭД)
Информационная безопаснось в ECM

Как сохранить лояльность сотрудников при усилении мер безопасности

  0 комментариев Добавить в закладки

Эрика Морфи

От редакции: представляем вам перевод статьи журналистки из Нового Орлеана Эрики Морфи, которая уже более 20 лет занимается изучением технологий и ее бизнес-последствий. И комментарий нашего эксперта Андрея Ардашева, специалиста по облачным технологиям.  Вопрос как сохранить лояльность сотрудников, при усилении мер безопасности, является важным и для российских компаний.

PHOTO: Johny Goerend  10 мая в прессу попал внутренний документ IBM. После этого случая работникам запретили использовать такие переносные устройства, как USB или флеш-память, для хранения данных. «Голубой гигант» (прим.  ред.: распространенное прозвище компании IBM) сообщил, что это положило начало внедрению политики безопасности в офисах по всему миру. Основанием, подтолкнувшим их к такому шагу, стало стремление свести до минимума «возможный финансовый ущерб и подрыв репутации от забытых, потерянных или не используемых устройств хранения». Сотрудникам для переноса данных было рекомендовано использовать закрытую корпоративную сеть IBM. Во внутреннем меморандуме было отмечено, что решение может показаться деструктивным некоторым работникам IBM.

В итоге так и случилось. Согласно сообщениям прессы, сотрудники были не довольны. После того, как документ просочился в прессу, издание The Register сообщило: «После публикации этой истории, до нас дошли слухи, что IBM приняла к сведению жалобы персонала по поводу запрета на съемные носители информации, особенно во время обновлений программного обеспечения, и рассматривает некоторые исключения».

Давайте признаем очевидное: компания имеет право настаивать на требованиях по использованию данных, особенно если это касается безопасности. Возможно, IBM ошиблась в способе убеждения сотрудников избавиться от этих устройств – используя приказ практически без предварительного уведомления.

Казалось бы, простое распоряжение

Решение IBM запретить использование запоминающих устройств типа USB-накопителей на рабочих местах кажется легко осуществимым. Персонал хорошо разбирается в технических требованиях и знает о необходимости соблюдения правил безопасности. Также у них есть развитая внутрикорпоративная сеть, которую можно использовать вместо переносных устройств.

Но если есть намеки на бунт даже при таких благоприятных обстоятельствах, встает вопрос: как компания может убедить работников принять изменения? Особенно в области безопасности, ведь постоянные предупреждения об угрозах и рисках могут превратиться для них в фоновый шум. Даже грамотные работники, которые хорошо разбираются в информационной безопасности, могут противиться изменениям, хотя знают, что это только к лучшему.

Начнем с обучения

«Люди будут стараться обойти внесенные вами изменения», – Ричард Хендерсон, стратег по безопасности Absolute Software. Иногда это получается непреднамеренно, они просто хотят оставаться в зоне комфорта. Но некоторые работники будут намеренно пытаться идти в обход. Другие могут принять пассивно-агрессивную позицию и игнорировать последующие напоминания о предстоящих изменениях до самой последней минуты. «Ваше самое сильное оружие в этой борьбе – обучение: людям нужно понять причину изменений, почему это так важно для бизнеса и почему их необходимо соблюдать», – говорит Хендерсон. «Самые рациональные люди, хоть и будут недовольны изменениями, неохотно, но примут их, если вы предоставите им сильное и понятное обоснование».

Это только первый шаг. Компаниям нужно продолжать делать напоминания и проводить тренинги, если это необходимо. Но иногда даже этого недостаточно. Ниже приведены советы для любой компании, которая может оказаться в такой же ситуации, пытаясь убедить своих сотрудников изменить свои рабочие привычки, как IBM.

1.  План медленного перехода

«Важно дать сотрудникам время для изменения привычек», – говорит Стив Ванг, основатель «Mock Interview». Сколько бы вы не планировали времени на изменения, скорее всего, это будет длиться в 2 раза дольше.

2.  Принимайте это как маркетинговую кампанию

Дэннис Дилман, исполнительный директор «FishLine» (платформа для тренингов по безопасности, основанная «Barracuda Networks») советует компаниям развивать инициативу по обеспечению безопасности, чтобы напоминать работникам о ее важности. «Думайте, как маркетолог. Как правильно выразить идею, чтобы работники ее приняли и запомнили?». Он советует присвоить инициативе тему, например, «Поднять щиты», а затем включить эту тему в существующие программы. «Установите внутренние процедуры для сообщения об угрозах безопасности, спаме или фишинга в закладку «Поднять щиты» в вашей корпоративной сети», – рекомендует Дэннис.

3.  Сделайте безопасность частью процесса найма сотрудников

Обращайте особое внимание на безопасность во время процесса приема на работу. Таким образом, потенциальные работники сразу могут понять, что это часть корпоративной культуры, говорит Ник Варгас, технический директор Switchfast. «Включите это в правила внутреннего трудового распорядка и сделайте частью любого документа, который кандидаты подписывают при приеме на работу».

4.  Создайте сообщение «сверху»

Вы же не хотите, чтобы такие крупные изменения шли от менеджера среднего уровня. «Вам нужен указ руководства высшего звена, владельца компании. Именно он должен рассказать сотрудникам, что это важно для организации и почему», – комментирует Варгас.

5.  Объясняйте почему и подходите к этому индивидуально

Любое представленное вами изменение должно быть обосновано. В случае с безопасностью, оно должно выходить за рамки простого «так будет безопаснее». «Вы должны все объяснять в индивидуальном порядке», – считает Варгас. Например, если вы разговариваете с отделом по работе с персоналом, вы можете рассказать им о ситуации, когда в HR-отдел приходит письмо якобы от генерального директора, который просит предоставить данные о всех работниках. И только потому, что сотрудник не заметит, что это не корпоративный адрес, все личные данные работников могут быть скомпрометированы. Или, если вы говорите с представителями службы поддержки клиентов, можно рассказать историю о том, как один из сотрудников нажал на ссылку из фишинг-письма. В итоге, он занес вирус, который раскрывает всю информацию о клиентах. «Конечно, это тактика запугивания, но иногда это единственный способ встряхнуть людей, помешанных на своей точке зрения», – считает Варгас.

6.  План для исключительных ситуаций

В правилах безопасности всегда будут исключения. «Другие сотрудники будут думать, что вы заводите любимчиков, а это может внести раздор между коллегами», – говорит Ричард Хендерсон из Absolute Software. Он советует проверять и обосновывать запросы на исключение в компаниях, также, как и добавление дополнительных уровней защиты для конкретных пользователей, чтобы снизить риски.  

Перевод: Екатерина Зоренко

Комментарий эксперта

Андрей Ардашев, архитектора облачных решений компании DIRECTUM

Защита от USB-устройств – это лишь верхушка айсберга. В статье не было сказано про так называемые "теневые облачные сервисы", которыми так и будут пользоваться работники (Evernote, online-хранилища OneDriwe, Google Drive, Yandex.Disk, различные офисные сервисы MS Office 365, Google Docs, WPS). Фактически, сотрудники которые используют такие сервисы публикуют во внешние сервисы секретную корпоративную информацию, так как «это удобно». 

Флешки используются все меньше и меньше в офисной среде, в связи с распространением мобильных устройств, на которые удобнее переносить информацию из облака или напрямую из корпоративной системы.

Уже с момента появления флеш-накопителей системные администраторы начали деактивировать USB-порты на рабочих местах через BIOS, а доступ в BIOS запароливать. Это один из best practice системного администрирования.

С другой стороны, если представить, например, что злоумышленник разбросает красивые подготовленные flash-накопители на корпоративной стоянке, в зоне ресепшен, «курилке» и т.д., то кто-нибудь ведомый интересом посмотреть, находится на флешке найдет способ это сделать. Либо заразит свое рабочее место, либо домашний компьютер, а затем и корпоративную сеть.

Так что проблема информирования работников до сих пор актуальна.

 

Источник: CMSWire.com

Ещё материалы автора
Похожие записи
Комментарии (0)
Сейчас обсуждают
Больше комментариев