Почему кибербезопасность так важна вашей компании

Ваши люди — это прямой доступ к данным, системам и процессам. Выстроив культуру кибербезопасности внутри компании, вы снижаете экономические риски

Сергей Бочкарев
Генеральный директор «АйТи Бастион»

Сергей Бочкарёв имеет более 10 лет управленческого опыта в области информационных технологий и информационной безопасности. Начинал карьеру с позиции менеджера по работе с предприятиями нефтегазовой отрасли, есть опыт работы в продажах, в подразделениях по развитию ИТ и ИБ-бизнеса. Руководит «АйТи Бастион» с осени 2021 года.

Драйверы экономики — крупные компании — не хотят вести бизнес с поставщиками, которые могут стать причиной инцидентов информационной безопасности. Поэтому контрагенты, способные продемонстрировать защищенность своих ИТ-ресурсов, уже имеют преимущество над конкурентами.

Кибербезопасность не была бы проблемой, если бы ее можно было решить путем выделения дополнительных бюджетов на закупки новейших технологий. К сожалению, даже суперсовременные средства защиты информации не гарантируют, что однажды сотрудник не нажмет не ту ссылку или не загрузит вредоносный файл во время работы над важным проектом с заказчиком.

Большинство громких утечек и других инцидентов информационной безопасности происходят именно по вине людей. Поэтому обеспечение кибербезопасности бизнеса требует не только внедрения надежного софта проверенных вендоров, но и создания соответствующей культуры внутри вашей организации. Это означает, что все члены команды должны осознавать ценность безопасного поведения в цифровом пространстве.

Мои наблюдения за бизнес-сообществом показывают, что сформировать культуру кибербезопасности внутри компании не так уж и сложно, а эффект оказывает прямое влияние на снижение рисков.

Создание сильной культуры кибербезопасности — это нечто большее, чем просто указывать сотрудникам, что им следует делать. Руководители должны сформировать убеждения, ценности и отношение коллег к вопросам ИБ.

Ведь люди делают то, что считают важным, и то, что они ценят

Сосредоточьтесь на ценностях, отношениях и убеждениях, а не только на правилах и обучении. Бизнес уязвим перед кибератаками частично потому, что люди в компании не осведомлены о рисках или не готовы к ним. 

Да, правила и политики безопасности важны, но еще важнее понимание, зачем эти самые политики действуют в той или иной организации.

Поверьте, сотрудники будут четко следовать регламенту и закрывать ноутбук или блокировать компьютер, уходя на обед, если они осведомлены, почему важно скрыть рабочие процессы, пока вас нет на месте. Если это просто требование без объяснения причины, то нажатие клавиш WIN+L так и останется для многих необязательной опцией.

Наглядным примером первостепенного значения безопасности я бы назвал объекты промышленности или строительства — там, где работают тяжелые машины, лазеры, станки и т.д.

В подобных условиях у руководителей есть относительно простой аргумент, чтобы убедить членов коллектива пропагандировать безопасность и уменьшить число несчастных случаев. Когда на кону стоят жизнь и здоровье, четко формируется отношение к важности физической безопасности, и это способствует безопасному поведению: ношению касок, очков, соблюдению дистанции и пр. 

Культура кибербезопасности может работать таким же образом — через формирование ценностей и отношения к проблеме.

Создание культуры информационной безопасности

Формируйте ценности, отношение и убеждения на трех уровнях — лидерском, групповом и индивидуальном.

Уровень лидера. Когда подчиненные видят, какие приоритеты расставляет руководитель, на что он или она тратит свое время и в чем совершенствуется, это становится ориентиром для всего коллектива.

То есть, если генеральный директор на каждом общем собрании уделяет время вопросам информационной безопасности, рассказывает о примерах краха или взлета конкурентов или партнеров, убеждает в важности данного аспекта, то сотрудники тоже начинают демонстрировали такое поведение.

Групповой уровень. Здесь речь идет непосредственно об обучении или об учениях. Например, в рамках тренировки всем в компании отправили имитацию фишингового письма, и его открыли 30% сотрудников. Обсуждение результатов, с одной стороны, укрепит убеждения 70% коллектива в том, что они делают все правильно и не подвергают бизнес предприятия риску. А с другой — мотивирует попавшихся на уловку больше так не делать и совершенствовать собственное отношение к кибербезопасности.

Индивидуальный уровень. Формирование культуры кибербезопасности на данном уровне можно считать завершенным, когда сотрудники сами ищут способы узнать, как им действовать, не подвергая риску всю компанию. Они начинают в проактивном порядке консультироваться с экспертами по ИБ, чувствовать себя «уполномоченными» что-то сделать, когда видят угрозу информационной безопасности. Например, во время тех же учений с фишинговым письмом такой сотрудник не только не откроет вредоносную вкладку, но и сообщит о факте получения подозрительного письма в ИТ- или ИБ-подразделение.

Выводы

Рост числа атак и попыток кражи конфиденциальных данных у бизнеса в России ежегодно растет на 50-150% в зависимости от отрасли. Для серьезных заказчиков продуктов и услуг кибербезопасность уже стала одним из ключевых факторов при выборе поставщиков.

Поэтому для ведения конкурентного бизнеса создание и поддержание культуры кибербезопасности больше не является «опцией», а приобрело экономическую необходимость. Помните, что ваши люди — это прямой доступ к данным, системам и процессам. Поэтому сотрудники должны быть частью решений информационной безопасности. Их правильное поведение имеет решающее значение для обеспечения стабильности компании и формирует конкурентное преимущество, которое оценят ваши клиенты и партнеры по бизнесу. 

Начните строить культуру ИБ уже сейчас с этих простых шагов:

  1. Выберете лидера по культуре кибербезопасности. «Пропагандист» должен быть сильным коммуникатором, уважаемым членом команды и, желательно, носителем уже существующих ценностей компании.
  2. Сделайте кибербезопасность своим личным приоритетом, и она станет приоритетом для окружающих. Часто говорите о кибербезопасности, приводите примеры, организуйте регулярную новостную рассылку на сотрудников, посвященную этому вопросу.
  3. Найдите способ вознаграждать за ответственное использование информационных ресурсов компании и клиентов. Не обязательно деньгами. Пусть это будут публичные благодарности, полезные сувениры или другие приятные «печеньки».
  4. Сделайте процесс формирования ценностей, отношения и убеждений кибербезопасного поведения частью привычных бизнес-процессов.