Как выстроить киберкультуру в компании: 7 шагов, которые работают
5 мин
117
1
В 2024 году утечка из-за халатности работника обходилась в среднем в 6,6 млн $ — это даже больше, чем ущерб от хакерских атак. Но число таких ошибок можно снизить на 70% — через формирование культуры кибербезопасности. Перри Карпентер (Perry Carpenter), менеджер по управлению человеческими рисками в KnowBe4, рассказал о семи шагах, которые помогут повысить уровень киберкультуры в компаниях.
Перри Карпентер (Perry Carpenter) — главный менеджер по управлению человеческими рисками в компании KnowBe4, член делового совета Forbes. Более 20 лет занимается кибербезопасностью, особое внимание уделяя социальной инженерии. Консультирует известные мировые бренды по вопросам киберкультуры и обучения сотрудников.
Все последние исследования показывают одно: большинство успешных кибератак происходит из-за человеческого фактора. И хотя инструменты и сервисы защиты продолжают развиваться, человек — самое слабое звено, до которого добраться проще всего. И даже традиционные программы по обучению кибербезопасности не справляются с задачей исправления этой слабости. Так что же делать, чтобы сократить риски? В первую очередь нужно начать с простых семи шагов, которые помогут повысить культуру кибербезопасности в компании.
Источник: Falcongaze
1. Начните с самых опасных паттернов поведения сотрудников
Сотрудники могут совершать много ошибок, представляющих угрозу для компании: не задумываясь переходят по ссылкам в письмах, используют одинаковые пароли, не обновляют ПО, хранят файлы с чувствительной информацией на личных устройствах и так далее. Но исправить всё это сразу не получится. Однако именно это пытаются сделать большинство компаний и, как правило, не добиваются результатов.
Сосредоточьтесь на 1–2 самых важных паттернах поведения, которые могут реально повлиять на безопасность. Формула «Риск = Вероятность × Последствия» подскажет, с чего лучше начать.
К примеру, сотрудники не проверяют подлинность писем с вложениями и без сомнений открывают файлы. Вероятность заражения шпионским ПО или вымогателем — 20%. А последствия — 10 000 000 рублей (включая штрафы, простои, восстановление систем).
Расчёт: Риск = 0,2 × 10 000 000 = 2 000 000 рублей
Вывод: это поведение связано с несколькими рисками одновременно (вредоносные вложения, фишинг, заражение сети) и несёт в себе высокие риски. Его стоит рассматривать как приоритетное при составлении обучающих программ.
Другой пример: сотрудники используют одинаковые пароли для разных внутренних систем. Если системы находятся в ограниченном периметре, вероятность компрометации данных — 1%. Ущерб от локального взлома без масштабного доступа — 100 000 рублей.
Расчёт: Риск = 0,01 × 100 000 = 1000 рублей
Вывод: поведение опасное, но при этих условиях не самое критичное. Его тоже нужно менять, но приоритет у более рискованных паттернов — можно включить во второй или последующие этапы обучения.
Отдавайте приоритет паттернам поведения, связанным с несколькими рисками. Дайте сотрудникам и себе 3–6 месяцев, чтобы увидеть первые изменения. После этого можно приступать к исправлению менее опасных привычек сотрудников. Постепенно вы охватите и решите большую часть проблем.
2. Разработайте план влияния на поведение сотрудников во всей компании
Именно поведение определяет действия. Если изменить привычки, улучшится и культура кибербезопасности в компании. Здесь помогут принципы управления проектами — они будут понятны и полезны тем, кто работает в технических ролях и уже знаком с таким подходом:
- Постановка чётких целей.
- Разбиение на этапы.
- Назначение ответственных.
- Управление заинтересованными сторонами.
- Регулярная коммуникация.
- Мониторинг и коррекция.
- Учёт рисков.
- Оценка успеха.
И помните, люди склонны следовать примеру окружающих. Именно поэтому важно заручиться поддержкой лидеров мнений внутри компании, которые смогут повлиять на других и поддержать изменения.
3. Заручитесь поддержкой руководства
Единомышленники и лидеры мнений важны: они могут ускорить укрепление киберкультуры. Но одного их участия недостаточно. Нужна поддержка со стороны руководства: она показывает всей компании, что безопасность — это действительно приоритет. Причём важно не только что говорят руководители, но и что они делают.
Имейте в виду, что у руководителей хватает других задач, и если просить слишком многого, они могут отказаться, поэтому делайте так:
- Подготовьте короткое и понятное объяснение, зачем всё это нужно, — без лишних технических деталей.
- Попросите руководителей показать личным примером, как стоит себя вести. Люди легче принимают изменения, когда видят, что им следуют сверху.
- Используйте реальные и понятные примеры. Например, расскажите о случаях, когда сообщение о фишинговых письмах снизило риски заражения программами-вымогателями и предотвратило финансовый ущерб.
Руководство готово поддержать вас — просто сделайте этот процесс для них максимально простым и понятным. Тогда будет больше пользы и реальных действий с их стороны.
4. Общайтесь часто и понятно
Постоянная, простая и понятная коммуникация — ключ к любым изменениям в компании. Говорите конкретно, приводите реалистичные примеры. Повторяйте важные сообщения несколько раз и в разных форматах — например, письмом, на встрече или в корпоративном чате.
Сотрудничайте с коллегами из отдела маркетинга: они помогут сделать ваши сообщения более яркими, интересными и запоминающимися.
5. Реализуйте план
Чтобы улучшить культуру кибербезопасности в компании, важно не только составить план, но и чётко понимать, какой результат вы хотите получить и с чего будете начинать. Для этого можно провести опрос сотрудников — он покажет текущее отношение к безопасности и станет отправной точкой.
Привлеките лидеров мнений и руководителей отделов к реализации плана: они помогут продвигать изменения. Но будьте готовы к тому, что не всё пойдёт гладко. Возможны сопротивление, сложности и возражения, и к этому нужно быть готовыми.
6. Оценивайте результаты
Когда есть точка отсчёта, есть и возможность измерять прогресс. Оформляйте результаты в отчёты и показывайте не только руководству, но и всем сотрудникам.
Старайтесь найти баланс: рассказывайте не только о том, что уже получилось, но и о том, что ещё требует внимания и улучшения. Это поможет сохранить интерес и настроить команду на дальнейшую работу.
7. Определите дальнейшую стратегию
Изменение культуры — это не разовое действие, а постоянный процесс. По мере измерения прогресса корректируйте цели и подходы, чтобы повысить шансы на успех. Ищите лучшие практики, отмечайте и празднуйте достижения.
Обязательно собирайте обратную связь от активных участников: их идеи могут помочь в дальнейшем. И не забывайте регулярно рассказывать команде о достигнутом, изменениях и победах.
Настоящая кибербезопасность начинается не с фаерволов, а с привычек. Создавая вокруг этого системный подход и вовлекая сотрудников на всех уровнях, вы строите не только защиту от инцидентов, но и культуру ответственности и доверия внутри компании.
