IТ-специалисты жертвуют безопасностью в угоду дедлайнам. Как быть
Представим, что у нас есть организация, где сотрудники открывают фишинговые письма, переходят по подозрительным ссылкам, скачивают вредоносное ПО, игнорируют правила и политики безопасности. Так происходит, потому что существует множество убеждений: «Безопасность не важна, меня это не касается», «Ничего не случится, если я запущу этот файл. А если и случится, то это не моя ответственность, а работа кого-то другого». Такие глубинные убеждения мешают людям проявлять позитивное поведение в вопросах безопасности. Они просто не считают это проблемой.
У нас могут быть самые продуманные стратегии и планы, выстроенные процессы, дорогие инструменты, но то, как ведут себя люди на самом деле, полностью определяется культурой в компании. Другими словами, культура — это то, как люди принимают решения в ваше отсутствие и как ведут себя, когда никто не смотрит.
Киберкультура — часть корпоративной культуры
Культура безопасности, существующая в организациях, является частью корпоративной культуры, к которой мы принадлежим.
Если в компании иерархический тип культуры со строгой субординацией и процессами, то ситуативные и гибкие подходы к выстраиванию киберкультуры не сработают. Развлекательные мультфильмы и настольные игры про кибербез не найдут свою целевую аудиторию.
То же произойдет, если в компании с духом стартапа попытаться внедрить набор жестких ИБ-политик и наказаний. Есть риск в лучшем случае остаться непонятым, в худшем — озлобить сотрудников и настроить их против себя.
Киберкультура или система штрафов: что выбрать
Задача: допустим, в нашей компании работает разработчик Игорь. Ему в среднем требуется десять дней, чтобы написать код, протестировать его и пройти проверки качества безопасности. Проблема заключается в том, что у Игоря есть спринт и дедлайн, то есть примерно семь дней. Что же будет делать Игорь?