После заметки о психологическом реактансе, то есть о реагировании на принуждение, несколько подписчиков попросили расписать, как это все применяется в кибербезе, что я и делаю 🤝 Надо признать, что в нашей сфере эффект психологического сопротивления проявляется даже сильнее, чем в других областях, так как большинство людей по-прежнему считают ИБ чем-то внешним, навязанным, а новые правила – "ограничением нормальной работы". Особенно плохо, если и вы сами считаете, что ИБ всегда мешает – тогда вы эту мысль бессознательно будете доносить и до людей, которые это будут считывать 🤯
Когда отдел ИБ увеличивает количество политик 📚, требований и запретов, сотрудники начинают их все (или их часть) игнорировать, искать обходы (думаете, "теневые ИТ" просто так появились), воспринимают ИБ как врага, а не помощника, выполняют требования формально. Аналогичная история с обучением и обязательными тренингами по повышению осведомленности. Если они воспринимаются как "меня считают некомпетентным", "меня заставляют тратить мое время" и "опять я прохожу очередной бесполезный курс ради галочки", то человек будет 😠 слушать вполуха, быстро забывает полученную информацию и воспринимает ИБ как навязанное сверху, а не реального помощника. Именно поэтому согласно исследованиям программы обязательного обучения в компаниях приводят к повышению реального соблюдения правил ИБ в среднем только на 10–15% 🤠
Когда ИБ работает по модели: "мы все запретим", "мы все контролируем", "вы должны следовать политике", то возникает банальный и прямо противоположный ожидаемому эффект – люди сами перестают думать о безопасности. Они перекладывают ответственность на ИБ, действуя по принципу: "Раз разрешили – значит можно. Если что-то случится – это не моя вина" 🖕
Что же работает на практике: ✍️
1️⃣Четкое объяснение "зачем". Человек лучше соблюдает требования, когда понимает, как это связано с его работой, как это защищает его лично (зарплату, данные, репутацию), какие инциденты уже происходили в похожих компаниях. Кейсы и истории работают лучше, чем правила.
2️⃣ Вовлечение сотрудников в разработку правил. Если сотрудника хотя бы спросили "что мешает безопасной работе?" и "как удобнее реализовать это требование?", то он начинает воспринимать политику как свою, а не спущенную сверху.
3️⃣ Оставлять людям выбор. Не "тренинг обязателен", а дать возможность выбрать один из трех форматов обучения: видео, мини-курс, практикум, выбрать удобное время и выбрать формат проверки знаний. Даже иллюзия выбора снижает сопротивление.
4️⃣ Минимизировать запреты, увеличивать помощь. Не запрещать, а давать безопасные альтернативы. Вместо: "Нельзя пользоваться личным облаком" лучше "Вот корпоративный сервис – он удобнее и безопаснее. Мы переносим ваши данные туда автоматически".
5️⃣ Делать безопасность частью культуры, а не набора правил. Когда сотрудники видят быструю реакцию ИБ на их запросы, помощь вместо наказаний и уважение и сотрудничество, то ИБ начинает восприниматься как партнер. Начните хотя бы предупреждать людей об утечках их паролей из сервисов, которыми они пользуются. Не знаете, какими они сервисами пользуются? А NGFW, SIEM, прокси вам на что?
6️⃣ Микро-обучение вместо "курсов на 2 часа". Лучшие форматы: сториз, короткие кейсы, комиксы, мини-ситуации по 1 минуте, контекстные подсказки ("Обнаружили подозрительный файл – вот что делать"), а также игры и квизы. Современные GenAI-сервисы прекрасно подходят для генерации короткоформатного креатива.
7️⃣ Позитивное подкрепление. Вместо "если нарушишь – оштрафуем" работает рейтинг безопасного поведения, внутренние награды, признание в команде, конкурсы "Кибер-грамотность недели".
Да, сотрудники действительно восстают против правил, особенно в кибербезопасности 👎 Но сопротивление – не проблема людей, а ошибка подхода. ИБ работает намного лучше, когда вместо давления используется другая формула: смысл → вовлечение → выбор → поддержка → позитивная культура 🤔
#стратегия #awareness #bestpractice
0
Показать ещё
