В любой компании или организации, по мере ее развития, постепенно создается корпоративная культура – набор моделей поведения, доказавших свою жизнеспособность и эффективность как в процессе взаимодействия с внешней средой, так и в ходе формирования внутренних процессов. Корпоративная культура представляет собой совокупность как писаных, так и неписаных правил. Первые – это официально декларируемые нормы поведения сотрудников при разрешении конфликтов друг с другом, клиентами, партнерами, взаимодействии с регулирующими органами, принятые модели внутрикорпоративных и внешних коммуникаций, система лидерства и карьерного роста, а также многое другое. Все это может быть зафиксировано документально или и существовать в виде устных правил, безоговорочно принимаемых всеми сотрудниками – от генерального директора до уборщицы и охранника. И хотя сам термин «корпоративная культура» впервые появился в XIX веке, нормы и правила работы компаний берут истоки из средневековых гильдий ремесленников. Гильдия защищала права каждого ее члена, но нарушение ее внутреннего порядка могло повлечь за собой исключение из профессионального сообщества и, соответственно, лишение возможности защиты и других привилегий.
В каждой компании существует свой уровень проникновения корпоративной культуры. В крупных корпорациях и холдингах, чья история насчитывает много лет и даже десятилетий, чаще всего нормирован каждый шаг сотрудника. В небольших компаниях и стартапах все формализовано в гораздо меньшей степени, однако и там есть ряд правил и табу, за нарушение которых могут последовать неприятности.
Регламенты информационной безопасности, «информационной гигиены» на рабочем месте, а также ответственность за их несоблюдение являются одним из ключевых элементов корпоративной культуры. Но, к сожалению, далеко не везде. При этом нельзя забывать, что последствия от несоблюдения правил ИБ негативно отражаются на всей компании.
Человеческий фактор неистребим?
На протяжении всей истории информационной безопасности самым слабым местом был и остается человеческий фактор, чем удачно пользуются злоумышленники всех мастей. Людям проще поверить, чем проверить, – таково свойство человеческой природы. «Самая главная причина, по которой люди не соблюдают правила защиты, – незнание этих самых правил. Для начала их надо обучить, проверить усвоение материала и проконтролировать поведение. Затем повторить схему: обучить, проверить усвоение материала, проконтролировать поведение. И так далее. Это трудоемкий непрерывный процесс. Помочь в данной деятельности может как «кнут», так и «пряник», но их нельзя использовать поодиночке или в отрыве от учебного процесса», – считает Михаил Сергеев (Orange Business Services).
Михаил Сергеев, начальник отдела ИТ-проектирования Orange Business Services
"Регламенты необходимы. Они формально описывают процессы, но важно доносить до сотрудников их смысл в понятной форме и без лишнего формализма. Хорошо работают тренинги в игровой или соревновательной форме, информационные плакаты в нужных местах. Кроме того, следует объяснять, зачем то или иное правило вообще придумано, что оно дает компании и какой ущерб вероятен, если их не выполнять".
С доминированием человеческого фактора в числе угроз ИБ согласна Елена Теплушкина, руководитель отдела продуктового маркетинга офисного оборудования компании Xerox Евразия. По ее словам, в большинстве случаев утечки информации происходят из-за человеческого фактора, а не из-за уязвимостей, позволяющих подключиться к корпоративной сети извне. Причем это может быть не только сознательный запуск вредоносного кода, но и причинение вреда по незнанию правил безопасного обмена данными. Для формирования у сотрудников культуры безопасной работы с корпоративной информацией при использовании печатных устройств очень важна не только просветительская деятельность, но и выстроенные правила и политики управления печатью.
Елена Теплушкина, руководитель отдела продуктового маркетинга офисного оборудования компании «Xerox Евразия»
"Многие не понимают, что информационная безопасность всей компании зависит от действий каждого, а не только от того, насколько надежное ПО компания использует для предотвращения внешних атак и разного рода утечек".
Полностью научить людей «проверять, а не доверять» и исключить влияние человеческого фактора невозможно, считает Алексей Лукацкий, бизнес-консультант по ИБ компании Cisco. Он напоминает, что для абсолютного большинства работников компании информационная безопасность не является приоритетом № 1 и не относится к основному виду деятельности. «Отсюда и последствия: сотрудники не умеют распознавать весь спектр ухищрений, которыми пользуются злоумышленники. Они не могут распознать все фишинговые рассылки, все вредоносные домены, все опасные вложения в e-mail. Да, внедрение культуры ИБ поможет снизить угрозу, но исключить целиком ее невозможно. Вот почему необходимо применение компенсирующих защитных мер, которые помогают закрыть пробелы с пресловутым «человеческим фактором», – поясняет эксперт.
Алексей Лукацкий, бизнес-консультант по безопасности компании Cisco
"Руководство должно подавать пример своим сотрудникам, как вести себя в той или иной ситуации. Политика двойных стандартов (говорю одно, а делаю другое) приводит внедрение культуры ИБ к краху".
