Об этом рассказывает Марина Копрусова, начальник отдела инновационных образовательных технологий Учебного центра "Информзащита"
Есть навыки профессиональные, а есть «житейские», требуемые в определенных жизненных условиях. Например, бухгалтеру необходимо иметь экономическое образование, адвокату – юридическое, но и тому и другому пригодится «житейский» навык вождения легкового автомобиля, т.к. автомобилизация в России растет очень высокими темпами…
Наряду с автомобилизацией активными темпами растет уровень информатизации общества, и не только в России, а во всем мире, и навык работы с персональным компьютером из профессионального давно стал «житейским».
Очевидно, что, если вы не будете выполнять правила безопасной езды на автомобиле, вы не сможете в полной мере наслаждаться удобством, которое дает передвижение на личном транспорте, и рано или поздно попадешь в аварию. Точно так же вы не сможете успешно выполнять свои основные должностные обязанности, если не будете выполнять элементарные правила безопасной работы с информацией, которая сегодня является основным «сырьем», «ингредиентом» или «продуктом», используемым во всех сферах бизнеса.
Во всех компаниях наряду с должностными инструкциями, положениями о подразделениях и прочими подобными документами есть так называемые «Политики безопасности», которые разрабатываются специалистами подразделений, отвечающих за корпоративную безопасность на предприятиях. Но разработать их - это полдела; самое главное в «ритуале» - сделать так, чтобы правила безопасности, прописанные в политиках, соблюдались ВСЕМИ без исключения работниками организации.
То есть, сотрудники подразделений безопасности обязаны обеспечивать безопасность, для чего разрабатывают политики безопасности, которые должны соблюдаться работниками организации, от которых в некоторой степени зависит безопасность. Пугающая зависимость, не так ли?
Если задачу разработки политик безопасности специалисты решают вполне успешно, то на этапе доведения правил безопасности до работников организации встает множество преград, и многие из вас, наверняка сталкивались с ними. Какими бы строжайшими запретами не пестрили политики безопасности, статистика инцидентов раз за разом показывает, что работники по-прежнему обмениваются паролями, письмами «счастья» и пиратскими копиями программного обеспечения.
Почему так происходит и что делать, чтобы выполнение требований безопасности в компании стало не нудной «обязаловкой», а «житейским» навыком, необходимым для полноценного выполнения своих должностных обязанностей?
Решение давно найдено. Задача эффективного доведения до работников компаний правил безопасности достигается путем внедрения программы повышения осведомленности персонала в области безопасности. Принципы реализации программы достаточно простые:
1. Не заставлять работников, которые не являются специалистами в сфере безопасности, мыслить и оперировать чуждыми им терминами и категориями, то есть перевести сухой язык политик и регламентов безопасности на человеческий язык.
2. Облечь простой текст в привлекательную, логичную и доступную для восприятия форму.
3. Заняться активной пропагандой безопасности в компании, то есть говорить о том, как это важно, везде и всегда.
«Некогда нам об этом говорить, у нас своих забот хватает». Это правильно и абсолютно объективно. Говорить должны не специалисты по безопасности, а плакаты, календари, открытки, памятки, мультики, видеоролики.
Все мы прекрасно помним плакаты советских времен «Как работал –так и заработал», «Болтать –врагу помогать» и т.п. Почему они не теряют своей актуальности в наши дни, и узнаваемы даже среди молодежи, не жившей во времена популярности этих лозунгов?
Потому что эти плакаты висели на каждом углу в организациях, на предприятиях и в столовых, а в киосках продавались открытки и календари. Очень трудно что-то забыть, когда напоминание висит на каждом углу и все время попадается тебе на глаза.
Что проще понять и запомнить секретарю Леночке или бухгалтеру Лидии Сергеевне: «Использование персональных паролей, устойчивых к угадыванию и подбору и сохраняемых в тайне от других лиц, является важнейшим средством защиты от несанкционированного доступа к информационным ресурсам и средствам их обработки» или «Правила использования пароля для входа в корпоративную систему такие же, как правила использования Вашей зубной щетки: никогда и никому не передавать, менять 1 раз в 3 месяца»? Ответ очевиден. Даже если ассоциация с зубной щеткой вызовет у кого-то улыбку или презрение, это запомнится. Представляете, если подобные плакаты или небольшие постеры появятся в вашей организации? Запоминаемость такого правила использования пароля в десятки раз выше, чем абзаца, прочитанного в документе формата *.doc по жесткой необходимости под роспись.
А что, если сотруднику вашей организации придет утром сообщение, приглашающее к просмотру мультфильмов? Это несерьезно – скажете вы. Это эффективно – показывает практика. Яркие юмористические флеш-ролики про правила работы с электронной почтой или конфиденциальной информацией запомнятся надолго, а самое главное – при такой форме донесения правил и политик безопасности у сотрудников не возникает ощущения давления на них каких-либо избыточных обязательств.
Еще один важный момент: если напоминания про безопасность появляются не только в формате ознакомление документа под роспись, а в виде плакатов, памяток, скрин-сейверов и мультиков, невольно у работников возникает мысль: «Если об этом так много говорят и пишут, значит это действительно важно?». Вам останется только кивать головой и говорить: «Да-да! Это важно!».
