Пиар важности ИБ

Пиар важности ИБ
В комментарии к предыдущему посту был задан вопрос о практических методах внушения пользователям ощущения важности информационной безопасности. Ответ получился довольно объемным, и я решил вынести его в отдельный пост (с некоторыми правками).


"Правила буравчика" в этом случае нет, все зависит от конкретной корпоративной культуры, т.е. подход в каждом отдельном случае практически уникален. Но некоторые общие методы существуют. Самое главное, это демонстрировать персоналу важность ИБ для компании. Делать это можно следующими способами.

Декларировать приоритетность ИБ на наивысшем уровне, желательно от лица CEO и от имени совета директоров. Роль лидера в компании отчасти и заключается в определении и коммуникации приоритетов. Пока CEO не начнет настаивать на приоритетности ИБ, безопасность будет оставаться в компании на правах хобби отдельной группы лиц, которые ею занимаются. Если же генеральный будет тратить время и усилия на поддержку программы ИБ, и это будет надлежащим образом представлено персоналу, то считайте, что треть дела сделано -- сотрудники уже относятся к вопросу серьезно.

Тратить на ИБ деньги. Это звучит банально, но на персонал действует безотказно. Все знают, что распределение бюджета происходит в зависимости от приоритетности направления. Следовательно, если на ИБ тратят серьезные деньги, то значит это важно. Это, как правило,  шаг, в результате которого персоналу демонстрируется важность ИБ для компании, как говорится, не словом, а делом. Куда потратить деньги, это уже другой вопрос, но факты этих инвестиций должны быть наглядны, понятны и убедительны. В качестве примеров удачных пиар-затрат можно привести заказ консультационных услуг от аудитора из большой четверки или внедрение масштабного проекта в сфере ИТ-безопасности.

Делать программу повышения осведомленности персонала интересной, веселой и состязательной (но без фанатизма). Материалы должны быть изложены доступно и без традиционного налета напыщенной строгости. Единственный эффективный способ удерживать внимание большой группы людей на протяжении долгого времени -- заставлять публику время от времени смеяться. В этом, отчасти, секрет карьерного успеха некоторых известных политиков. Визуальные материалы (т.н. "наружка": постеры, скрин-сейверы, обои на рабочий стол и т.п.) должны быть оформлены с легким юморком, например, в стиле агитплакатов советской индустриализации. Эти приемы уже популярны для других рекламных целей, стоит использовать их и для популяризации ИБ. Кстати, посоветоваться с толковым рекламщиком было бы очень здорово.

В дополнение к программе осведомленности. Хорошо работает практика приведения примеров "из жизни": о взломанных учетках электронной почты, аккаунтов в "Одноклассниках" и т.п. Поройтесь в Интернете, поищите исповеди жертв таких взломов и подготовьте несколько сценариев для мини-рассказов, ну например.
- Один мой друг однажды просыпается в три часа ночи, от того что ему мама по мобильному звонит и с тревогой в голосе спрашивает, все ли у него в порядке, и почему он ей прислал сообщение "Вконтактах" со ссылкой на один довольно пикантный веб-сайт.
Такие рассказы помогают пользователю почерпнуть из материалов что-то для себя лично и использовать новое знание для персональной информационной безопасности, или даже учить ее принципам своих друзей и родственников. Кому не хочется прослыть местным security guru?

ОБЯЗАТЕЛЬНО сообщать персоналу об инцидентах!Информация об угрозах должна быть доступна персоналу, но не детальна аж настолько, чтобы все могли ею воспользоваться в пагубных целях. Произошла вирусная эпидемия -- сообщите сотрудникам о том, как зараза проникла в сеть, как она распространилась, почему не сработали антивирусы, а также о том, что теперь (благодаря бравым айтишникам) все в полном порядке, а виновника без труда удалось вычислить. Факты дисциплинарных взысканий тоже должны коммуницироваться на весь персонал: риск должен быть визуализирован .
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Vlad Styran

информационно. безопасно.*