Люди намного проще оценивают те риски, с которыми они либо сталкивались "в живую", либо о которых они имеют явное представление из других источников, помимо личного опыта. Например, всем известно, что тактильное ощущение высокой температуры -- не приятно. В раннем детстве мы знакомимся с понятиям "горячо", как правило путем получения незначительных ожогов. В более позднем возрасте, перед тем, как сунуть руку в огонь или кипяток, нормальный человек хорошенько взвесит, стоит ли овчинка выделки -- это пример управления риском, с которым мы уже сталкивались.
Второй пример касается тех рисков, которые мы на собственной шкуре не переживали, но хорошо с ними знакомы по литературе, курсам безопасности жизнедеятельности или просто по слухам. Трезвый человек вряд ли, без веской на то причины, рискнет преодолеть восемь полос проспекта Победы, да еще и с препятствием в виде разделительной полосы. Даже если его лично никогда машиной не переезжали, опасность столкновения с авто для него достаточно реальна: он имеет какое-то представление о статистике ДТП, да и по телевизору такие ужасы иногда показывают...
В обоих описанных случаях мы так или иначе имеем представление о рисках, с которыми сталкиваемся. Представления эти сильнее, если мы с ними имели дело непосредственно, или слабее, если сами мы этой жути не видели, но нам "та бабка сказала" или телевизор нашептал. В обоих случаях к этим рискам мы склонны относиться серьезно.
Охота, с которой мы рискуем, прямо пропорциональна ставкам, которые мы можем выиграть в случае удачи, и обратно пропорциональна потерям, которые мы понесем в случае провала. Между тем, люди склонны подсознательно идти на риск, которого не ощущают: последствия которого они не переживали и не достаточно о них наслышаны.
Так вот, о чем это я. Сотрудник компании, в которой никого никогда не наказывали за нарушение Политики информационной безопасности, не склонен эту самую политику выполнять. Во-первых, потому, что она усложняет ему жизнь, понижает эффективность труда и заставляет (о боже!) учиться новому. Во-вторых, потому что риски нарушения политики для него не осязаемы -- он с ними вплотную не сталкивался, и живых примеров наказаний у него нет.
У менеджера по информационной безопасности в этой связи есть два пути: длинный и короткий. Длинный заключается в постоянной визуализации возможных последствий неправильного поведения сотрудников. Обычно она заключается в проведении программы осведомленности персонала в сфере ИБ. Тематические постеры, письма-памятки, курсы и семинары -- одна сплошная агитация с перерывами на рекламу. Короткий же состоит в визуализации через наказание нарушителей с последующей коммуникацией этого наказания на весь персонал компании. Таким образом можно мотивировать сотрудников самостоятельно освоить необходимый материал и следовать нормативным документам в сфере ИБ.
На мой взгляд, второй вариант намного эффективнее. Хорошего вам дня.
О персональных рисках ИБ
