Перейти к содержанию

Утечки данных и мотивация сотрудников


Рекомендуемые сообщения

Какие последствия для сотрудников имеет утечка данных? Не будем рассматривать крайний случай, когда компания в результате инцидента теряет репутацию, клиентов и вообще уходит с рынка. Понятно, что в этом случае сотрудники просто идут искать другую работу. Но что происходит с мотивацией сотрудников, если в компании, где они работают, случается киберинцидент?

Чтобы ответить этот на вопрос, нужно сначала понять, в чем причина большинства подобных инцидентов. На мой взгляд, чаще всего корнем проблемы является либо инфантилизм, разгильдяйство и безответственность сотрудников, либо неэффективное управление. То есть как ни смотри — человеческий фактор. А хакеры и инсайдеры просто пользуются возможностью.

Безответственность сотрудников

Попробуйте опросить сотрудников на тему «какие изменения в рабочем процессе повысили бы вашу продуктивность и удовлетворенность от работы». Проанализировав ответы, вы увидите, что люди хотят работать, как им удобно: чтобы ничего не мешало, чтобы была полная свобода. Например, быть администраторами на своем компьютере, ставить любое ПО, давать доступ к данным и системам своей команды по собственному разумению, без обоснований бизнес-необходимости, приглашать в офис гостей в любое время и так далее.

При этом практически никто не готов реально нести ответственность за свои «хочу», «мне так удобно» или «и так сойдет». Такие сотрудники (а порой и их руководство) верят, что должен существовать какой-то волшебник, который защитит от всего, какими бы ни были условия. И мы, конечно, сделаем все, чтобы защитить корпоративные ресурсы, но, к сожалению, мы не всесильны.

Как ведут себя дети, разбившие телефон, который они взяли без спроса? Если их научили отвечать за свои поступки, то они расстраиваются не только из-за себя. Такие дети переживают и о том, что теперь по их вине родители остались без телефона. Если же ответственности детей не научили, то они переживают из-за страха наказания или чувства досады и «несправедливости», ведь телефончика и подарков какое-то время не будет. Как показывает практика, когда они вырастают, привычки сохраняются. Ответственные дети, повзрослев, гораздо реже становятся причинами инцидентов с безопасностью, чем безответственные. Если же по их вине все-таки происходит утечка, то их мотивация и лояльность к компании не снижаются, потому что они осознают свою вину, а не перекладывают ее на руководство.

Неверные решения

Вторая причина серьезных инцидентов — действия или бездействие ИБ- и ИТ-персонала, а также проблемы с эффективностью управления бизнес-процессами. По факту в компании, которая серьезно относится к кибербезопасности, ущерб в результате инцидента возникает не от действий одного сотрудника, который вставил флешку с зараженным файлом или открыл письмо с темой «I love you». Всегда есть цепочка ошибок, которые случились в нужной комбинации:

  • Бизнес-процесс был выстроен так, что допускал возникновение такой ошибки.
  • Была допущена сама ошибка или нарушение политик ИБ.
  • Информационные системы или инфраструктурные сервисы содержали необнаруженные или вовремя не исправленные уязвимости.
  • Применяемые системы были переусложнены, что привело к недостатку ресурсов на их безопасное конфигурирование, своевременный патч-менеджмент и внедрение мер защиты.
  • Служба безопасности не смогла (или не имела возможности) выявить инцидент прежде, чем он привел к ущербу.

То есть каждый из факторов — следствие чьего-то неудачного решения, но причина инцидента — совокупность этих факторов.

Как инцидент повлияет на мотивацию сотрудников, также во многом зависит от того, какие действия предпримет руководство компании. Иногда случается так, что меры по недопущению повторения подобных инцидентов могут нанести ущерб куда больший, чем сам инцидент.

Вот пример неудачных решений руководства некоего реально существующего банка. В нем периодически случались инциденты, связанные как с внешними атаками, так и с ошибками персонала. В результате системы банка на какое-то время становились недоступны. Руководство в качестве наказания и для «мотивации других» постоянно увольняло сотрудников ИТ- и ИБ-отделов. При этом то же самое руководство не выделяло бюджета ни на создание новой автоматизированной банковской системы, ни на доработку старой, об уязвимостях которой было известно. Старые сотрудники, понимая, что от ошибки никто не застрахован, а компания предпочитает ничего не исправлять, а только менять людей, постепенно нашли себе другую работу. Новые сотрудники, приходящие на место уволенных, понимали в самописной АБС еще меньше, и, как следствие, ошибались еще чаще и тратили больше времени на обслуживание систем. В итоге из банка ушли клиенты, так что из топ-50 он скатился на 200+ место.

Что делать

По-моему, чтобы избежать демотивации сотрудников, нужно повышать их ответственность, прививать им уважение к ценностям компании и работе других людей. Это достигается в том числе и материальной заботой компании о своих сотрудниках, так как уважение должно быть взаимным. Кроме того, нужно иметь четкие правила, описывающие, что допустимо делать, что делать нельзя, а также как нужно поступать, если кто-то все-таки стал причиной киберинцидента (не исправил вовремя уязвимости, не обратил внимания на признаки атаки или даже скрыл их). Если к кому-то придется применить штрафные санкции, то важно не допускать дискриминации и сплетен — руководитель команды должен четко довести до подчиненных информацию о причинах этих санкций и обстоятельствах ошибки. Это позволит не только поддерживать здоровую атмосферу в коллективе, но и избежать повторения ошибок в будущем.

С точки зрения ИБ, чтобы минимизировать влияние инцидентов на мотивацию и обеспечить выживаемость компании, нужно уделять внимание таким факторам, как:

  • Обучение персонала (чтобы не совершать ошибок, человек должен понимать, какие вообще бывают ошибки).
  • Мотивация сотрудников (люди должны хотеть работать в компании).
  • Четкая формулировка правил информационной безопасности в компании и строгий контроль их выполнения.
  • Наличие средств детектирования и реагирования на инциденты.
  • Системы защиты от ошибок, дураков, разгильдяев и злонамеренных действий инсайдеров.
  • Непрерывное совершенствование всего вышеперечисленного, чтобы не наступать на грабли снова и снова.

Другие мысли о взгляде на инциденты в кибербезопасности глазами сотрудника можно почитать в свежем отчете «Лаборатории Касперского» «Taking care of corporate security and employee privacy: Why cyber-protection is vital for both businesses and their staff«.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Pomka.
      От Pomka.
      короче простым клубням тут не место ?
    • MiStr
      От MiStr
      То, над чем мы так долго работали; то, о чём вы не раз спрашивали; то, что теперь будет постоянно обновляться и публиковаться — текущий рейтинг фан-клубовцев. Наконец мы решили все организационные и технологические вопросы, получили и агрегировали данные по программам, участвующим в рейтинговой системе мотивации фан-клубовцев, и теперь готовы ежемесячно публиковать текущий рейтинг. Всё это для того, чтобы каждый фан-клубовец видел, на каком месте он находится в данный момент, мог оценить свои шансы на попадание в список приглашённых на празднование очередного дня рождения фан-клуба, зарядить себя мотивацией и с новыми силами продолжить участвовать в многочисленных программах, за активность в которых начисляются клабы.
       
      Рейтинг фан-клубовцев по состоянию на 03.02.2019 (Ник / количество клабов):
       
       
      Внимание! Опубликованные данные носят текущий информационный характер и не являются окончательным результатом. Публикация рейтинга не означает, что подсчитаны абсолютно все активности, в которых участвовал фан-клубовец до даты публикации рейтинга, поскольку информация об участии фан-клубовцев в программах поступает к нам с задержкой от нескольких дней до нескольких месяцев.
       
      Напоминаем, что согласно правилам рейтинговой системы, любые вопросы, связанные с начислением клабов, принимаются в течение 30 дней с момента обновления рейтинга участника. По истечении этого срока количество начисленных клабов не пересматривается. Поэтому если у вас возникли вопросы по начислению клабов, то отправьте письмо мне с копией Elly. В письме сообщите, какой размер вашего рейтинга должен быть и приложите соответствующие расчёты. Письма без конкретных расчётов или содержащие неконкретную информацию вида "Мне кажется, у меня должно быть немного больше" рассматриваться не будут.
    • MiStr
      От MiStr
      Рейтинговая система мотивации участников клуба «Лаборатории Касперского»: правила 4.1
       
      Почему и для каких целей введена рейтинговая система?
       
      За активность в каких программах можно получить клабы для учёта их в рейтинговой системе?
       
      Сколько клабов можно получить и за какие достижения?
       
      Кто считает рейтинг и на основании каких данных?
       
      Где можно узнать свой рейтинг и как часто он обновляется?
       
      Какой срок действия накопленных клабов?
       
      На что можно потратить клабы?
       
      Иные положения
       
      Где можно задать вопрос по рейтинговой системе?

       
       
      Приложение № 1 к правилам рейтинговой системы мотивации участников клуба «Лаборатории Касперского»
       
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • animewko25
      От animewko25
      Добрый день!
      Подскажите каким способом можно перенести базу данных SQL KSC на другой диск.
      Финт с заменой буквы не проходит,может быть есть какой нибудь мануал
×
×
  • Создать...