Почему не работают «программы повышения осведомленности» в сфере охраны предприятия
Термин Security Awareness Program еще не имеет устойчивого аналога в русском языке. Он означает информированность, осведомленность персонала компании о потенциальных угрозах и рисках для бизнеса компаний, как надо вести себя для их предотвращения или минимизации.
Между тем, по данным американской статистики, почти 90% удачных вторжений злоумышленников обусловлены человеческим фактором, в конечном счете, - отсутствием надлежащих «программ повышения осведомленности».
Авторы публикации в журнале Chief Security Officer Ира Уинклер и Саманта Манке перечисляют основные причины сбоя Security Awareness Program.
Непонимание, в чем суть Security Awareness Program. Имеется существенное различие между «программами повышения осведомленности» и обычными тренингами по безопасности. В отличие от последних Security Awareness Program имеет своей задачей не только дать какие-то сведения и навыки, но прежде всего ИЗМЕНИТЬ МЫШЛЕНИЕ, ПОВЕДЕНИЕ, КУЛЬТУРУ безопасности в компании.
Приоритетный упор на принципы и стандарты «комплаенс» (соответствия принятым в компании стандартам безопасности и этики). Сами по себе установленные в компании стандарты не гарантируют безопасности. Как правило, они звучат расплывчато, не конкретно: «надо придерживаться таких-то и таких-то правил….». Соответствие политики компании стандартам часто проверяется аудиторами, имеющими смутное представление о Security Awareness Program.
Непонимание уникальности дисциплины Security Awareness Program. Как правило, для тренинговых программ по безопасности привлекаются технари из служб ИТ и безопасности. Но поскольку «программа повышения осведомленности» предполагает изменение культуры и поведения людей, то тренер обязан не только обладать специальными знаниями в этой области, но также проявлять коммуникабельность, уметь влиять, формировать поведение людей в желаемом направлении.
Отсутствие нужных материалов. Большинство использует соответствующие компьютерные программы моделирования ситуаций (simulation programs). Некоторые фирмы – рассылку бюллетеней, настенные инструкции (posters). Важно подобрать материалы, соответствующие специфике компании. Например, материалы, предназначенные для интернет компаний, едва ли будут восприняты адекватно в инвестиционных банках. Молодые поколения лучше всего реагируют на блоги, в то время как старшие поколения - на традиционные виды информации (бюллетени, постеры).
Пренебрежение метриками. Без метрик нельзя определить, насколько программа успешна в достижении поставленных задач. Без точных данных работа идет вслепую. А это потеря времени, средств и сил. Программы моделирования позволяют такие метрики получить.
Необоснованные ожидания. Нереалистично предполагать, что осведомленность об угрозах и рисках дает 100% защиту. Имея на руках метрики, можно определить, насколько программа эффективна, выявить ее приоритетные направления, понять, насколько программа оправдывает вкладываемые в нее средства.
|
вернуться назад
