Три правила позитивной культуры кибербезопасности

Три правила позитивной культуры кибербезопасности
|7 апреля 2021| Райан Райт Джейсон Беннет Тэтчер

В декабре прошлого года хостинговая компания GoDaddy.com разослала 500 сотрудникам электронное письмо с предложением праздничного бонуса в размере $650. К сожалению, эти письма были отправлены не в знак признательности за хорошую работу, как говорилось в тексте. Это был тест на фишинг. Те, кто перешли по ссылке, получили вознаграждение, но не в виде денег, а в виде дополнительного тренинга по кибербезопасности.

Возможно, у вас (как и у авторов этой статьи) на работе пользуются аналогичными тестами. В 2020 году компания Knowbe4, один из крупнейших поставщиков тренингов по защите от фишинга, опубликовала отчет о применении таких решений в 17 тыс. организаций, отправивших по электронной почте 9,5 млн писем с тест на фишинг, более чем 4 млн пользователей.

Тесты на фишинг могут быть полезны для защиты пользователей, однако применение сомнительных тактик — например, предложение льгот или бонусов— может потенциально нанести ущерб отношениям между компанией и сотрудниками. В недавно опубликованном исследовании Дэн Пиента, один из четырех членов нашей команды в Бэйлорском университете, доказывает, что пользователи рассматривают кибербезопасность с точки зрения защиты. Но рассылка писем с тестами на фишинг может изменить представления адресатов, и они станут считать эти сообщения источником ущерба, а не защиты. В крупномасштабном эксперименте в реальных условиях мы обнаружили доказательства того, что тесты на фишинг могут действительно восприниматься как источник вреда, и сотрудники могут чувствовать, что организация их предает.

Учитывая, что тесты на фишинг обычно помогают специалистам по кибербезопасности выявлять пробелы в защите и укреплять их, как следует поступить организациям, чтобы сотрудники не считали их нечестными, неэтичными или несправедливыми? Наше исследование показывает, что опытные менеджеры применяют следующие три принципа, которые позволяют найти баланс между требованиями кибербезопасности и благополучием сотрудников.

Тестируйте команды, а не отдельных сотрудников. Тесты на фишинг следует применять в том же рабочем стиле и окружении, которые сложились в организации. Например, если больше внимания уделяется командной работе, тест должен быть направлен на отражение угрозы всей командой. Специалистам по кибербезопасности следует поощрять разговоры в коллективе на тему безопасности. Группа исследователей из Оклахомского и Виргинского университетов обнаружили, что с пользователями важнее строить отношения, а не барьеры. Их проект под названием Human Firewall посвящен построению отношений с сотрудниками, а не контролю над ними.

Не стыдите за ошибки. Специалистам по кибербезопасности нужно перестать ставить в неловкое положение сотрудников, допустивших ошибку. Результатом тестов на фишинг, как в вышеупомянутом примере GoDaddy, может стать наказание. Например, нам известна одна организация, где попавшимся сотрудникам вручают резинового цыпленка.

Полная версия статьи доступна подписчикам
Выберите срок онлайн-подписки:

https://hbr-russia.ru/management/korporativnyy-opyt/864919

2021-04-07T11:40:40.121+03:00

Wed, 07 Apr 2021 08:40:40 GMT

Три правила позитивной культуры кибербезопасности

Как проводить проверки кибербезопасности эффективно и этично

Менеджмент / Корпоративный опыт

https://cdn.hbr-russia.ru/image/2021/2p/oxxha/original-wbq.jpg

Harvard Business Review РоссияHarvard Business Review Россия

Harvard Business Review РоссияHarvard Business Review Россия