Търсене
Close this search box.

Как да поправим неработещата култура на сигурността

Има една стара бизнес поговорка, която гласи: „Културата изяжда стратегията за закуска“, която често се приписва на Питър Дракър. Макар да е спорно дали той я е казал или не, мнението е ясно – без силна култура организациите няма да могат да изпълняват стратегиите си.

Културата е в основата на всичко, което една организация прави – и на начина, по който тя прави нещата. Макар че културата е термин, който често се отнася до организацията като цяло, в организациите има и култури (или субкултури), свързани с бизнес практики – например сигурността. В моята компания определяме културата на сигурността като идеите, обичаите и социалното поведение на дадена група, които оказват влияние върху нейната сигурност.

Отличителни белези на културата на сигурността

Културата се променя с течение на времето. Една положителна култура на сигурността ще се развие от основно съответствие до устойчива и добре интегрирана култура, която стимулира безопасното поведение и предотвратява нарушения.

Но културите могат да се превърнат и в токсични или нефункционални, работещи в противоречие с желаните ценности и цели на организацията.

От гледна точка на сигурността дисфункционалната култура може да прояви такива признаци като неспазване на политиките и процедурите на организацията, свързани с управлението на данни; липса на подходяща защита на чувствителни данни на клиенти, служители или на компанията; липса на обучение на служителите за повишаване на осведомеността относно сигурността; липса на адекватна защита срещу пробиви – или на подходящо докладване при възникване на пробив.

Могат да се наблюдават и по-широки признаци и сигнали: например голямо текучество, неудовлетвореност на служителите, ниска производителност или липса на ангажираност.

При неработещата култура на сигурност липсват необходимите фокус, програми, показатели, интеграция и устойчивост, за да се повлияе положително на нагласите на служителите за сигурност. Резултатът може да бъде пагубен не само за системите и данните на организацията, но и за нейната репутация и марка.

За компаниите е важно да бъдат постоянно бдителни, винаги нащрек за признаци на нефункционална култура; винаги да предприемат проактивни стъпки, за да отблъснат апатията и да преминат към ангажираност, при която служителите се чувстват подкрепени и ценени.

Поправяне на днеработещата култура

Организациите могат да предприемат стъпки за поправяне на нефункциониращата фирмена култура – и на нефункциониращата култура на сигурността.

  • Фокусирайте се първо върху „големите камъни“. Общите културни сигнали като текучество и неудовлетвореност често дават ранни предупредителни знаци за потенциални въздействия върху други области или аспекти на компанията – например сигурността. Важно е непрекъснато да наблюдавате и да реагирате на тези сигнали, преди те да станат по-инвазивни.
  • Идентифицирайте и каталогизирайте признаците. Кои са аспектите на културата на сигурност във вашата компания, които ви тревожат най-много? Отношението на служителите? Липса на придържане към политиките и процесите? Нарушения? Използвайте оценки, проучвания и диагностични инструменти, за да идентифицирате и определите количествено проблемите. Това ще ви даде ориентир за измерване на напредъка.
  • Оценете въздействието на вашия ръководен екип. Вашият лидерски екип създава предпоставки за действията и поведението на всички в организацията. Ако те се отнасят пренебрежително към политиките за сигурност, не участват в обученията или не ги подкрепят, или си затварят очите за служители, които не спазват правилата за сигурност, ще се стигне до дисфункционална култура (или тя вече е в ход).
  • Не се опитвайте да преварите океана. Изберете едно или две поведения, които бихте искали да промените, поради въздействието, което тези поведения оказват, и се съсредоточете върху отстраняването им.
  • Бъдете наясно с визията си. Как би изглеждала една силна култура? Какви знаци биха били налице, за да покажат, че съществува устойчива, положителна култура на сигурност? След това поставете тази визия на преден план за служителите, така че те да знаят как точно трябва да изглежда успехът.
  • Разработете план за широко въздействие върху поведението. Използвайте принципите за управление на проекти и спечелете подкрепа от лица, които могат да служат като застъпници.
  • Ангажирайте служителите. Макар че силната култура на сигурност се определя отгоре надолу, за нейното поддържане е необходима цялата организация. Потърсете мнението на служителите, включете ги в определянето на необходимите мерки за защита, събирането на идеи за изпълнение и получаването на обратна информация за ефективността на програмите за обучение. Споделяйте обратната връзка и напредъка; осигурете постоянен барабанен поток от информация и обучение, подпомагащи поддържането на вашата визия за култура на сигурност.
  • Признавайте и награждавайте. Може би това е награждаването на хората, които проактивно докладват за подозрения за фишинг и други инциденти, свързани със сигурността. Може би това е броят на служителите, които успешно са завършили модул за обучение по сигурност. Може би това е подобрен резултат при симулации на имейл фишинг. Може би това е подобрение на резултатите от оценката на подкрепата на служителите за културата на сигурност. Когато постигнете успехи, споделете резултатите със служителите и ги отпразнувайте.

Поправянето на нефункционалната култура на сигурност е постепенен процес, който не може да се постигне за една нощ, но със сигурност е постижим. Това е нелинеен процес, който включва постижения и неуспехи по пътя. Но целенасоченото фокусиране се отплаща с течение на времето – могат да бъдат направени и измерени подобрения, които оказват положително въздействие върху защитата на жизненоважни системи и данни. С постоянни усилия може да се постигне положителна култура на сигурност, която в крайна сметка да премине от дисфункция към проактивно ангажиране на служителите, изграждане на взаимоотношения и намаляване на риска.

Автор: Стю Шауърмен. Той  е основател и главен изпълнителен директор на KnowBe4, Inc., която е домакин на платформа за обучение за повишаване на осведомеността за сигурността и симулиране на фишинг с над 65 000 организации и повече от 60 милиона потребители.

Източник: e-security.bg

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...
Бъдете социални
Още по темата
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
23/07/2024

Грешки в киберсигурността н...

В днешните забързани организации крайните потребители...
12/07/2024

Избягване на зловреден софт...

Футболната треска на турнирите UEFA EURO...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!