Підвищення рівня безпеки програм

Поінформованість про безпеку є одним із найважливіших кроків до формування культури безпеки в організації. Однак пошук правильного підходу до залучення співробітників до програм підвищення обізнаності про безпеку є одним із найбільших викликів для організацій і є основною темою, яка обговорюється експертами з безпеки на великих конференціях по всьому світу.

Після значного збільшення кількості програм-вимагачів і фішингових атак у 2021 році 46% організацій у всьому світі віддають перевагу інвестиціям у навчання з питань безпеки у 2022 році.

Крім того, щорічні звіти про безпеку показують, що низька обізнаність співробітників щодо безпеки є основною перешкодою для організацій, які вживають сильних заходів захисту. Тому програми підвищення обізнаності відіграють значну роль у зниженні ризиків і вразливості.

Але якої ланки не вистачає компаніям, щоб зробити програму безпеки ефективною та залучити працівників?

Генеральний директор VigiTrust Матьє Гордж досліджує прогалини та проблеми, а також шляхи до ефективної програми безпеки в глибокому інтерв’ю з Авою Вудс-Флігал, керівником глобальної безпеки в Raytheon Technologies.

Відповідність вимогам – чи ми йдемо в правильному напрямку?

Ні для кого не секрет, що людський ризик є найбільшою загрозою в організації, і для протидії їй вкрай важливо, щоб організації підтримували ефективну програму інформування про безпеку.

Ава згадує, що одна з найбільших проблем із зосередженням на відповідності полягає в тому, що технічний контроль має пріоритет над людським контролем і зниженням людського ризику: «Я хвилююся, що недостатньо уваги приділяється тому, щоб люди могли безпечно працювати, бути стійкими до атак або повідомляти у разі інциденту».

Якщо припустити, що технологія не покриває всі ризики загроз, нездатність визначити пріоритетність безпеки означає, що ви будуєте культуру безпеки на слабкій основі. Навіть якщо визнання цього як червоного прапорця є ознакою зміни мислення, процес усвідомлення безпеки може бути складним завданням для компаній.

Ключові дії для успіху безпеки

Повертаючись до вже висловленого: організація, яка має успішну програму підвищення обізнаності про безпеку, також має ефективне управління людськими ризиками. Однак велике питання тут: як це можна зробити?

Ава пояснила, що навчання для підвищення стійкості людей має бути переконливим, привабливим і таким, що запам’ятовується. «Нам потрібно поговорити про те, як ми можемо бути більш ефективними і які моменти нам дійсно потрібно вирішити», — пояснила вона. Ава виділила ключові дії, які сприяють успіху програми підвищення обізнаності, як-от:

• Включення підходів поведінкової науки та теорії навчання в розробку програми підвищення обізнаності про безпеку, включаючи прийняття «крихітних звичок» для досягнення зміни поведінки
• Використання інтерактивних інструментів, таких як вікторини та ігри, для стимулювання збереження інформації
• Переконайтеся, що навчальні програми та заходи розроблені для різноманітної бази працівників

Навчальні дошки та C-Levels

Культурні зміни повинні відбутися на рівні виконавчого керівництва. Однак особам, відповідальним за безпеку, часто важко донести сценарій ризику організації до правління та старшого персоналу.

Щоб змінити розуміння та залученість правління, вам потрібно критично мислити як ти збираєшся це зробити. Як ви надасте їм інформацію? Який підхід ви будете використовувати для спілкування та представлення ризиків? Як найкраще донести своє повідомлення? Як ви можете дозволити їм підтримувати вас?

Тож, щоб змінити їхню поведінку, ви повинні розглядати їх як ще одну критично важливу аудиторію зацікавлених сторін поряд з іншими, щодо яких ви плануєте працювати.

Підводячи підсумок

Програма підвищення обізнаності про безпеку допомагає співробітникам зменшити ризики та загрози та вплітає безпеку в культуру компанії. Розгляньте 3 напутні слова поради:

• Сприяти обізнаності та культурі безпеки на всіх рівнях організації.
• Зосередьтеся на поведінці та аспектах управління змінами, пов’язаних з обізнаністю про безпеку та підготовкою до управління людськими ризиками.
• Демістифікуйте безпеку — спростіть її для своїх співробітників.