Как улучшить корпоративную безопасность созданием эффективных поведенческих паттернов пользователей

Средства корпоративной информационной безопасности почти никогда не работают «сами по себе», а требуют соблюдения пользователями определённых правил, то есть ограничений в поведении. Будут ли такие правила выполняться естественно и автоматически или будут постоянно саботироваться, зависит как от самих правил, так и от методики их внедрения. Правила, выполняющиеся всеми сотрудниками автоматически, снижают стоимость средств контроля, требуют меньше внимания со стороны контролирующих и уменьшают количество нарушений. Курс представляет методику мягкого прививания корпоративных правил персоналу на основе постепенного введения в корпоративную культуру четких и понятных правил, эффективных средств контроля и чёткой и неотвратимой обратной связи с учётом различных психотипов сотрудников.

Одних технических мер для обеспечения информационной безопасности недостаточно, особенно во внутренней безопасности:
- многое нельзя запретить легальным пользователям
- большое количество false positives при попытках вмешиваться в бизнес-процессы
- ограниченные ресурсы на контроль и наказание сотрудников: на каждое наказание надо заполнять кучу бумаг

Основные принципы внедрения корпоративных правил на уровень автоматической «самоцензуры»:
- чёткие и однозначные правила
- независимый инструмент контроля
- понятная и неотвратимая обратная связь
- пошаговое внедрение

Основные ресурсы при внедрении правил:
- «покровитель проекта» из бизнес-руководства
- легализованный инструмент контроля
- публичность обратной связи (обучения, наказания)

Типология нарушителей правил:
- Абсолютно законопослушные (АЗ): выполняют правила всегда и без контроля (5-10%)
- Абсолютно незаконопослушные (АНЗ): принципиально нарушают правила (5-10%)
- Условно законопослушные (УЗ): выполняют «разумные» правила, если их выполняют другие (40-45%)
- Условно незаконопослушные (УНЗ): не нарушают правил из-за угрозы наказания (40-45%)

Условия создания работающих правил:
- Правила одни для всех
- Правило «разбитых окон»
- Неотвратимость наказания

Этапы внедрения новых правил:
- декларация с уведомлением всех подверженных правилу
- введение контроля правила с уведомлением о нарушениях
- введение контроля правила с предупреждением о наказании
- наказание виновных в нарушении

Разные подходы для разных типов «законопослушности»:
- АЗ: используем как пример
- УЗ: вовлекаем, опираясь на АЗ
- АНЗ: избавляемся от них
- УНЗ: демонстрируем им наказанных АНЗ

Роль независимой системы контроля на разных этапах внедрения правила
- выделение АЗ
- демонстрация УЗ, что остальные правила выполняют
- сбор доказательств для наказания УНЗ
- увольнение АНЗ при систематическом нарушении

Изменение правил:
- создание «приемлемого профиля»
- отслеживание аномальных отклонений от профиля
- анализ ложных срабатываний
- адаптация правил и систем контроля

«Убийцы правил»
- частая их смена
- преступление без наказания
- неизолированные исключения

Обработка исключений:
- как объяснить всем, кого касаются правила, что некоторых правила не касаются
- как изолировать одних от других
- адаптация разных правил для разных групп

Сохранение управляемости:
- как управлять «шириной коридора»
- что делать, если инциденты больше не появляются
- ресурсный принцип: так настраивать систему, чтобы

Разбор кейса из реальной практики

На мастер-классе слушатели получат готовую методику пошагового внедрения корпоративных правил информационной безопасности, со временем выполняемых сотрудниками автоматически, на уровне «здесь так принято».

00:12 О теме мастер-класса. План мастер-класса

02:00 Понятие «корпоративная культура»

04:24 Об отличиях и общей черте корпоративных культур

05:30 Как сэкономить на правилах?

06:55 «Не хочу выглядеть идиотом»: а вы задумывались, почему люди выполняют правила?

10:30 Разделение правил по принципу легкости их выполнения

15:13 Недостаточно просто зафиксировать превышение скорости водителем, надо сообщить ему о том, что факт нарушения установлен: как сформировать принципы поведенческих паттернов?

20:22 Идеальное трио: правила, контроль, обратная связь

23:46 О главной ошибке специалиста по информационной безопасности

26:24 «Иногда проще дать человеку ошибиться, чем объяснять, почему этого делать нельзя»: о принципах формирования привычек

28:50 Без поддержки руководства не обойтись: почему проектам по информационной безопасности нужна поддержка руководителей?

30:36 Принцип «разбитых окон» в США и в России: каждый инцидент необходимо рассматривать как угрозу лавинообразного нарушения правил

34:35 Принцип неотвратимости наказания: обрабатывайте каждый инцидент

36:16 «Что русскому хорошо, немцу смерть»: учитывайте национальные особенности

39:46 О методике: типы людей по их отношению к правилам. Кейс №1 и Кейс №2

44:31 Идеальный процесс vs реальный

48:12 О принципе предельного количества инцидентов

49:10 Итоговый слайд с основными концепциями мастер-класса