Co znajdziesz w tym artykule?
Dlaczego powinniśmy poważnie traktować szkolenia dla pracowników?
Oczywiście mamy świadomość tego, że najsłabszym ogniwem w kontekście bezpieczeństwa informacji jest człowiek . Nie ma nic w tym złego ani dziwnego. Systemy są tak dobrze zabezpieczone jak właśnie my jako ludzie potrafimy je zabezpieczyć. Dodatkowo im więcej nas uczestniczy w procesie tym niestety potencjalnie większa szansa na błąd. Dlatego tak kluczową rolę odrywają szkolenia dla pracowników. Najczęściej nie są one prowadzone przez dedykowane do tego działy a właśnie przez dział IT. Istnieje szansa, że to właśnie Ty będziesz bezpośrednio lub nie odpowiedzialny za przekazywanie tej wiedzy i uświadamianie pracowników.
Jak w takim razie przekazywać i szkolić pracowników z cyber awareness lub nowych rozwiązań? W tym wpisie podzielę się z Tobą moimi przemyśleniami i doświadczeniami na ten temat.
Nie dopuść aby czuli się jak złodzieje!
Bardzo często spotykałem się z tym, że wdrażając nowe systemy bezpieczeństwa pierwszą reakcją pracowników było: „Ale przecież my nie kradniemy! O co chodzi?” albo „Teraz będziecie wiedzieli co my robimy? Będziecie to komuś raportować?”. Dlatego jest ważne aby przy wdrażaniu tego typu systemów pracownicy byli uświadomieni, że tak naprawdę to jest dla nich, żeby to ich wspomóc.
Oczywiście abstrahując od tego, że systemy bezpieczeństwa powinny być tak wdrażane aby nie powodować dodatkowych utrudnień i żeby wśród pracowników było jak najmniej głosów typu : „Przecież robiliśmy to do tej pory tak i było w porządku więc dlaczego nam to komplikujecie?”.
Powinniśmy wdrażać systemy tak aby nie było to uciążliwe ale również, żeby nie czuli się jak złodzieje. Nie powinno to wyglądać tak, że wdrażamy dodatkowe systemy bo traktujemy naszych użytkowników jak potencjalnych złoczyńców.
Powinniśmy ich uświadomić, że to w zasadzie jest dla ich dobra. Systemy bezpieczeństwa są po to aby wspomóc ich oraz aby uchronić przed popełnieniem błędów a w przypadku popełnienia żeby konsekwencje takowych były jak najmniejsze.
Dając za przykład systemy DLP: Użytkownicy dzięki klasyfikacji popełnią mniej błędów gdzie poufne dane zostaną wysłane poza organizację.
Zadbaj o atrakcyjność szkolenia!
Szkolenia z bezpieczeństwa informacji najczęściej są nieatrakcyjne. Większość pracowników traktuje jako „zło konieczne” lub kolejną sprawę do odbębnienia. Najczęściej po prostu „śpią”, po prostu są. Nie ma większego sensu odbywanie szkolenia tylko po to aby pracownik podpisał kwitek na koniec szkolenia, że na takim był. Co z tego, że szkolenie się odbyło jeśli nie będzie potem z wiedzy z tego szkolenia korzystał. Dlatego moim zdaniem poza oczywistą wartością jaką są szkolenia i informacje podczas niego dla organizacji powinniśmy dać uczestnikom dość dużo przykładów, które oni będą mogli zastosować w swoim prywatnym życiu. Czyli abyśmy w trakcie szkolenia pracowników odpowiedzieli im na pytania:
Tylko po co mi to? Da się to wykorzystać w życiu prywatnym?
Dając informację które są w stanie zastosować w swoim życiu prywatnym będą mieli większe zaufanie bo zobaczą, że nie przyszliśmy tylko by odbębnić jakieś kolejne korpo szkolenie, mieć zapis w kwitach i ew. „haki” na pracowników w przypadku jakiegoś incydentu. Zobaczą, że zależy nam aby przekazać jakąś wartość dodaną. Będzie miało to też bardzo pozytywny wpływ na ich skupienie.
Każdy będzie przecież z skupieniem słuchać informacji jeśli dzięki szkoleniu będą mogli oni podnieść poziom bezpieczeństwa wśród swoich znajomych czy w swoich rodzinach – pomóc swoim rodzicom czy swoim dzieciom. Dodatkowo jeśli dostaną coś co mogą wykorzystać w życiu prywatnym to istnieje większa szansa, że zastosują zdobytą wiedzę w naszej organizacji. Będą lepiej PAMIĘTAĆ co było na szkoleniu.
Jeżeli nauczymy ludzi jak mogą przykładowo rozróżnić złośliwą wiadomość tak aby ich najbliżsi i oni sami nie padli ofiarą „nigeryjskiego księcia” to istnieje bardzo duże prawdopodobieństwo, że zareagują poprawnie na podejrzanego maila w skrzynce firmowej.
Właściwe wyciąganie konsekwencji
Łączy się trochę z Rozliczalnością z triady CIA oraz z punktem pierwszym. Bardzo często naruszenia bezpieczeństwa czy nieprawidłowości nie ujrzą światła dziennego gdyż pracownicy najzwyczajniej w świecie boją się konsekwencji.
Konsekwencje często są wyciągane wobec osób, które są na samym końcu łańcucha decyzyjnego.
Rozważmy przypadek wpuszczania osób przez recepcje na teren biura, kiedy to osoba wchodząca powołuje się na pracownika, który tego dnia jest na urlopie. Recepcja jest poddana presji, że jest tu „bardzo ważny Pan z teczką” i wiedzą, że w przypadku nie wpuszczenia jej otrzymają „burę” od managera czy zarządu. Czyli nie mają po swojej stronie w takich sytuacjach wparcia managera czy najwyższego kierownictwa to nie dziwmy się, że bardzo często te osoby ulegną presji. Nie zrzucajmy potem na nie całej winy jeśli cały proces nie działa poprawnie. Powinniśmy przede wszystkim szukać odpowiedzialnych jak najwyżej w całej tej hierarchii lub po prostu osoby odpowiedzialnej za wadliwy proces.
Kolejny przykład: Najczęstszą przyczyną incydentu bezpieczeństwa jest zgubienie dokumentów, udostępnienie karty czy zdjęcia karty dostępu. Czy pracownik zgłosi nam incydent jeśli wie, że jedyne co go spotka to kara lub konsekwencje wyciągnięte wobec niego? Będzie mieć opory przez zgłoszeniem jeżeli wie, że np. jego manager lub współpracownicy będą go oceniać, robić sobie wycieczki personalne w jego stronę, dział IT będzie wzdychać i kręcić oczami itp. Itd. Oczywiście nie zmienimy wszystkich. Możemy natomiast zadbać o nasze reakcje.
Powinieneś, jako osoba odpowiedzialna za bezpieczeństwo, zadbać aby pracownicy nie bali się, że jedyne co ich spotka to kara i pretensje.
Dodatkowa rada – Nie traktuj innych jak „debili”
Sposób w jaki traktujesz osoby, które uczysz o bezpieczeństwie będzie mieć bezpośredni wpływ na to jakie będziesz mieć efekty szkoleniowe. Często spotykamy dużo prześmiewczych obrazków czy memów na ten temat w Internecie. Dział IT traktuje zwykłych userów jak na troglodytów a użytkownicy dział IT jak kosmitów. Czy tak uważasz ? Czy przez pryzmat wiedzy technicznej, którą posiadasz będziesz oceniać ludzi? Ludzie to momentalnie wyczują jeśli będziesz ich podświadomie nawet traktować z góry.
Szczerze? Oni nie muszą się znać. Mają swoją robotę a Ty swoją do wykonania. Śmiem twierdzić, że w wielu przypadkach gdyby nie oni to nie było by nas. Gdyby nie to , że firma zarabia na pracy tych osób to nie mielibyśmy zatrudnienia. Bez generowanych informacji nie byłoby potrzeba osób czuwających nad ich bezpieczeństwem.
Podsumowanie
Spójrz na użytkowników jako na ludzi, który mają swoje problemy przy wykonywaniu swojej pracy. Postaraj się wyjść im naprzeciw w ich potrzebach i oczekiwaniach. Pomóż im wykonywać ich pracę bezpiecznie. Dzięki temu Ty będziesz mieć mniej pracy… A może właśnie więcej przez liczbę zgłoszeń od pracowników. To oni pierwsi się spotkają z incydentem lub będą mogli mu zapobiec. Jeśli będziesz mieć z nimi zbudowaną dobrą relację i traktować ich jak „normalnych” ludzi to odwdzięczą się informacjami. W końcu być może dowiesz się ile tak naprawdę dzieje się na styku Twojej organizacji z Internetem.
A jakie są Twoje doświadczenia z szkoleniem pracowników? Maiłeś okazję to robić? Masz swoje przemyślenia? Podziel się nimi w komentarzu!