Измерение изменения культуры информационной безопасности.
Рассмотрим культуру информационной безопасности как важный элемент эффективной системы информационной безопасности организации. Успех защиты информации зависит от того, убеждены ли сотрудники в необходимости безопасного поведения и формирования строгой культуры информационной безопасности. Авторы отмечают, что объединение существующих подходов к управлению изменениями, таких как модель Prosci ADKAR и диагностический инструмент для оценки культуры информационной безопасности (ISCA), позволит помочь в исправлении рискового поведения сотрудников, которые могут поставить под угрозу информационную безопасность.
Поведение сотрудников является постоянной проблемой для информационной безопасности организации в связи со стабильным количеством инцидентов информационной безопасности, вызванных поведением сотрудников. Формирование культуры информационной безопасности является актуальной темой исследований. Целью данного исследования является предложение подхода к развитию и оценке культуры информационной безопасности по средствам обучения персонала на курсах повышения квалификации <1>. Такой подход объединяет существующие подходы к управлению изменениями, такие как модель Prosci ADKAR и диагностический инструмент для оценки культуры информационной безопасности (ISCA <2>), чтобы помочь в исправлении рискового поведения сотрудников, которые могут поставить под угрозу информационную безопасность.
<1> Вилкова А.В., Литвишков В.М., Швырев Б.А. Проблемы непрерывного обучения персонала информационной безопасности // Мир науки, культуры, образования. 2019. N 4 (77). С. 29 - 31; Швырев Б.А. Образовательные потребности в информационной безопасности // Международный журнал гуманитарных и естественных наук. 2019. N 5-1. С. 31 - 33; Швырев Б.А. Основные понятия национальной кибербезопасности государств, входящих в Северо-Атлантический альянс: монография. Краснодар: Новация; М.: ФКУ НИИ ФСИН России, 2018. 114 с.
<2> Международная ассоциация речевой коммуникации. URL: https://isca-speech.org/iscaweb/.
Модель ADKAR <3> - практическое решение для управления индивидуальными или организационными изменениями. Построенная на исследовании, проведенном в более чем 900 компаниях, модель проста в изучении, разумна, нацелена на действия и необходима для изменений. Что действительно дает этой модели преимущество - упор на индивидуальные изменения. В то время как многие проекты по управлению изменениями фокусируются на шагах, необходимых для организационных изменений, ADKAR акцентирует внимание на том, что успешные организационные изменения произойдут, только когда каждый человек будет способен к ним.
<3> Модель Prosci ADKAR(R) - одна из наиболее востребованных моделей управления изменениями. URL: https://www.prosci.com/adkar.
Эта модель, разработанная Джеффом Хиаттом (Jeff Hiatt), CEO компании Prosci Change Management, фокусируется на пяти действиях, результаты которых необходимы для успешного изменения индивидуума и, как следствие, изменения внутри организации. Хиатт ссылается на каждое из этих пяти действий как на "кирпичик", необходимый для успешного индивидуального изменения и, как следствие, изменения организационного. Данный процесс последователен. Другими словами, каждый шаг должен быть выполнен перед тем, как двигаться к следующему.
ADKAR расшифровывается как пять целей, которые люди должны достичь, чтобы добиться успешных изменений:
Осведомленность: ведение людей к необходимости перемен.
Желание: привитие желания перемен.
Знание: предоставление сотрудникам информации или навыков, необходимых для достижения изменений.
Способность: применение знаний и навыков для достижения изменений.
Усиление: обеспечение того, чтобы люди продолжали использовать новые методы.
Хотя очень краткое изложение этапов, с помощью которых мы должны вести людей в процессе изменений, может показаться простым, о них, безусловно, легче сказать, чем выполнить.
1. Осведомленность. Важно понимать, что, осуществляя изменения, вы требуете, чтобы сотрудники вышли за пределы своей зоны комфорта. Они не станут делать этого с готовностью, если вы не сможете донести до них понимание того, зачем нужны перемены.
2. Желание. Понимание необходимости изменений и желание изменений - это две разные вещи. Когда люди искренне хотят видеть позитивные изменения, они сделают все возможное, чтобы поддержать изменения. Когда они этого не делают, вам придется принудительно переводить их через процесс изменения от начала до конца. Чтобы появилось желание перемен, люди должны знать, почему они хороши для них. Например, они должны понимать важность повышения информационной безопасности организации и значимость личной осведомленности о безопасности для выполнения своих текущих задач и перспектив карьерного роста.
3. Знание. Нет смысла пытаться осуществить изменения, если люди, чья работа меняется, не знают, как добиться цели. Например, при возникновении новой угрозы информационной безопасности как минимум надо проинформировать сотрудников об этом и обучить их основам противодействия ей.
4. Способность. Знание того, как сделать что-то, не обязательно означает, что вы можете сделать это на практике. Множество теоретических занятий по изучению основ информационной безопасности не заменят практических занятий, направленных на выработку навыков.
5. Усиление. Навык не сформируется от одно- или двукратного повторения действия. Для формирования устойчивых навыков, помимо знаний, способностей и умений, необходимо регулярно повторять и тренировать их.
Нет строгого правила о том, сколько времени требуется людям, чтобы сформировать новые привычки <4>. Существует ошибочное мнение, что новая привычка вырабатывается за 21 день. Даже относительно простые изменения занимают в среднем 66 дней, прежде чем стать привычками, и даже после этого времени их легко забыть.
<4> Готсданкер А. Бизнес-психология: почему сотрудники всегда против изменений. М.: Издательские решения, 2015. 136 с.
Это означает, что систематическое повторение и подкрепление знаний - это действительно постоянный процесс.
Людям важно знать, достигают ли они результатов усвоения программ обучения или нет <5>. Своевременная оценка способна подбодрить и подтолкнуть сотрудника к новым достижениям <6>. В случае отрицательной успеваемости руководитель должен скорректировать оценку для подкрепления интереса к дальнейшему обучению, например увеличением оценочного интервала.
<5> Pedley D., McHenry D., Motha H., Shah J. Understanding the UK cyber security skills labour market: Research report for the Department for Digital, Culture, Media and Sport. Department for Digital, Culture, Media & Sport, 2018. 76 p.
<6> Skudalova O.V. Personal factor of a social entrepreneur in the context of the inclusive economy development // International Journal of Innovative Technology and Exploring Engineering. 2019. T. 8. N 8. P. 2996 - 3002.
