Кибератаки становятся всё продуманнее, а противостоять им всё сложнее — как отдельному пользователю, так и бизнесу. На этом фоне кибербезопасность становится не просто IT-задачей бизнеса, а частью корпоративной культуры. Но как создать среду, где безопасные действия совершать проще и выгоднее, чем рискованные? Этому вопросу была посвящена сессия на Анти-конференции для HR, которую организовал «Кибердом». Модератором сессии выступила Анна Теклина, партнёр Formatta и лидер практики по сопровождению изменений в людях, командах, организациях.
В этой статье расскажем, что такое киберкультура, какие практики работают для её активации и как ведущие компании её развивают.
Кибербезопасность — актуальный фокус бизнеса и HR
Кибербезопасность — это комплекс мер и практик, направленных на защиту данных от несанкционированного доступа, утечек, повреждений и других угроз, связанных с использованием информационных технологий. Главная цель кибербезопасности — обеспечить конфиденциальность данных, а также защитить ресурсы компании от вредоносных действий: вирусов, хакерских атак, фишинга.
Исследование инцидентов информационной безопасности, с которыми столкнулись российские компании за первое полугодие 2024 года, показало, что в 80% случаев главной причиной проблем был человеческий фактор — по данным центра противодействия киберугрозам Innostage SOC CyberART.
В условиях нарастающих киберрисков информационная безопасность становится не просто технологическим процессом, а ключевым элементом корпоративной культуры. И поэтому кибербезопасность сегодня — важная зона ответственности HR, поскольку именно эта функция отвечает за формирование и закрепление ценностей.
Однако кибербезопасность в корпоративной среде — это не просто набор запретов и регламентов. Это принятая в компании норма поведения, которая защищает данные, репутацию и выручку. Когда безопасность становится ценностью, у сотрудников появляется ясный ответ на вопрос «зачем», а у руководителей — инструменты для формирования привычек. Когда безопасность — одна из ценностей, сотрудники:
- понимают, зачем выполняют требования;
- видят, как их поведение снижает риски;
- получают помощь, а не санкции за ошибки;
- участвуют в улучшениях: предлагают идеи по оптимизации процессов и делятся кейсами, в том числе ошибками.
Кибербезопасность как элемент культуры
Именно культура и установки задают, «как принято» в ежедневных микрорешениях: не открыть сомнительное письмо, не поделиться доступом, не перейти по ссылке.
Анна Теклина, партнёр Formatta, отмечает: «Ценности информационной безопасности — как любые другие корпоративные ценности — становятся драйвером роста и внутренним защитником бизнеса. Но это возможно, только если их формулируют с уважением к текущему устройству, на основе диагностики действующих установок сотрудников, с вниманием к неизбежному сопротивлению, которое появляется при внедрении любого нового — и при реальном вовлечении команды на всех уровнях. В таком виде они работают как управленческий ориентир: дают возможность быстрее принимать решения и реагировать на угрозы, смелее брать на себя ответственность в критических ситуациях, помогают проактивно снижать риски и повышать уровень цифровой осознанности.»
Осмысление опыта российских компаний — «Билайна» и «Инфосистем Джет» — показывает, что успех в построении киберкультуры строится на трёх стратегических направлениях: поддержка вместо наказания, практико-ориентированное обучение для изменения реального поведения, интеграция основ кибербезопасности в основные бизнес-процессы.
Как активировать корпоративную ценность, связанную с кибербезопаностью
1. Практика вместо теории, геймификация
Главное правило: традиционное обучение имеет минимальное влияние на реальные действия сотрудников. Компании перестают измерять уровень развитости киберкультуры количеством проведённых курсов по информационной безопасности и переходят к оценке фактического сокращения рисков.
Анастасия Иванова, руководитель направления Киберкультуры Билайн, отметила: «Традиционное обучение помогает сформировать знания, это важно. Но оно не позволяет сформировать реальный навык поведения в критической ситуации. Мы делаем фокус именно на практико-ориентированном обучении, кейс-стади, тренировках.
При этом компания не просто смотрит, сколько людей прошло практические тренинги, а измеряет реальную динамику инцидентов и нарушений политик безопасности: мы сравниваем количество нарушений, которые допустили сотрудники, вовлеченные в активности по кибербезопасности и те, кто в них не участвовал. И уже исходя из этого, смотрим, какие активности более удачные и эффективные, а какие нет.
Один из удачных способов привлечь внимание к культуре — геймификация. Для закрепления знаний о парольной политике в Билайне мы, например, разработали игру «Пароль за 300».
2. Кибербезопасность как часть ДНК компании и ключевых процессов — ещё на стадии их проектирования
Кибербезопасность должна быть интегрирована во все процессы и стратегические документы. Важно наладить связь между командами кибербезопасности и разработки: тогда принципы безопасности встраивается прямо в производственный процесс, чтобы предотвращать уязвимости на ранних этапах.
Многие компании фиксируют кибербезопасность как одну из ключевых цифровых компетенций в корпоративных моделях. В таком случае эта компетенция оценивается в рамках ассессментов, встраивается в программы обучения сотрудников.
В последнее время мы всё чаще получаем запросы на разработку и оценку цифровых компетенций. Компании обращаются с такими задачами: сформулировать чёткие индикаторы поведения, обновить модели компетенций под бизнес-риски, подобрать валидные инструменты оценки (SJT, психометрика, кейсы), а затем быстро перевести это в обучение и практики на рабочем месте. Запрос идёт из разных отраслей и уровней — от массовых офисных функций до топ-команд, где важно задать стандарт и тиражировать его внутри организации.
3. Не наказание, а поддержка
Строгие правила и регламенты чаще всего не работают против ошибок, совершённых «здесь и сейчас». Поэтому компании сегодня смещают фокус: от контроля — к поддержке и удобству соблюдений правил кибербезопасности. И пока культура информационной безопасности только формируется, прогрессивные бизнесы рассматривают ошибки как источник обучения, перестройки процесса, а не повод наказать сотрудника. Фокус делается на поддержке и формировании «тактик правильного реагирования на угрозы».
Микроподсказки, продуманный UX, ограничение лишних кликов делают безопасные действия удобнее и привычнее, чем небезопасные.
Ещё один способ помочь коллегам в освоении правил кибербезопасности — службы поддержки сотрудников, куда человек может обратиться со сложным кейсом, вопросом относительно работы с данными и получить ответ: как правильно повести себя конкретно в его ситуации. Такая линии поддержки действует, к примеру, в Билайне.
Лояльность сотрудников как дополнительный фактор защиты от кибер-рисков
Как известно, корпоративная культура «съедает стратегию на завтрак», а отсутствие киберкультуры способно поставить под вопрос само существование компании. В «Инфосистемы Джет» к развитию киберкультуры подходят системно: сотрудников обучают и тренируют на регулярной основе. Ольга Ковардакова, HRD компании, отмечает, что одним из неожиданных, но мощных факторов безопасности становится высокий eNPS (показатель лояльности). По её словам, мошенники нередко копируют её аккаунт, пытаясь выманить информацию у сотрудников, однако лояльность даже бывших коллег срабатывает как защита: если человек сохраняет приверженность компании спустя годы, он находит время быстро предупредить о попытке обмана — и это помогает вовремя среагировать и предупредить остальных.
Это — живой пример того, как инвестиции в HR-бренд и eNPS окупаются даже в сфере информационной безопасности.
