Организационное и документационное сопровождение процессов обучения и тренировки навыков ИБ.

Большая часть специалистов по информационной безопасности уже пришли к пониманию необходимости обучения и тренировки навыков сотрудников. Однако практическая реализация этих процессов во многих случаях представляет собой продукт «интуитивных» экспериментов, а также попыток добиться положительного результата методом проб и ошибок. Очевидно, что для получения нужного результата требуется другой подход – основанный на научных исследованиях и проверенных психологических методиках.

Мы начинаем публикацию цикла статей, который поможет ИБ-службам качественно организовать процессы обучения и тренировки. В них мы поделимся собственным опытом и универсальными наработками, которые легко адаптировать и использовать в собственной практике. Это позволит избежать типовых ошибок и предупредить множество неприятных рабочих ситуаций, начиная от разрешения конфликтов с отдельными сотрудниками и заканчивая необходимостью объяснить вышестоящему руководителю рациональность тех или иных мер и нововведений.

Первая статья посвящена тому, как организовать адаптацию сотрудников компании к процессу обучения и тренировки навыков в сфере информационной безопасности.

Вторая рассказывает о том, как справиться с возражениями сотрудников, по той или иной причине отказывающихся проходить обучение и тренировки навыков.

 

Адаптация персонала к процессам обучения и тренировки навыков ИБ

Проблема внедрения новых процессов в работу кажется вечной, особенно если это касается процессов обучения и тренировки навыков ИБ. Даже простое изменение платформы для обучающих курсов нередко приводит к тому, что сотрудники перестают соблюдать установленные правила. Когда же процессы требуется создать с нуля, сопротивление экспоненциально возрастает.

В этой статье мы поговорим о том, как использовать методы адаптации для процессов ИБ, чтобы систематизировать все необходимые действия и объединить их в единый план-программу.

 

Что такое адаптация и зачем она нужна?

Адаптация персонала — процесс «привыкания» сотрудников к новой деятельности в компании. HR-коллеги под «адаптацией персонала» понимают интеграцию в рабочий процесс и корпоративную культуру новых сотрудников и тех, кто перешёл на новую должность или в другой отдел.

Таким образом, адаптацию персонала к процессам ИБ можно рассматривать как начальное знакомство новых  сотрудников с принятыми в компании правилами ИБ, первичное обучение и тренировку навыков ИБ, а также разъяснительную работу по новым процессам и инструментам ИБ, внедряемым в компании.

Можно выделить следующие преимущества, которые даёт компании система адаптации персонала к процессам ИБ:

• сохраняется необходимый уровень производительности труда при минимуме затрат временных, экономических и административных ресурсов со стороны сотрудника и компании;
• новый сотрудник быстрее получает доступ к информационным ресурсам компании;
• уменьшается риск серьёзных инцидентов безопасности;
• уменьшается число конфликтов, возражений и неожиданных увольнений;
• поддерживаются положительные отношения сотрудников с ИБ-отделом;
• снижается уровень стресса, тревожности и неуверенности сотрудников перед соблюдением правил ИБ, потенциальными ошибками в процессе обучения и тренировки навыков.

Чем качественнее проходит адаптация, тем меньше возникает в дальнейшей работе возражений, конфликтов, недопониманий и нарушений установленных норм. Для этого адаптация должна быть чётко организована и регламентирована, иметь ясную цель, понятную и логичную структуру. Добиться этого поможет индивидуальная корпоративная программа адаптации персонала к процессам ИБ в компании, содержащая основные этапы адаптации, инструменты реализации и взаимодействия с сотрудниками, временные рамки и критерии оценки эффективности/успешности адаптации.

 

Основные этапы адаптации персонала к процессам ИБ включают в себя:

1. Оценку уровня подготовленности. Необходимо определить уровень текущих знаний и навыков ИБ сотрудника: какие у сотрудника есть знания в области личной цифровой безопасности, был ли опыт столкновения с мошенниками, проходил ли он обучение и тренировку имитированными атаками на предыдущем месте работы. Оптимальнее всего выяснить это на этапе собеседования или в течение первой недели работы нового сотрудника с помощью интервью, анкетирования или опросника.
2. Вводное информирование. Включает в себя начальное знакомство сотрудника с общими правилами ИБ в компании, кратким описанием обязательных процессов, в том числе обучением и тренировками, системой поощрения за правильные действия и наказания за неправильные. Этот этап важен, поскольку избавляет сотрудника от неприятных сюрпризов и формирует восприятие процессов ИБ как чего-то само собой разумеющегося и неизбежного. Лучше всего этот этап совместить с оценкой уровня подготовленности на этапе собеседования или в течение первой недели работы нового сотрудника.
3. Первичный инструктаж. Первое полное ознакомление сотрудника со всеми регламентирующими документами по ИБ, непосредственно связанными с его работой. Оптимально проводить в течение первого месяца работы нового сотрудника в электронном или бумажном виде.
4. Первичное обучение. Первый назначенный курс обучения в данной компании. Оптимально проводить в течение первого месяца работы нового сотрудника, совместив с проверкой знаний в виде тестирования.
5. Первичную тренировку навыков. Первые три имитированных атаки, назначенные сотруднику, чтобы оценить качество усвоения теоретических знаний на курсе обучения и имеющиеся навыки распознавания цифровых атак. Эту проверку лучше провести в течение месяца после прохождения сотрудником первичного обучения.
6. Оценку успешности адаптации. Этот этап представляет собой подведение итогов адаптации сотрудника. При этом сравниваются первоначальная и итоговая оценки подготовленности, определяется, все ли этапы были успешно пройдены, где возникли затруднения и т. д. Оптимально проводить спустя полтора-два месяца после приёма сотрудника или с момента окончания последнего этапа адаптации.

 

Инструменты взаимодействия с сотрудниками по процессам ИБ

Если технические инструменты, как правило, привычны и понятны, то инструменты поддержания коммуникации с сотрудниками, проходящими адаптацию, могут вызывать вопросы. Особенно если необходимо налаживать их регулярное использование, структурировать общение.

Рассмотрим некоторые инструменты, которые позволяют наладить взаимодействие с сотрудниками. Их использование не ограничивается адаптацией новых сотрудников. Получив начальные навыки, сотрудники привыкают в дальнейшем использовать их для повседневной работы.

Важный момент: внедрение новых ИБ-процессов часто вызывает раздражение и сопротивление у «костяка», состоящего из опытных сотрудников. Чтобы этого раздражения избежать, нужно регулярно общаться со всем персоналом посредством следующих инструментов:

Поддержание всех перечисленных способов взаимодействия с персоналом — сложная задача, которая полностью находится в сфере ответственности специалистов по ИБ. Однако систематическое применение данных инструментов формирует стабильный и надёжный канал связи со всеми сотрудниками, создаёт положительное и ответственное отношение сотрудников к ИБ как к неотъемлемой части всех рабочих процессов.

Использование этих инструментов позволяет провести «рефрейминг», изменив отношение сотрудников с «безопасники мешают работать» на «компания снижает риски», «пользователи повышают свой уровень/устойчивость к мошенникам» и т. п. Для этого следует использовать позитивные формулировки, избегать приказного тона, включать в письма элементы заботы, поддержки и  понимания. Разумеется, необходимо помнить и о базовых принципах корпоративной этики: вежливости, краткости, ясности и своевременности.

 

Частота взаимодействия по процессам ИБ

Регулярность взаимодействия с сотрудниками по процессам ИБ подразумевает наличие определённой периодичности и правил коммуникации, которые также должны быть прописаны в программе адаптации в виде плана-графика.

Мы рекомендуем придерживаться следующей частоты и триггеров взаимодействия:

ВАЖНО! В зависимости от подготовки и опыта нового сотрудника, его психологических качеств и специализации срок адаптации к процессам ИБ может составлять от двух месяцев до полугода.

 

Оценка адаптации персонала к процессам ИБ

Как любой целенаправленный процесс, адаптация персонала в ИБ нуждается в подведении итогов, которое позволяет оценить эффективность реализации адаптации, а также выяснить необходимость коррекции или доработки.

Результат адаптации показывает, насколько успешно сумел пройти все этапы, научился использовать все необходимые ИБ-инструменты. В качестве итога сотруднику может присваиваться статус адаптации (успешно/неуспешно), выставляться оценка на основании результатов тестирования и имитированных атак, составляться рейтинг успешности по компании и т. д.

 

По результату адаптации сотрудники делятся на следующие типы:

1. Неадаптивные. Сотрудник не разделяет корпоративных ценностей, не следует установленным нормам и правилам. В процессе адаптации это может проявляться в виде игнорирования сообщений от специалистов по ИБ, непрохождении назначенных курсов обучения, злостном нарушении правил безопасности и т. п. Чаще всего такие сотрудники увольняются в первые месяцы работы или их увольняют за низкую производительность труда.
2. Адаптивные. Сотрудник целиком принимает и следует установленным правилам, выполняя все поставленные перед ним задачи. Данный тип сотрудников обычно представляет большую часть штата любой компании.
3. Ложноадаптивные. Сотрудник формально принимает установленные правила и следует им, выполняя все поставленные перед ним задачи, однако внутренне не согласен с данными процессами. В итоге он после испытательного срока начинает нарушать установленные процессы ИБ или увольняется, подобно неадаптивным коллегам.
4. Адаптивные индивидуалисты. Сотрудник целиком принимает установленные правила и следует им, выполняя все поставленные перед ним задачи, при этом сохраняя свою точку зрения и отношение к данным процессам, что выражается в активном соучастии в их преобразовании и доработке.

Адаптация персонала — одна из наиболее сложных задач, падающих на плечи специалистов по информационной безопасности. Тем не менее последовательное применение приведённых в статье инструментов позволяет решить эту задачу с приемлемыми затратами времени и ресурсов, но самое главное — сформировать фундамент корпоративной ИБ-культуры и создать у сотрудников целостное понимание важности соблюдения требований безопасности.

 

Работа с возражениями сотрудников в процессах обучения и тренировки навыков ИБ

Работа с возражениями сотрудников по поводу любых нововведений в рабочие процессы — важная часть обучения и тренировки навыков ИБ у сотрудников. Опыт крупных компаний показывает, что специалисты ИБ просто не знают, как корректно реагировать на сопротивление со стороны неподконтрольных им коллег.

В этой статье мы рассмотрим основные виды возражений против обучения, их причины и формы проявления, расскажем, как реагировать на возражения сотрудников и прогнозировать их, поделимся краткосрочными стратегиями, которые помогут «здесь и сейчас», а также обсудим долгосрочные стратегии формирования позитивного имиджа отдела ИБ в компании.

Возражения как симптом                                                                                                                     

Нововведения и возражения тесно связаны между собой, поскольку возражения представляют собой естественную, чаще всего бессознательную, реакцию человека на вторжение в его личное пространство. Прежде чем принять новшества, человеку требуется время на их критическое осмысление. Именно это и происходит с сотрудниками, когда им помимо основной работы приходится заниматься обучением и тренировкой навыков ИБ.

Неизбежность возражений не означает, что можно возложить всю ответственность на самих сотрудников и пустить процесс на самотёк, руководствуясь правилом «решаем проблемы по мере их поступления». Любой опытный менеджер по продажам подтвердит, что, если возражения вовремя снять, в дальнейшем они уже не будут возникать. Таким образом, возражения можно рассматривать как показатель зрелости и проработанности способов внедрения новых процессов в существующую структуру компании и рабочие привычки коллег.

• Если вы только начинаете заниматься развитием навыков безопасного поведения сотрудников, начните с долгосрочных стратегий предотвращения возражений сотрудников.
• Если вы уже ведёте данные процессы и регулярно сталкиваетесь с сопротивлением и негативом со стороны коллег, вам пригодятся краткосрочные решения, от которых можно постепенно перейти к реализации долгосрочных.

Важно! Не стоит полагаться исключительно на краткосрочные решения. Используя их, необходимо в любом случае ориентироваться на долгосрочные решения, поскольку именно долгосрочные решения позволяют проработать положительную мотивацию сотрудников, а эффективность краткосрочных, как правило, проявляется в виде мотивации «избежание наказания».

 

Типы возражений и что с ними делать                                         

У каждого возражения может быть как рациональная причина, связанная, например, с неудобством выстроенного процесса, так и совершенно иррациональная причина, проявляющаяся в виде психологического сопротивления, которое нужно помочь преодолеть. Понимание причины возникновения возражения помогает выбрать оптимальный способ его преодоления.

Выявление корректной причины появления возражений — основная трудность для специалистов ИБ. В разборе возражений мы сделаем особый акцент на психологические аспекты и «сигналы», которые помогут понять истинную природу возражений, а следовательно, выбрать правильный алгоритм работы с ними.

Будет ценно, если вы соберётесь всей командой ИБ и выпишете все возможные возражения, которые могут возникнуть именно у вас в компании с учётом внутренней специфики.

Мы выделяем 15 типов возражений сотрудников:

1. «Мне некогда проходить это обучение. Можно перенести на потом?»
2. «Я уже это проходил. Опять?»
3. «Я и так всёэто знаю, отстаньте».
4. «Это слишком сложно».
5. «Это всёравно ничего не даст».
6. «На меня нет атак! Зачем меня кому-либо взламывать?»
7. «Извините, забыл».
8. «У вас там что-то глючит, всёполомано».
9. «Это не входит в мои должностные обязанности».
10. «Всёравно вы мне ничего не сделаете».
11. «А что мне за это будет?»
12. «Я уволюсь, если не отстанете.»
13. «Мой начальник настаивает, чтобы я сначала сделал свою работу».
14. «Меня не предупреждали, не рассказали правила, я тут ни при чём…»
15. Полное игнорирование.

Рассмотрим эти возражения, их причины и способы их решения подробнее:

 

1. «Мне некогда проходить это обучение/тренировки»

Причины

У сотрудника действительно может быть много работы и не хватать времени на прохождение обучения/тренировок. Но чаще всего подобную фразу используют как отговорку, которая придаёт важности не желающему проходить обучение сотруднику и позволяет скрыть лень или страх неудачи.

Как отличить одно от другого? Предложите сотруднику самому выбрать удобное время и день для прохождения обучения, при этом оговорив временные рамки, например, не позднее чем до конца квартала.

Если человек ссылается на то, что и тогда не найдёт 20 минут для обучения, скорее всего, сработает стратегия «утверждено начальством и является частью работы». Пытаться рационально объяснить полезность обучения в такой ситуации бессмысленно.

Проработка лени и страхов в данном случае возможна только с помощью долгосрочных решений, которые предполагают последовательное формирование  у сотрудников фундаментального представления о данных процессах как об обязательных и абсолютно безопасных,что в процессе обучения можно ошибаться, это не вызовет последующего осуждения или каких-либо санкций.

 

Краткосрочные решения

• Предложите выбрать удобное время/день для прохождения обучения/тренировок: «Добрый день, (коллега)! Принимая к сведению вашу рабочую нагрузку, предлагаем согласовать удобное вам время и дату прохождения обучения и тренировок. Будет ли вам удобно сделать это (в данный временной промежуток)?»
• Используйте авторитет вышестоящего руководителя: обратитесь к руководителю сотрудника, чтобы тот самостоятельно выбрал и назначил время/дату прохождения обучения/тренировок для данного сотрудника.
• Объясните, что данные процессы являются частью обязательной работы: «Добрый день, (коллега)! К сожалению, данное обучение/тренировки невозможно отменить/перенести на столь отдалённый период. Они обязательны для всех сотрудников, включая руководителей, и в соответствии с п.XX трудового договора являются обязательной частью вашей работы. Просим пройти назначенное обучение/тренировки до (указанного срока), иначе мы будем вынуждены (применить меры административного воздействия)».

 

Долгосрочные решения

• Для преодоления лени сотрудников закрепите обязательность соблюдения правил ИБ, своевременного прохождения обучения/тренировок в трудовом договоре, должностной инструкции, регламенте/уставе работы.
• Для преодоления страхов сотрудников сформируйте «безопасную среду» для обучения и тренировки навыков ИБ: повсеместно и регулярно транслируйте мысль, что ошибки в обучении и тренировках неизбежны и ценнее их полного отсутствия, что ошибки в обучении и тренировках не влекут за собой наказания и ущерба по сравнению с реальными атаками, которые возможны.
• Чтобы снять рациональные возражения, обеспечьте изначальную гибкость графика обучения/тренировок, возможность выбора сотрудниками удобного для них времени обучения/тренировок.

 

2. «Я это уже проходил. Опять?»

Причины

Человеческий мозг так устроен, что не любит совершать бессмысленные повторяющиеся действия без очевидного профита, который может получить «здесь и сейчас». Это касается и изучения учебного материала, который сотрудник уже проходил.

Другой рациональной причиной может быть непонимание сотрудниками необходимости регулярно проходить обучение и тренировки ИБ. Для большинства пользователей новые угрозы неотличимы от старых, как и меры противодействия им. Технические детали различий остаются за границей понимания. Из-за этого люди не могут применить полученные теоретические знания для распознавания реальной киберугрозы.

Здесь эффективно работает обычное информирование, которое объясняет, почему необходимо регулярно проходить тренировки и обучение, в чём их отличия, как это влияет на работу и безопасность компании в целом.

Основными нерациональными причинами данного типа возражений являются лень и скука. И ошибочным решением здесь будет поспешить сделать обучение более лёгким, ярким, весёлым, анимированным. Лень и скука — психологический защитный механизм, который преодолевается обязательностью данных процессов. Всё,что кажется людям необязательным, рано или поздно вызовет подобные эмоции, поскольку они служат эволюционным способом экономии собственных энергоресурсов на «ненужные, необязательные вещи».

 

Краткосрочные решения

• Объясните, что данные процессы являются частью обязательной работы.
• Объясните ценность регулярного обучения/тренировок.

 

Долгосрочные решения

• Формируйте у сотрудников представление о процессах ИБ как о системных и регулярных. Добавляйте эту информацию в начало всех учебных курсов, обеспечьте каждого сотрудника доступом к учебному плану, проводите промежуточную оценку актуальных знаний и навыков.
• Транслируйте ценность актуальных знаний ИБ: регулярно информируйте сотрудников о количестве атак, которые удалось детектировать с их помощью за период, поощряйте сотрудников за активное участие в этом процессе.
• Создайте систему рейтинга или нескольких рейтингов для постоянного вовлечения сотрудников в данный процесс. Рейтинг может представлять собой топ-10 сотрудников, чтобы привлечь индивидуалистов, или топ-3 отдела для командных игроков. Важно обеспечить понятные всем правила формирования данного рейтинга, а также постоянный открытый доступ к нему для всех сотрудников.
• Давайте сотрудникам возможность сравнивать свои предыдущие результаты обучения/тренировок с текущими. Для этого необходимо фиксировать имеющиеся результаты и накапливать данную статистику. Это позволит сотрудникам видеть свою динамику, улучшение или ухудшение результатов, а также послужит подтверждением того, что обучение и тренировка навыков требуют регулярности и систематичности.

 

3. «Я и так всё это знаю, отстаньте»

Причины

Этот тип возражений крайне редко бывает рациональным и к тому же является одним из самых сложных для обработки. Понять это помогает эффект Даннинга — Крюгера, который заключается в том, что умные/компетентные люди склонны больше сомневаться в своей компетентности, в то время как люди, не отягощённые интеллектом, практически не способны осознать свою ограниченность. Как следствие, к таким возражениям чаще всего прибегают некомпетентные сотрудники с завышенной самооценкой.

Рациональный вариант этого возражения можно встретить, когда сотрудник искренне считает, что его образования, знаний или пройденного ранее разового обучения в сфере ИБ хватит на всю оставшуюся жизнь. К сожалению, среди этой аудитории часто попадаются сами специалисты по ИБ.

Стратегия обработки данного типа возражений схожа с предыдущими, но включает в себя дополнительный обязательный элемент необходимости «приземлить» сотрудника путём назначения дополнительных сложных атак или внезапного тестирования знаний ИБ, а также наглядной демонстрации его результатов обучения/тренировок. Хорошо работает неформальное манипулирование самоуверенностью через спор «на слабо»:  «если сдашь всё на отлично — можешь не обучаться». Однако такой неформальный тип общения подходит не для всех коллективов, По очевидным причинам это не сработает в общении с oldschool-руководителями, которые требуют к себе особого отношения и уважения просто в силу занимаемой должности или большого опыта работы.

 

Краткосрочные решения

• Объясните важность поддержания актуальных знаний ИБ.
• Предложите пройти промежуточное тестирование как способ проверки того, что сотрудник действительно всё знает: «Добрый день, (коллега)! В связи с вашим нежеланием проходить обязательное регулярное обучение/тренировки было принято решение пойти вам навстречу и провести итоговое тестирование ваших знаний ИБ: (ссылка на тест). Просим пройти назначенное тестирование до (указанного срока). В случае если вы покажете отличный результат, подтвердив полноту и актуальность ваших знаний ИБ, дальнейшее обучение и тренировки будут для вас отменены и заменены коротким промежуточным тестированием».
• Назначьте сложную атаку с использованием новых мошеннических форм манипулирования и ярким нестандартным способом обратной связи (индивидуальная финальная страница со скриншотом лица сотрудника и т. п.), чтобы эмоционально задеть и показать несостоятельность возражения сотрудника.
• Покажите сотруднику имеющуюся актуальную статистику по поведению сотрудников в компании (или его личную). Наглядные цифры — отличный аргумент, тем более когда отличников априори не может быть, ведь все рано или поздно ошибаются.

 

Долгосрочные решения

• Чаще тренируйте сотрудников и предоставляйте им обратную связь по итогам имитированных атак. Сделайте тренировку и проверку навыков привычной процедурой, которая позволяет выявлять слабости и уязвимости ваших сотрудников по разных техническим и психологическим векторам. Яркая и эмоционально затрагивающая обратная связь — отличный способ зафиксировать в сознании сотрудников понимание того, насколько они могут быть уязвимы независимо от их оценки собственных познаний в ИБ.
• Проводите промежуточное тестирование знаний ИБ у сотрудников. Это позволит сотрудникам адекватно оценивать свои текущие знания ИБ, а также наблюдать свой прогресс или регресс.
• Создайте систему рейтинга для поощрения конкуренции и наглядности личных успехов. Отлично подходит для аргументации фраза «Если ты всё знаешь, почему же ты не на первом месте?». А если без шуток, то для людей с завышенной самооценкой бывает очень болезненно терять свою корону, поэтому мотивация конкуренцией для них одна из самых сильных.

 

4. «Это слишком сложно»

Причины

Рациональная причина этого возражения состоит в том, что назначенный курс обучения, тестирование или имитированные атаки действительно слишком сложны для данного сотрудника, особенно если он сталкивается с ним впервые. Очевидно, что в такой ситуации учебные материалы нуждаются в адаптации по уровню сложности и категориям сотрудников, поскольку HR-специалисты в любом случае будут менее компетентны в вопросах ИБ, нежели сотрудники службы ИТ.

Если же это единичные возражения-отговорки, не связанные с уровнем сложности учебных материалов, истинная причина, скорее всего, состоит в страхе неудачи или банальной лени. Универсальное оружие против ленивых сотрудников — обязательность. В случае низкой самооценки и страха неудачи сотруднику требуется дополнительное положительное подкрепление, подбадривание. Избегайте здесь негативных коннотаций и негативных мер мотивации «от наказания».

 

Краткосрочные решения

• Пойти навстречу и дать возможность пройти более лёгкое обучение/тренировки. Оптимальный вариант, если ваши учебные и тренировочные материалы разделены по уровням сложности.
• Объясните, что ошибки гораздо ценнее полного бездействия: «Добрый день, (коллега)! Данное обучение/тренировки соответствуют вашему уровню знаний/навыков ИБ. Не бойтесь ошибаться, это неотъемлемая часть процесса. Чем больше ваша насмотренность в атаках и методах социальной инженерии, тем более вы защищены. Поверьте, лучше 10 раз ошибиться, чем ни разу не пройти обучение/тренировку навыков. Пожалуйста, пройдите назначенное обучение/тренировки до (указанного срока). (На первых этапах/первые месяцы) результаты обучения/тренировок ни на что не влияют и не несут за собой никакого (наказания/штрафа)».

 

Долгосрочные решения

• Разделите контент для обучения/тренировки по уровню сложности, если это ещё не сделано.
• Дайте возможность сотрудникам самим выбирать уровень сложности материалов. Это отлично работает, если сотрудник через личный кабинет может сам выбрать курс обучения, имитированную атаку и её сложность, а вам приходят уже оповещения и результаты данных процессов.
• Сформируйте «безопасную среду» для обучения и тренировок. Для этого транслируйте идею «безопасности ошибок» через курсы обучения и обратную связь. Идеально, если безопасную среду обучения удастся объединить с системой материальной мотивации, организовав её так, чтобы на начальном этапе обучения/тренировок ошибки не влекли за собой штрафы или другие взыскания.

 

(Продолжение в следующем номере)