Положительное подкрепление. В некоторых компаниях создают списки сотрудников, которые идеально соблюдали требования безопасности на протяжении Х месяцев. Или списки «самых внимательных сотрудников»: в них попадают люди, на протяжении нескольких месяцев отследившие Х фишинговых сообщений. В долгосрочной перспективе положительное подкрепление стимулирует желаемое поведение намного эффективнее, чем попытки пристыдить или унизить.
Дополнительное обучение. Погодите, не набрасывайтесь на меня, позвольте объяснить, что конкретно я имею в виду. Например, я неоднократно видел, какого успеха добивались компании, запускавшие программы в духе «Обучение на обеде». Они покупали пиццу или что-то подобное (если вдруг вы задумаете пригласить меня на такое мероприятие, пожалуйста, закажите зеленый салат, а то Джош будет недоволен) и собирали сотрудников. Пока люди поедали пиццу, им показывали обучающее видео или же спикер проводил презентацию по теме, связанной с безопасностью. Конечно, многие изначально шли на такую встречу за бесплатной едой. Однако с большинства подобных мероприятий многие посетители уносили и полезную информацию. Мне доводилось бывать на таких собраниях, так что я знаю, о чем говорю. И кроме того, это еще одна отличная возможность продемонстрировать, как на самом деле для вас важны идеи и действия, которые вы хотите распространить среди сотрудников.
Воздействие «сверху». Этот метод производит почти мистический эффект, работает как заклинание. Если генеральный директор сообщит сотрудникам, что руководство компании проходит проверку фишингом раз в месяц вместе со всеми, он озвучит очень важное сообщение: «Мы все с вами в одной лодке… серьезно». Однажды я работал в компании, сотрудники которой восприняли новую программу безопасности без особого энтузиазма. Одна сотрудница неправильно отреагировала на фишинговые сообщения. Узнав, что это была проверка, она потребовала связаться со мной напрямую и 10 минут отчитывала: говорила, что я ужасный человек и мне стоило бы подумать над тем, достойное ли я выбрал дело жизни. Спустя несколько месяцев весь штат компании собрали на массовое совещание, на котором выступал в том числе и гендиректор. И вот, рассказывая о программе, он упомянул, что тоже подвергся проверке, повел себя неправильно и на собственном опыте убедился, что впредь нужно быть осторожнее. После этого ситуация в компании изменилась как по мановению волшебной палочки. Рядовые сотрудники больше не злились, агрессия по отношению к моей СИ-команде практически сошла на нет, а процент людей, соблюдавших новые требования, резко возрос. Иногда сотрудникам кажется, что руководство просто издевается над ними и пытается выставить дураками. Естественно, отношения в компании от этого не улучшаются. А вот если члены правления выражают такой инициативе поддержку действием — ситуация в корне меняется.
И еще два важных момента, о которых не стоит забывать:
• Терпение
Не думайте, что запуск программы по обучению сотрудников возымеет мгновенный и повсеместный результат. Могут потребоваться время и серьезные усилия, чтобы персонал в конце концов проникся вашим видением проблемы.
• Управляйте ожиданиями
Звучит знакомо? Все верно. Этот принцип работает не только с раппортом, но и в процессе создания необходимой культуры отношения к безопасности на уровне организации. Если вы сами научились «разоблачать» фишинговые письма, не поддаваться на вишинг и видеть людей, которые пытаются проникнуть куда не следует, это не значит, что каждый сотрудник способен освоить все эти навыки с такой же скоростью.
Будьте терпеливыми и не требуйте слишком многого. Через какое-то время сотрудники окажутся на одной волне с вами.
Хотя поначалу кажется, что это слишком сложно, поверьте мне: вы способны сформировать в своей компании культуру осведомленности в отношении вопросов безопасности. Возможно, вы оцениваете, в какой «форме» компания находится сейчас, и вам кажется, что на это уйдет слишком много времени и сил. Но дело того стоит. Польза, которую такая культура принесет компании, перевешивает все риски.
