Культура ИБ или иллюзия безопасности?
Когда последний раз кто-то из вашей компании пришел и сказал: "Кажется, что-то пошло не так - я хочу разобраться"?
Не потому что заставили или поймали. А потому что так правильно.
Если затрудняетесь вспомнить - значит дальше про вас.
По данным Verizon DBIR 2024, 68% утечек данных связаны с человеческим фактором. Это говорит о системной проблеме: технические меры защиты развиваются быстрее, чем культурные основы, на которых они должны держаться.
Американский психолог Эдгар Шейн описал корпоративную культуру в три уровня: 1️⃣ Артефакты - все видимое: регламенты, тренинги, плакаты. 2️⃣ Ценности - то, что декларируется: "безопасность - наш приоритет". 3️⃣ Базовые предположения - неосознанные убеждения, которые реально управляют поведением.
Реальное поведение сотрудников определяется третьим уровнем. Всегда.
Политика ИБ - это артефакт. Она существует на поверхности. Но если на глубинном уровне живет убеждение "главное - скорость" или "ошибка=наказание" - никакой регламент его не перекроет. Именно поэтому культуру ИБ нельзя построить через документы. Документы живут на первом уровне. Культура - на третьем.
Как это выглядит на практике. Исследователи Ким Камерон и Роберт Куин описали 4 архетипа корпоративной культуры. На мой взгляд, в большинстве компаний все четыре присутствуют одновременно - в разных командах, на разных уровнях, в разных ситуациях.
1️⃣ Клановая - безопасность через доверие и командную ответственность. Риск - избегание жестких мер. 2️⃣ Адхократия - ИБ как инструмент инноваций. Риск - обход контролей ради скорости. 3️⃣ Рыночная - ИБ через бизнес-метрики и ROI. Риск - безопасность жертвуется ради дедлайнов. 4️⃣ Иерархическая - ИБ через комплаенс. Риск - формальное соблюдение без понимания смысла.
Главный барьер культуры ИБ - сопротивление изменениям. Оно возникает всегда, когда ИБ воспринимается как чужеродный элемент. Решение - не бороться с корпоративной культурой, а встраиваться в её логику.
Если не можешь подавить бунт - возглавь его.
Выделяются 4 рычага, без которых изменение поведения не закрепляется:
1️⃣ Ролевое моделирование - лидеры демонстрируют безопасное поведение лично, не в презентациях, а в реальных решениях. Если C-level обходит MFA "потому что некогда" - команда делает вывод мгновенно и навсегда.
2️⃣ Смысл - каждое требование ИБ должно иметь ответ "зачем" на языке конкретного человека, а не регулятора. "Нельзя передавать пароли" - это правило. "Передавая пароли, ты передаешь свою ответственность чужому человеку" - это смысл.
3️⃣ Удобство - если безопасный выбор неудобен - его будут обходить. Безопасный выбор должен быть самым простым выбором. Это задача дизайна процессов, а не силы воли сотрудников.
4️⃣ Формальные механизмы - стимулы, метрики и критерии оценки должны подкреплять нужное поведение. Без этого три предыдущих рычага не удерживают изменение надолго.
Культура страха не защищает. Она прячет риски глубже.
Концепция справедливой ответственности, пришедшая из авиации, разделяет две вещи: честная ошибка - это анализ системных причин и обучение; намеренное нарушение - это подотчетность. Разбор без поиска виноватых - это не мягкость. Это инфраструктура доверия. Без неё люди скрывают инциденты, искажают факты при расследовании и боятся задавать вопросы. А значит - риски не исчезают. Они просто становятся невидимыми.
Культура ИБ - это не надстройка над корпоративной культурой. Это её часть. Она либо встроена в базовые предположения компании - в то, как здесь реально принято работать и принимать решения. Либо её нет вообще. P.S. Здесь важно быть честным. Если отрицание культуры информационной безопасности - это позиция самого C-level, то никакая модель не поможет. Руководитель ИБ не может изменить культуру компании в одиночку. Он может встраиваться, убеждать, строить снизу. Но если первое лицо транслирует "ИБ - это не наша проблема" - это уже не вопрос фреймворков. Это вопрос того, кто в компании реально принимает решения о рисках. И готов ли он нести за них ответственность. Подписывайтесь на мой канал в MAX
