В различных организациях можно наблюдать любопытное явление: на словах все сотрудники согласны с важностью информационной безопасности, но когда дело доходит до обучающих курсов и тренировок, появляется негатив.
Причина такого отношения в том, что при планировании обучения сотрудников навыкам безопасного поведения никто не учитывал их мотивацию. Между тем именно мотивация — движущая сила связанных с персоналом процессов. Без неё невозможно добиться заданных результатов, особенно в долгосрочной перспективе.
В этой статье мы расскажем о значении мотивации при взаимодействии с сотрудниками, о видах мотивации и наиболее эффективных форматах применения мотивации для повышения осведомлённости сотрудников компании в области ИБ.
Мотивация и её значение в формировании навыков ИБ
Цель повышения осведомлённости сотрудников в области ИБ — развитие базовых компетенций, то есть навыков, важных для решения потенциальных проблем безопасности в компании. Инвестирование в человеческий ресурс путём систематического обучения и тренировки повышает уровень зрелости в реагировании на инциденты и улучшает защиту корпоративных ресурсов от кибератак, большая часть которых происходит через воздействие на сотрудников.
Таким образом, для улучшения защиты нужно научить людей реагировать правильно. Но как этого добиться?
Есть три ключевых элемента, влияющие на формирование навыков (рис. 1):
И если знания можно получить на обучающих курсах, а умения — отработать с помощью имитированных атак, мотивация остаётся слепым пятном для большинства ИБ-специалистов, поскольку эту проблему сложно решить стандартными организационными или техническими средствами. Практика показывает, что без системы мотивации даже один короткий и качественный базовый курс по ИБ проходят меньше половины сотрудников.
Конечно, эта ситуация во многом зависит от типа организации. В более консервативных компаниях повлиять на сотрудников проще. Но если разобраться, то выяснится, что там просто эффективнее используется система мотивации по типу «кнута». В демократичных компаниях со смузи и печеньками предпочитают мотивацию «пряниками», но сути это не меняет. Именно система мотивации позволяет эффективно управлять сотрудниками.
В компаниях без корпоративной культуры о необходимости как-то стимулировать персонал часто вообще забывают, считая эти «психологические изыски» блажью руководителей и специалистов по обучению персонала, а не важным для организации элементом управления.
Рисунок 1. Ключевые элементы, влияющие на формирование навыков
Мотивация — это причины, которые побуждают человека к устойчивому целенаправленному действию.
Зрелые компании стремятся управлять мотивацией своего персонала, в том числе в области ИБ. Чтобы убедить людей серьёзно относиться к информационной безопасности и адекватно реагировать на угрозы или обязательное обучение, важно внедрять разные способы мотивации в процессы ИБ, в первую очередь — в программы обучения и информирования.
Способы мотивации сотрудников в ИБ
Мотивация никогда не бывает постоянной и одинаково ценной для всех сотрудников. К большому сожалению, в природе не существует лучшего или универсального способа мотивации. Способы мотивации — это инструменты, которые вовлекают людей в какой-либо процесс, делая его максимально гибким и дружественным для самого разнородного коллектива.
На практике нематериальные способы стимулирования помогают достичь желаемого результата быстрее, чем денежные. Исходя из этого, далее мы сосредоточимся на нематериальных способах мотивации, которые специалисты по ИБ могут использовать для выстраивания наиболее эффективного процесса обучения и тренировки навыков безопасного поведения сотрудников.
Сделайте обучение и тренировки ИБ частью корпоративной культуры
Внедрение информационной безопасности в корпоративную культуру компании требует последовательной системной работы. Выстроенная учебная программа должна наглядно показывать, что информационная безопасность является неотъемлемой частью работы каждого сотрудника, а ответственность за её соблюдение должна быть прописана в должностных инструкциях.
Угрозы и технологии атак постоянно изменяются, поэтому обучающие материалы и тренировочные атаки должны поддерживаться в актуальном состоянии. А чтобы сотрудники были в курсе этих изменений, стоит регулярно повторять обучение и проводить тренировки. Кроме того, у сотрудников всегда должен быть свободный доступ к данным материалам для дополнительного ознакомления.
Вплетая регулярное обучение и тренировки в рабочие процессы, постепенно можно добиться снижения негатива и более ответственного отношения к ИБ-процессам.
Очевидно, что проведение учебных занятий раз в год приводит к тому, что кибербезопасность — последнее, о чём думают сотрудники. Редкие тренировки также создают ошибочное представление о том, что безопасность — это забота специализированного подразделения.
Определите глобальный смысл обучения для вашей компании
Каждый сотрудник вносит свой вклад в общий успех компании, но не все видят это. Сотрудники с ограниченным перечнем служебных обязанностей могут ощущать себя «винтиками», работа которых — банальная рутина, так что нет смысла тратить рабочее время на какое-то там назначенное обучение, лучше уж отсканировать пару лишних досье.
В связи с этим очень важно, чтобы учебная программа по ИБ имела смысл для каждого сотрудника. Если они не смогут понять, какова конечная цель их обучения, они не станут вкладывать в него свои силы и время.
Глобальный смысл обучения показывает сотрудникам, насколько жизненно важны их усилия для достижения определённых целей в масштабах всей организации. Такой целью может быть, например, защита компании от кибератак, и тогда обучение и тренировки ИБ-навыков приобретают смысл, создавая у сотрудников чувство сопричастности и ответственности за успех и прибыль всей компании.
Этот подход помогает сотрудникам стать более мотивированными и увлечёнными своей работой, поскольку они понимают, как ценна их работа для общего успеха компании.
Установите чёткие ожидания от обучения и тренировок
Если вы не можете определить конечную цель обучения и тренировок, прописать сценарии желаемого нового поведения сотрудников, обозначить, в чём и как оно должно проявляться, то и сотрудники не будут понимать, зачем им это обучение нужно. Важен наглядный, качественно ощущаемый результат, который позволит и вам измерять успешность обучения, и самим сотрудникам отслеживать его, давая возможность гордиться собой.
Внедряйте обучение через руководителей на местах
Привлекайте к внедрению обучения ИБ руководителей и ключевых лиц, принимающих решения. Они обеспечат соблюдение персоналом установленных правил ИБ и помогут проконтролировать процесс обучения, обеспечив дополнительную стимуляцию, поскольку для подчинённых они имеют больший авторитет, чем специалисты ИБ-отдела.
Руководители могут и должны подавать пример своим подчинённым. Эффективным решением может стать разработка отдельного курса обучения ИБ для руководителей, который будет давать углублённые знания для поддержания контроля на местах и противодействия продвинутым атакам, целью которых часто являются именно руководители. Оптимально, чтобы такой курс был компактным по объёму, чтобы даже загруженный работой руководитель смог выбрать время для его изучения.
Используйте обучение для улучшения рабочих процессов
Многие сотрудники сталкивались с тем, что внедрение новых систем или процессов снижает их производительность, вынуждая задерживаться по вечерам или работать в выходные.
Новые процессы, связанные с обучением и тренировкой навыков ИБ, также могут временно сделать сотрудников менее эффективными, однако конечной целью обучения всё-таки должно быть улучшение рабочего процесса.
Во многих случаях сотрудники сами знают, как повысить производительность, и им просто не хватает инструментов или конкретных знаний для реализации своего потенциала. Обучение ИБ должно давать эти самые инструменты и знания. Будьте готовы принимать обратную связь от сотрудников, дайте им возможность вносить свои идеи, предложения и коррективы в политику безопасности компании. Это не только улучшит качество и результат работы, но и повысит вовлечённость персонала в процессы и сформирует здоровый энтузиазм.
Используйте в обучении контекст работы вашего персонала
При разработке материалов для информирования по ИБ опирайтесь на реальный контекст работы ваших сотрудников. Избегайте абстрактных примеров, неприменимых к актуальной рабочей среде. Максимально релевантные отсылки и примеры из естественной среды компании создают практическую ценность для людей в процессе обучения.
Поддерживайте контакт с сотрудниками и между ними во время обучения
Введение социального элемента в обучение всегда полезно. У сотрудников должна быть возможность в режиме реального времени обсуждать возникающие вопросы в обучении как между собой, так и со специалистами по ИБ. Активное общение позволяет сотрудникам чувствовать себя частью группы, работающей над общей целью, и благотворно сказывается на уровне информационной безопасности компании.
Убедитесь, что у ваших сотрудников есть инструменты для поддержания дистанционного контакта между собой и с вами. Это может быть корпоративный чат для обмена мгновенными сообщениями, в котором поощряются неформальные разговоры между коллегами.
Давайте обратную связь по итогам обучения и тренировок
Отсутствие обратной связи по итогам обучения или тренировок оказывает демотивирующий эффект. У человека создаётся ощущение, что он напрасно потратил время, а все усилия бессмысленны.
Чтобы этого избежать, обязательно измеряйте, фиксируйте и давайте обратную связь сотрудникам по итогам обучения и тренировок. Моментальный фидбэк — лучшая форма поддержания контакта с персоналом.
Очень ценно публично делиться историями успеха пользователей, которые помогли предотвратить проблемы безопасности, например, обнаружили целевое фишинговое письмо. Это показывает практическую значимость используемого обучения и тренировок, позволяет сотрудникам почувствовать себя героями.
Такие истории могут быть реализованы в виде тематических рассылок или публикаций в корпоративном блоге, в которых показывается, сколько утечек информации произошло с момента последнего обучения или тренировки и сколько было устранено благодаря повышению уровня ИБ-навыков сотрудников.
Индивидуализируйте обучение
Каждый сотрудник должен научиться правильно реагировать на любые проблемы безопасности: выявлять угрозы и своевременно сообщать о них. Но если вы пытаетесь сформировать такое поведение у сотрудников посредством шаблонного типового обучения, это оттолкнёт их и усилит настроения «мне всё равно» и «это скучно». Людям трудно воспринимать знания, которые они не могут соотнести с собой, с тем, что они читают, видят или слышат.
Сегментируйте учебную программу в соответствии с имеющимися отделами. Добейтесь, чтобы содержание учебных курсов соответствовало фактической работе каждого человека. Ставя людей на первое место и персонализируя учебные материалы в соответствии с их ролью в компании, уровнем знаний и интересом к кибербезопасности, вы обеспечите обучение, которое вовлекает и мотивирует.
Определяйте сильные стороны сотрудников и акцентируйте на этом внимание
Положительные оценки усиливают вовлечённость, в то время как отрицательные почти наверняка вызовут психологическую отстранённость от процесса обучения.
Если во время обучения у сотрудника повышается чувство собственного достоинства, компетентности и самоопределения, его внутренняя мотивация возрастает. Чтобы добиться такого эффекта, выдавая обратную связь, акцентируйте внимание на сильных сторонах сотрудника, на его успехе, способствуя лояльности и удержанию внимания.
Когда обратная связь наполнена ошибками и неудачами, у сотрудника появляется неуверенность в себе, снижается самооценка и портится настроение. Разумеется, в таком состоянии нет никакого желания продолжать обучение, а задетые чувства в дальнейшем могут влиять на поведение сотрудников, начиная с конфликтов и заканчивая совершением небезопасных действий «назло».
Подчёркивайте долгосрочные перспективы обучения и его влияния на карьерный рост
Личный интерес всегда превалирует над общественным, поэтому важно, чтобы, кроме понимания смысла обучения ИБ для компании, сотрудники видели личную выгоду данного обучения, понимали, как оно влияет на их карьерные перспективы.
Покажите сотрудникам, какие преимущества даст им обучение ИБ, как оно поможет им в повседневной работе, какие ценные знания и навыки они приобретут в краткосрочной и долгосрочной перспективе.
Предлагайте сотрудникам возможности карьерного роста. Например, в корпоративных стандартах можно прописать, что для получения руководящей позиции требуется пройти на N часов/курсов обучения больше, чем требуется для рядового сотрудника. Соответственно, каждый сотрудник, желающий стать руководителем, будет проявлять больший энтузиазм и усерднее обучаться ИБ, что логически соответствует возрастающему уровню ответственности.
Разумеется, такие перспективы должны быть настоящими. Если всё это останется только бумажным обещанием, в качестве мотивирующего фактора оно не сработает. При отсутствии реальных и релевантных преимуществ страстная вовлечённость в обучение маловероятна.
Также для сотрудников будет ценно понять важность кибергигиены не только на рабочем месте, но и дома. Учите пользователей конфиденциальности, безопасности и тому, как уроки, полученные на работе, могут применяться дома и в личной жизни. Это повысит ощущаемую ценность обучения и мотивацию к нему.
Делайте из сотрудников экспертов-помощников
Скорее всего, в вашей компании уже есть скрытые эксперты-помощники, которые обладают знаниями в области ИБ благодаря пройденному обучению или личному интересу. Выявляйте и используйте этот потенциал для улучшения процессов безопасности. Признание приобретённого опыта важно, как и возможность обмена им с другими сотрудниками.
Используйте обучающую платформу, чтобы выделять экспертов-помощников, так называемых ИБ-чемпионов. Их можно определять по активному взаимодействию с отделом ИБ и другими сотрудниками и высоким оценкам за обучение и тренировки.
Это один из шагов в направлении развития культуры обмена знаниями. Как только вы это сделаете, эксперты-помощники почувствуют себя полезными и нужными, а другие сотрудники увидят, к кому можно обратиться на местах по вопросам ИБ. Часто задать вопрос коллеге из своего отдела психологически проще, чем обратиться к незнакомому сотруднику из «грозного» отдела ИБ.
Включите в систему обучения элементы соревнования
Дух соревнования — отличный способ мотивации подчинённых. Люди любят, когда им бросают вызов. Они хотят чувствовать себя сильными, способными, полезными, умными. Для них важно чувствовать, что они чего-то достигают и способны выполнять сложные задачи.
Информируйте коллектив о личных достижениях каждого работника. Составляйте рейтинги, например, топ-5 «ИБ-сильных» отделов в компании или сотрудников в отделе, проводите ежегодные мини-соревнования с символическим вознаграждением. Это поможет интегрировать информационную безопасность в корпоративную культуру и сделает её нескучной для рядовых сотрудников.
Избавьте людей от страха неудачи
Для многих людей изучение нового материала является тревожным опытом. Работник может опасаться, что приобретение новых навыков добавит ему ответственности после обучения. Контекст обучения и негативная обратная связь тоже могут вызывать стресс, особенно если у сотрудника проблемы с самооценкой и уверенностью в себе.
Чтобы противостоять страху неудачи, помогите сотрудникам понять, что новые знания — признак силы, который демонстрирует высокую степень самосознания, готовности совершенствоваться и становится образцом для других.
Важно, чтобы выгода от обучения была более значимой, чем ошибки и неудачи. Проваленная имитированная атака не должна становиться «пятном позора». Наоборот, стоит объяснить сотруднику, что его «насмотренность» теперь выше, чем у тех, кто не сталкивался с атаками. В обучении и тренировках важна выдержка и готовность ошибаться, не теряя энтузиазма.
Работайте с негативом
Сопротивление переменам и всему новому — естественная реакция, в том числе в процессе обучения и тренировки навыков ИБ. Необходимо планомерно преодолевать убеждение, что «компания проводит обучение ради обучения». Собирайте типовые жалобы, оправдания и претензии сотрудников по поводу системы обучения ИБ и формируйте базу аргументированных ответов. Если сотрудник испытывает негатив по отношению к обучению, значит, вы не донесли до него пользу и значимость данного процесса.
Используйте гибкий график обучения и тренировок
Гибкий график обучения даёт множество преимуществ, главные среди которых— комфорт сотрудников и возможность оптимально управлять своим временным ресурсом. В случае дистанционного обучения это достигается путём предоставления относительно длительного интервала обучения, чтобы сотрудники смогли выбрать оптимальный момент для обучения или тренировок.
Используйте разные интерактивные материалы и геймификацию в обучении
Обучение не должно быть скучным. Используйте разные форматы для разных сотрудников: подготовьте печатные материалы, привлекательные информационные бюллетени для рассылок по электронной почте, смонтируйте видео, запишите подкаст или разработайте обучающую корпоративную игру. Это не так сложно, как принято считать.
Главное — убедиться, что эти инструменты обучения предназначены для привлечения различных типов людей, которые работают в вашей компании. Молодые сотрудники лучше реагируют на геймифицированное обучение. Зрелые сотрудники могут предпочесть традиционный подход к обучению, связанный с печатными раздаточными материалами. Качественное интерактивное обучение всегда персонализировано и направлено на определённую категорию людей, а не «для всех одно и тоже».
Мотивированный сотрудник показывает лучшие результаты в обучении и служит катализатором в интенсификации обучающего процесса для своих коллег. Именно поэтому мы считаем построение правильной мотивации важнейшей частью процесса обучения и тренировки навыков безопасного поведения сотрудников.
Рассмотренные в статье способы мотивации можно использовать в любом порядке, главное — подходить к процессу творчески, учитывая как сложившиеся в трудовых коллективах традиции, так и уровень подготовки сотрудников и даже особенности взаимоотношения между подразделениями.
В любом случае время, потраченное на построение системы мотивации, окупится сторицей в виде повышения уровня защищённости компании от кибератак, а также в виде развития корпоративной ИБ-культуры.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных