02.10.2018

ИБ и зона комфорта

Читал я тут книжку про тренинги, как их проводить, как вовлекать людей и заставлять их менять свое поведение. И подумал я, что большинство тренингов (если это не обучение продуктам, хотя и оно тоже) сродни тому, что происходит с информационной безопасностью, которую многие готовы воспринимать, но не следовать ее советам и рекомендациям.

Почему ИБ обычно плохо воспринимается в организациях? Собственно и сами безопасники не очень горят желанием что-то менять в своей размеренной жизни между борьбой с мифическими угрозами и требованиями compliance. Все прозаично. ИБ мешает и выводит человека из зоны комфорта. Для сторонних от ИБ людей она заставляет делать то, что люди не привыкли, - думать прежде чем что-то сделать. Думать, прежде чем кликнуть по ссылке. Думать, прежде чем открыть аттач. Думать, прежде чем зайти на сайт. Думать, прежде чем устанавливать мобильное приложений. Думать... Для классических безопасников сегодня тоже наступают непривычные времена - необходимо выходить из зоны комфорта и начинать думать с позиций бизнеса, чему мало где учат (вообще нигде, если честно).

И в этом тоже, кстати, проблема. Одно дело пойти на какой-нибудь курс и в течение двух-пяти дней получить знания и отработать навыки их использования применительно к своему бизнесу. И совсем другое дело без отрыва от производства по крупицам выуживать знания и пытаться без ментора применить их в реальном бизнесе.

И тут встает вопрос - зачем мне выходить из зоны комфорта? Рядовой пользователь и руководитель ИБ находятся в одинаковой ситуации. Первый должен понимать, зачем ему следовать практикам ИБ (до того момента, когда она прочно укоренится в мозгу). Это либо кнут, либо пряник. Кнутом могут быть наказания - выговоры, лишения премий, увольнения, вывешивания на корпоративную виртуальную доску позора и т.п. Пряником может стать премия, похвала руководителя, получение новых "разрядов" и статусов в компании, виртуальная доска почета и т.п. А можно попробовать объяснить это интересами самого пользователя, который подспудно, но все-таки хочет чувствовать себя в информационной безопасности от различных киберугроз (тут впору вспомнить пирамиду Маслоу, но эта теория подвергается сомнению, да и сам автор не был в ней до конца уверен) - потери личных файлов, вторжения в личную жизнь и т.п.

У безопасника тоже есть свои кнут и пряник для выхода из зоны комфорта. Но насколько они желанны (или опасны), чтобы выходить из нее? Ведь по сути и рядового пользователя никто не наказывает (и не награждает) за соблюдение или несоблюдение правил ИБ. Поэтому их никто и не соблюдает. У безопасника тоже самое - его не наказывают за инциденты (ну кроме, разве, что пожурят) и особо не награждают за выполнение должностных обязанностей. Так и зачем напрягаться? 


Тут поможет только внутренняя мотивация. Как и во многих других сферах жизни, в которых мы хотим улучшения, - бросить курить, похудеть, начать бегать, выучить иностранный язык и т.п. А без нее все эти разговоры о самосовершенствовании ни к чему не приведут. Поэтому и бесплатные мероприятия по ИБ посещают не ради контента (даже если он хороший), а ради обеда или возможности пообщаться с коллегами. Бесплатный контент не мотивирует ни к чему. Оплаченное работой участие тоже не мотивирует, если нет самомотивации.

Выводов не будет :-)

ЗЫ. Импортозамещение буксует ровно по той же причине - у потребителей нет явных бенефитов от перехода от привычного к новому. На патриотизме долго не продержишься, хотя и его в импортозамещении немного.