Мотивирование сотрудников на общую безопасность компании
Специалисты по безопасности довольно много времени уделяют изучению вопросов своевременного выявления нарушений и реагирования на них, при этом сотрудники считаются кем-то вроде внутреннего врага, с которым нужно постоянно бороться.
А что если сделать из этих «врагов» помощников? Мотивирование персонала широко используется в продажах, разработано множество методик по повышению эффективности труда, в сфере безопасности применять их не всегда получается, т. к. существует ярко выраженная специфика: безопасность очень трудно оценить количественно, соблюдение правил не приносит дополнительный доход, а лишь сокращает расходы. Поэтому наша задача – показать персоналу, что высокий уровень безопасности – это низкий уровень убытков и защищенность компании зависит от каждого сотрудника.
Три способа мотивации
Мотивация сотрудников может быть достигнута тремя путями: наказание за нарушение, информирование и поощрение за выполнение правил. Лучше всего действовать в комплексе, применяя эти меры в различных случаях. Наказание может быть различным, и стоит заметить, что очень важной мерой является предупреждение, особенно по отношению к небольшим нарушениям. Во многих случаях предупреждения достаточно, чтобы в последующем нарушение не повторялось. Сотрудники могут нарушать правила, даже не осознавая, что они делают что-то запрещенное, либо думая, что за ними никто не следит и соблюдение правил необязательно. Широко применяется методика показательных наказаний, ее эффективность обусловлена неформальным обменом информацией между сотрудниками. Наказав одного из сотрудников, вы предупреждаете всех остальных. Распространять информацию о том, что сотрудник был наказан необязательно, «сарафанное радио» сделает это за вас.
Очень действенным наказанием является лишение каких-либо прав. Например, если Интернет используется в нерабочих целях, лишение права доступа к Интернету на какое-то время даст понять сотруднику, что его поведение было неправильным. Если доступ все же необходим в служебных целях, то можно потребовать предоставить объяснительную. Ни одному сотруднику не понравится оправдываться и доказывать, что он не виноват. К тому же объяснительные часто проходят через руководство организации и не способствуют повышению статуса сотрудника, могут повлиять на развитие его карьеры.
До этого мы рассматривали наказания, которые чисто психологически воздействуют на человека. Следующие способы воздействия основаны на материальных стимулах, например лишение премии. Лишение премии очень эффективно бывает в тех случаях, когда сотрудник заинтересован в том, чтобы дальше продолжать работать в организации. Такие сотрудники вынесут для себя урок и больше не повторят нарушения, в то время как недооцененные сотрудники, которые уже раздумывали об увольнении, укрепятся в своем решении уйти либо начнут производить злоумышленные действия сознательно и более изощренными способами.
Несколько десятилетий назад широко применялись замечания и выговоры с занесением в трудовую книжку, сейчас это не так часто используется в связи с тем, что новому работодателю сотрудник всегда может объяснить подобные записи конфликтом, личной неприязнью руководства, и новый работодатель может не отнестись серьезно к замечаниям в трудовой. В более серьезных случаях, например если это была крупная утечка информации либо по вине сотрудника произошло заражение сервера вирусами, сотрудника может ждать понижение в должности или даже увольнение. В сфере информационной безопасности увольнение обычно является следствием раскрытого промышленного шпионажа и применяется для сотрудников, которые «работали на конкурента». Однако есть организации и с более строгими правилами, в которых человека могут уволить из-за халатности, случайного способствования возникновению утечки.
Довольно часто деятельность службы безопасности ограничивается наказаниями и предупреждениями, но существуют и другие эффективные меры. Рассмотрим информирование. Важным этапом информирования являются инструктажи, они могут быть вводными, дополнительными, периодическими. Вводные инструктажи нужны новым сотрудникам, приступающим к работе. Во многих случаях для дисциплинированных сотрудников достаточно грамотного вводного инструктажа, чтобы они выполняли необходимые правила довольно долгий период времени. По возможности вводный инструктаж нужно проводить очно или по телефону, бумажные и электронные материалы не так эффективны, но их также необходимо предоставлять для того, чтобы сотрудник при желании мог найти нужную информацию и при возникновении сомнений, правильно ли он поступает, обратиться к этим материалам. Очень важно, чтобы сама форма подачи инструктажа была доступной. Здесь можно поучиться у зарубежных специалистов, которые большое внимание уделяют представлению информации: усваивается ли она сотрудниками. Если у нас очень часто инструкции пишутся «для галочки», то за рубежом они создаются для неукоснительного соблюдения, а поэтому обязаны быть понятны каждому.
Дополнительные инструктажи проводятся в случае выявления нарушений. Можно инструктировать как конкретного человека, который был виноват в нарушении, так и группу сотрудников и даже весь коллектив в случае участившихся нарушений. Например, если вы заметили, что некоторые сотрудники выносят служебные документы для работы дома, нужно не только сделать им замечание, но и провести внеочередной инструктаж со всеми сотрудниками о недопустимости подобных действий.
Периодичность инструктажей может быть различной, во многих случаях оптимально проводить их раз в год, скорее всего, один раз в квартал – слишком часто для сотрудника. Стоит учесть, что при большом количестве сотрудников проводить периодические инструктажи довольно проблематично, особенно для организаций с филиальной структурой.
Кроме инструктажей, а также в дополнение к ним существует такая хорошая мера, как тестирование по результатам проведенного обучения. Во многих организациях проводят проверку знаний по охране труда и по результатам таких испытаний могут не допустить до работы. С точки зрения информационной безопасности, правильно было бы организовать подобное тестирование перед доступом сотрудника к работе на компьютере. Естественно, вопросы теста должны быть максимально направлены на практику. Вопросы должны быть простыми и относиться именно к рабочему процессу, а не к тому, какие выдержки из законодательства должен выучить сотрудник. Вопрос «Какая статья Гражданского кодекса регулирует правоотношения в сфере персональных данных?» является некорректным. Куда больше пользы принесет, к примеру, следующее задание: «Что делать, если вы заметили аномальное поведение компьютера?».
Очень часто в дополнение к инструктажам, особенно в зарубежных компаниях, используются плакаты, памятки с правилами безопасности. Можно использовать информационную рассылку, проводить беседы с отдельными сотрудниками. Особое внимание стоит уделить информированию ключевых сотрудников: кассиров, сотрудников отдела информационных технологий, администраторов, бухгалтеров, менеджеров по работе с клиентами. Это люди, которые имеют широкие полномочия либо доступ к материальным ценностям и различным категориям конфиденциальной информации.
Нужно показывать сотрудникам, что информационная безопасность важна, хотя она и не приносит никакого дохода. Когда мы мотивируем сотрудника работать эффективнее, можно показать, что от этого вырастет доход компании и, как следствие, его заработок. Мотивируя соблюдать правила безопасности, можно лишь показать, какие проблемы возникнут, если эти правила не соблюдать. Когда мы обращаемся к руководителю по вопросу выделения средств на безопасность, то показываем возможные потери от реализации угроз, штрафов за невыполнение норм законодательства, утечки информации к конкурентам, кражи и т. д. Для сотрудников наиболее актуальны вопросы собственной безопасности, премии и штрафы. Перспективным направлением в безопасности будет поощрение сотрудников, предотвративших нарушение либо минимизировавших потери благодаря четким действиям в критической ситуации. Хотя на сегодняшний момент наиболее популярна модель, когда мы наказываем за нарушения и ничего не делаем с теми, кто соблюдает все правила, но в будущем, когда бизнес станет еще более «человеконаправленным», все более актуальным станет поощрение добросовестных сотрудников,
Мотивация в информационной безопасности
Если контрольно-пропускной режим и предотвращение хищений – давние задачи служб безопасности, то информационная безопасность еще достаточно молода. Поэтому проблема мотивации сотрудников кроется в первую очередь в отношении к этому направлению внутри службы безопасности. Мотивация сотрудников вырастет, когда директора по безопасности поймут важность защиты информации. На первый взгляд, нет сейчас компании, которая не говорила бы о внимании к вопросам ИБ, однако часто интерес к этой области чисто формальный и ограничивается наймом сотрудника, который занимается разработкой пакета документов по защите персональных данных. При этом остальные сотрудники прекрасно понимают, что контроль за их действиями никто не ведет, и пользуются этим в своих интересах. Даже внутри службы безопасности к специалистам по информационной безопасности часто относятся несерьезно. У нас до сих пор бытует мнение, что «настоящая безопасность» – это охрана и проверка добросовестности контрагентов. Информационная безопасность – понятие эфемерное, не имеющее материального выражения, поэтому для того, чтобы объяснить людям актуальность угроз информационной безопасности, нужно приложить довольно большие усилия. Приступая к активному процессу мотивации сотрудников, нужно быть готовым к возникающим у них вопросам.
Информационная безопасность должна стать привычкой и стилем работы сотрудника. Он не должен обращать внимание на то, чтобы делать специальные усилия на поддержание уровня информационной безопасности. Так же, как с детства вырабатывается привычка мыть руки перед едой, постепенно должна выработаться привычка соблюдать меры информационной безопасности при работе на компьютере и с конфиденциальными бумажными документами. Не должно быть лишних прав. По возможности процесс поддержания информационной безопасности должен быть прозрачен для пользователя. Например, проверка антивирусом должна осуществляться в автоматическом режиме, и у пользователей не должно быть возможности отключить защиту. Отсутствие лишних прав убережет от случайных и преднамеренных нарушений, и это касается не только информационной безопасности, но и контрольно-пропускного режима, охраны материальных ценностей и т. д.
Читайте также: Поколение Y: как управлять молодыми сотрудниками?
Зачем соблюдать требования безопасности
Сотрудники обязательно поинтересуются, зачем им соблюдать правила безопасности, ведь это только усложняет их жизнь, заставляя выполнять дополнительные действия. Ведь так просто работать на собственном ноутбуке, сохранять себе на флешку и носить домой документы. Куда сложнее соблюдать многочисленные правила безопасности, касающиеся пропускного режима, экономической, информационной и собственной безопасности. Приходится работать только в рабочее время на служебном компьютере, успевая делать всю работу, не опаздывать и носить с собой карточки доступа, электронные ключи, магнитные карты. Промедление из-за работы антивируса также вносит дополнительные трудности в работу сотрудника, поэтому нужно объяснять, что за безопасность приходится платить. Самое доходчивое объяснение – объяснение на примерах, стоит показать, что будет, если пропадет вся клиентская база либо годовой отчет, бюджет предприятия, что будет, если в здание проникнет злоумышленник или ограбят кассу. Это должно впечатлить сотрудников.
Как соблюдать правила
Мало убедить сотрудников в важности поддержания уровня безопасности, нужно научить их безопасным методам работы. Безусловно, можно посоветовать обратиться к инструкциям, но зачастую они написаны таким языком, что даже те, кто их писал, не до конца понимают, каким образом применить требования на практике. Правила должны быть выполнимы, просты, понятны, лучше, если по каждому вопросу будет составлена краткая памятка. Если правила противоречат друг другу и такие запутанные, что их нельзя изложить простым языком, они не будут выполняться.
Что будет, если не соблюдать правила
Прямо вас об этом никто не спросит, но каждому сотруднику важно знать, насколько велико наказание, чтобы тратить свои силы на соблюдение правил. Часто получается так, что специалист по безопасности связан по рукам и ногам и не может никого наказать, единственное его оружие – замечания. Сотрудники это прекрасно понимают, они знают, что, если нарушать требования безопасности и объяснять это требованиями бизнеса, ничего не будет. Поэтому можно работать так, как привыкли, не обращая внимания на человека, угрожающего последствиями, которые никогда не наступят. У службы безопасности должна быть реальная власть либо возможность влиять на решения того, у кого эта власть имеется.
Что будет, если соблюдать правила
Здесь нужно остановиться на следующих моментах: как облегчится жизнь сотрудника, как легко будет соблюдать правила и почему это важно.
Скептически настроенные сотрудники спросят вас: «Почему безопасность мешает бизнесу?». Они укажут вам на то, что «бумажки», долгое согласование, дополнительные действия – все это замедляет рабочий процесс и виноваты в этом вы. С этим нужно уметь бороться, продолжая требовать строгого соблюдения инструкций каждым сотрудником, несмотря на то что общественное мнение не хотело бы видеть эти правила.
«Каковы признаки опасной ситуации?» – спросят вас самые ответственные сотрудники. Эти признаки надо выделить еще до проведения инструктажей. В области информационной безопасности таким признакам уделяется особое внимание при работе с интернет-банком. Многие хищения денежных средств произошли именно через эти приложения. При этом наблюдались определенные признаки проведения мошеннических операций: компьютер замирал, изображение в какой-то момент «подвисало», появлялось сообщение об ошибке и т. д. Отдельно стоит объяснить сотрудникам суть атаки социального инженера. Социальная инженерия в настоящее время является основной угрозой информационной безопасности, все чаще злоумышленники действуют методами убеждения и обмана, все реже применяют сложные технические и программные средства.
Сотруднику службы безопасности могут задавать самые разные вопросы.
• Какой антивирус выбрать для домашнего компьютера?
• Что делать, если пришло мошенническое смс на телефон о блокировании карты?
• Куда обратиться, если персональные данные попали к злоумышленникам и приходит навязчивая рассылка от неизвестной компании?
Помогите, поддержите – и этим вы укрепите свой авторитет.
Основные проблемы мотивирования сотрудников
Очень сложно начинать требовать от сотрудников соблюдение правил безопасности, если до этого на нарушения смотрели сквозь пальцы, специалист СБ в этом случае является первопроходцем. Сотрудники уже привыкли к свободному стилю работы, к пренебрежениям правилами, и переучить их очень сложно, это долгосрочная задача для настоящего профессионала. Поэтому так важна поддержка «сверху», убедить руководство в важности работы службы безопасности – значит, выполнить большую часть работы по мотивированию сотрудников. Очень важны доброжелательное отношение службы безопасности к сотрудникам, оказание помощи при возникновении вопросов, сложных ситуаций, при непонимании и недопонимании правил, проведение разъяснений.
Сотрудники должны понимать, что вы компетентный человек в данных вопросах, не только требуете, но и сами выполняете правила. Важно также приводить примеры не только ущерба от нарушений, но и говорить о предотвращенных нарушениях, поскольку профилактика – это одна из важнейших задач безопасности. Подходят не только примеры, связанные с работой компании, но и примеры из жизни других предприятий отрасли. Если вы работаете в медицинском учреждении, то следует учитывать специфику и подбирать примеры из практики других больниц, не только российских, но и зарубежных. Это будет наглядно для сотрудников, в этом случае они смогут вынести для себя реальную пользу. Если вы будете приводить примеры из других отраслей, можете столкнуться с непониманием: как в больнице помогут рекомендации для школ и университетов?
Очень важны проверки. Что бы ни говорили, даже самые дисциплинированные сотрудники нарушают правила, если знают, что никто об этом не узнает и никто их не проверит. Нарушения могут возникать в результате халатности, поэтому придется изменить стиль работы сотрудников. Сотрудники прекрасно понимают, когда безопасности уделяют внимание лишь накануне проверок, и активизируются только в этот период. Если вы наивно полагаете, что сможете провести все проверки тайно, то ошибаетесь, потому что «сарафанное радио» работает против вас.
Важно, как руководство относится к службе безопасности. Если это подразделение, которое существует «для галочки» и к нему никакого уважения нет, то мотивация сотрудников будет практически нулевая. Все понимают, что требования службы выполнять необязательно – руководство не накажет за нарушения, т. к. у этой службы нет авторитета.
Учебные материалы для мотивирования сотрудников
Сотрудникам не нужны выдержки из законов, никто не будет их читать и тратить свое время, в лучшем случае распишутся, что ознакомлены. Даже профессионалам трудно дается чтение такой литературы, и это совершенно не нужно экономисту и бухгалтеру. Максимум, который можно ожидать от сотрудников, – беглое ознакомление с легко и просто составленной презентацией с минимумом текста, картинками и конкретными рекомендациями, что нужно делать, выраженными очень простым языком. У работников просто нет времени изучать многостраничные инструкции, особенно если их нельзя применить. Это на самом деле большая проблема для российских компаний: мы пишем инструкции, но их положения чисто формальные, декларативные и никаким образом не относятся к реальной жизни. Если вы пишете, что уничтожать бумаги можно только через шредер, и не покупаете его, сотрудники видят, что правила существуют только на бумаге и выполнять их необязательно. Несколько таких невыполнимых рекомендаций – и человек понимает, что правил можно не придерживаться.
Охрана труда и безопасность
Можно взять пример из практики охраны труда, у них давно отработан механизм инструктажей, проверок, подготовки учебных материалов – всего, что нужно для мотивации сотрудников. Опыт специалистов по охране труда можно позаимствовать. Мы не беремся за оголенный провод, чтобы остаться в живых, и не открываем письма от подозрительных источников, чтобы не заразить компьютерную сеть вирусами.
В качестве оригинального способа мотивирования можно применить такой искусственно созданный сбой или другую проблему, успешно решить ее и показать, какие могут быть печальные последствия в результате непродуманных действий. Если проводить параллель с охраной труда, то можно назвать такой способ «учебной тревогой».
Чего не стоит делать
Не стоит принимать поспешные решения (это особенно касается наказаний), нельзя необоснованно ограничивать права и вмешиваться в личную жизнь (вечный спор о DLP-системах). Тотальный контроль, слежка и проверка содержимого телефона настраивают людей против службы безопасности. Они все равно найдут, как сделать то, что задумали, но придумают для этого очень изощренные пути. Некоторые сотрудники могут начать делать что-то назло в ответ на несправедливые обвинения. Старайтесь дружить с сотрудниками, лишний раз их не подозревать.
Часто бывает, что во время внедрения новых бизнес-процессов и расширения спектра услуг на безопасность обращают мало внимания. Как раз в такие моменты активизируются конкуренты и угрозы становятся актуальными. На безопасность нужно обращать внимание постоянно.
Также стоит отметить, что не каждого сотрудника можно мотивировать, поэтому нужно еще на этапе собеседования отсеивать рассеянных, болтливых и озлобленных на предыдущего работодателя людей, тех, в ком уже присутствует достаточно большой риск преднамеренных и случайных нарушений. Но даже лучший сотрудник может случайно удалить файл, который не будет подлежать восстановлению.
Стоит ввести дифференцированную систему наказаний, они должны быть сообразны нарушению. Если вы за посещение сайта про домашних животных лишаете человека премии, при том что этот сотрудник выполнял все инструкции, постоянно задерживался и один раз позволил себе маленькую слабость, – это чрезмерное наказание, здесь можно ограничиться предупреждением. Если произошла утечка информации, и вы просто пожурили сотрудника, – это недостаточное наказание.
Стоит избегать исключительно показательных наказаний. Рано или поздно все поймут, что у службы безопасности отчетный период и она ищет того человека, на котором можно показать эффективность работы. Это приводит к тому, что сотрудники уверены: главное не попасть под горячую руку.
Проверки не должны быть полностью прогнозируемы, они должны захватывать все структурные подразделения, быть внезапными, достаточно частыми, и их периодичность должна быть произвольной.
Для того чтобы достичь высокого уровня безопасности в компании, сотрудники должны осознавать ответственность за свои поступки и решения. И в первую очередь, перед тем как спросить с сотрудника что-либо, нужно знать оптимальный ответ. Очень важно понимать, какой должна быть работа компании с точки зрения безопасности, что при этом должны делать сотрудники, и попытаться описать для себя основные моменты. Это позволит оценить, в каком направлении движется компания, ближе она к идеалу или дальше от него, чтобы в дальнейшем выбрать верные методы мотивирования персонала.
Автор: Ксения Шудрова