Создание культуры безопасности
Интеграция безопасности в существующую операционную структуру
Как сказано в «Комплексном руководстве по безопасности» от Tactical Tech, важно создать надежное, безопасное пространство для обсуждения различных аспектов безопасности, чтобы члены команды не боялись показаться параноиками и не чувствовали, что зря тратят чужое время, если у них возникнут какие-то опасения по поводу безопасности. Планирование регулярных обсуждений вопросов безопасности помогает упорядочить график проведения интерактивных мероприятий и аналитических обзоров по вопросам, касающимся безопасности. Это не дает членам команды забыть о существующих проблемах и заставляет их привносить в свою текущую работу хотя бы пассивное осознание важности обеспечения безопасности. Необязательно проводить подобные мероприятия еженедельно, но они должны стать систематическими. Такие обсуждения должны касаться не только вопросов технической безопасности, но и аспектов, влияющих на комфорт и безопасность сотрудников, включая внутренние конфликты, преследования (как онлайн, так и офлайн) и трудности, связанные с использованием и внедрением цифровых инструментов. Обсуждения могут касаться даже таких тем, как привычка сотрудников делиться информацией в режиме офлайн и способы защиты информации, которые они используют или не используют вне работы. В конце концов, важно помнить, что безопасность организации напрямую зависит от надежности ее самого слабого звена. Один из способов добиться всеобщей вовлеченности – добавить вопросы безопасности в повестку дня регулярных собраний. Также можно распределить обязанности по организации и проведению обсуждения вопросов безопасности между членами организации. Это поспособствует внедрению идеи о том, что ответственность за безопасность несет каждый, а не только отдельные лица или ИТ-команда. Если перевести обсуждение вопросов безопасности в официальную плоскость, сотрудникам будет удобнее обсуждать эти важные вопросы между собой в менее официальной обстановке.
Кроме того, важно внедрить элементы безопасности в повседневную работу организации, например, в процессе адаптации новых сотрудников, а также продумать механизм отключения доступа к соответствующим системам в случае увольнения. Безопасность должна быть не «дополнительным» предметом забот, a неотъемлемой частью вашей стратегии и работы.