Как помочь сотрудникам добровольно принять правила ИТ-политики на предприятии
Как известно, самый главный злоумышленник против информационной безопасности предприятия - не хакер или злонамеренный сотрудник, а сотрудник невежественный. Каждый системный администратор сталкивался с пользователями, не читающими внимательно инструкции по ИТ-политике или не соблюдающими элементарную информационную гигиену. Как же с ними быть?
Мониторы, обклеенные стикерами с паролями, анонимайзеры, установленные для обхода блока соцсетей, упорное бурное или молчаливое сопротивление сотрудников упорядочиванию их работы... Впору схватиться за голову! Но ничего, с этим возможно справиться.
Причины сопротивления
Почему пользователь ведет себя относительно ИТ-политики на предприятии неразумно и не хочет "просвещаться"? Даже самые совершенные и точные регламенты и инструкции становятся мусором, если никто их не исполняет. В чем же причины такого отношения?
- На любой работе предостаточно нагрузки (или сотрудникам так кажется). Прибавлять к ней чтение запутанного или просто сложного и важного текста желающих мало.
- Даже те, кто текст прочтет и усвоят, могут не захотеть его исполнять по личным причинам. Тяга к прокрастинации, лень или просто неверие в необходимость какого-то запрета - и вот прочтенный текст проигнорирован.
- В конце концов, кто такие эти айтишники, чтобы диктовать всем остальным правила поведения? Высокомерие автора инструкции или же аналогичное свойство характера читателя могут свести на нет эффективность любой ИТ-политики.
Ну и вишенка на торте: скорее всего, работать будут и эти причины, и еще с десяток каких-нибудь помельче. Все люди разные, и чем их в рабочем процессе больше, тем шире будет спектр отношения к инструкциям и правилам... И инструментарий их обхода.
Как все повернуть по-своему
Нет, штрафовать каждого схваченного за руку нарушителя - не лучшая идея, по крайней мере, если судить по тому, как это скажется на работе предприятия. Нет, лучше будет грамотно оптимизировать инструкции и регламенты "под пользователя" - будьте уверены, это повысит их эффективность.
Во-первых, нужно "развернуть" все советы или указания с ориентации на рабочий процесс или фирму в сторону пользователя. Например, если вам нужно убедить его не скачивать неизвестные файлы из ненадежного источника, неправильно (хоть и правдиво!) будет запугивать его вирусом, который там может оказаться. Лучше расскажите ему, что будет с его файлами, с музыкой и картинками коллег, а также с общим рабочим процессом, если он загрузит на свой компьютер шифровальщик. Так вашему непутевому коллеге будет хотя бы понятно, зачем лично ему этот файл скачивать не надо.
Во-вторых, вообще неплохо будет где можно жизнь сотрудникам не усложнять, а упрощать. Если есть возможность автоматизировать и централизовать что-то, без чего пользователю надо будет получать множество аккаунтов и паролей для разных корпоративных инструментов - лучше автоматизировать и централизовать. Опять же, инструкций (и их несоблюдения) сразу станет меньше.
В-третьих, необходимо помнить, что те, кто будут читать и соблюдать (или игнорировать) ваши правила, скорее всего, мало знакомы с IT-миром. Так что писать нужно будет как можно доступнее, используя простые бытовые примеры, и помнить - если сложное не получается сказать простыми словами, то говорящий, видимо, не так уж хорошо сам понимает это "сложное".
В-четвертых, если можете не писать простыню - не пишите. Инфографика? Схема? Диаграмма? Все лучше огромного нечитаемого и неразбиваемого на абзацы текста.
В-пятых, будьте открыты и дружелюбны. Высокомерие и пренебрежение угадываются в написанном на раз, а этим вы в первую очередь настроите читателя против себя - и против читаемого! Представьте, что вам надо объяснить что-то приятному, но не слишком искушенному другу, напишите инструкцию для него. Всем будет приятно ее прочесть!