Устранить возможность нарушений по причине эмпатии

О

братите внимание: это не совет «избавиться от эмпатии». Я бы такого никогда не предложил. Речь идет о том, что сотрудникам нельзя игнорировать корпоративные правила, руководствуясь эмпатией.

У меня в Англии есть хорошая подруга, Шерон Конхэди. На позднем сроке беременности ей довелось проводить проверку безопасности. И она использовала свое положение как способ пробудить в объектах воздействия эмпатию.

Она взяла коробку, наполненную разным хламом, чтобы та выглядела тяжелой, и поволокла ее прямо ко входу. Мужчины, обращавшие внимание на ее страдания, тут же бросались на помощь. Они заносили эту коробку в здание и провожали Шерон прямо в серверную. Ни один не попросил показать бейджик или пропуск: ведь преступники не беременеют, верно?

Безусловно, мужчины совершали хороший поступок — помогали беременной женщине. Разве можно заставлять людей отказываться от заботы о ближнем? И компания не стала так делать. Вместо этого она организовала информационную кампанию, нацеленную на то, чтобы объяснить сотрудникам: помогать ближним важно и нужно, однако при этом нельзя забывать проверять пропуск, прежде чем пропускать незнакомцев в здание.

Просто сказать «Проверяйте пропуска» было бы недостаточно. Ведь эмпатия возникает благодаря старой доброй «миндалине» — того самого отдела мозга, который способен отключать центры логики и заставлять нас принимать сугубо эмоциональные решения. Информирование, напоминания и четкие инструкции позволяют защитить сотрудников от манипуляций эмпатией и тем самым добиться выполнения требований безопасности.

Реалистичные и реализуемые требования

Я

 собственными глазами видел такую формулировку в требованиях безопасности одной компании: «Не переходите по опасным ссылкам». Как вам? Если вы думаете: «Отличное правило, пожалуй, я им тоже воспользуюсь», рекомендую закрыть эту книгу и пару раз стукнуть ею себя по голове.

Теперь можно читать дальше.

Подобные требования плохи тем, что они недостаточно подробны. Как понять, какие ссылки опасны? Знают ли сотрудники, что сайты support-microsoft.com и Microsoft.com — это совершенно разные вещи?

Кроме того, в этой формулировке не прописаны возможные последствия нежелательного действия. А если перейти по ссылке, то что произойдет? Было бы полезно дополнить это правило формулировкой в духе: «Если же нежелательное взаимодействие с электронным письмом, подозрительный телефонный разговор или личное взаимодействие все же состоялись, пожалуйста, сообщите о сложившейся ситуации на xxxxxxx@company.com».

Но и этого недостаточно! Необходимо объяснить сотрудникам, что именно им надо сообщить: переслать сомнительное письмо, приложить информацию о звонившем человеке и т. п. Какую именно информацию вы хотите получить? И какие последствия ждут сотрудника, который предоставит вам такой отчет?

Реалистичная политика безопасности помогает сотрудникам оценивать возникающие ситуации со всех сторон. У них просто не остается вопросов. Однажды меня попросили поучаствовать в подготовке информации для увеличения осведомленности сотрудников в вопросах фишинга. Текст был примерно следующий:

Фишинг — серьезная угроза лично для вас и для компании в целом. Мошенники хотят получить от вас конфиденциальную информацию и добиваются этой цели в том числе с помощью атак через электронную почту. Они могут отправить вам зараженные документы с расширением. exe, pdf, xls, doc. Кроме того, они могут прикладывать к письмам ссылки на сайты, которые на самом деле являются лишь ширмой для распространения вредоносных программ и вирусов.

Получив e-mail от непроверенного отправителя, не предпринимайте в отношении него каких бы то ни было действий, только перешлите его на адрес нарушения@компания. com (нажмите кнопку «Переслать» в шапке вашего почтового ящика).

В течение суток вы получите ответ с оценкой безопасности этого письма.

Если же вы перешли по ссылке или открыли документ, который теперь кажется вам подозрительным, — сообщите об этом в отдел по контролю за нарушениями.

Конечно же, полная версия руководства содержала более подробное описание новой политики безопасности, а также ссылки на дополнительные информационные ресурсы. Но я думаю, суть вы понимаете. Хорошая политика безопасности всегда предлагает реалистичные инструкции и формирует у сотрудников четкие представления о том, какие действия нужно совершать, а какие не нужно.

Возвращаясь к моему примеру с боевыми искусствами: этот шаг можно сравнить с обучением «новобранцев» принимать правильную позу, держать руки и грамотно следить за действиями противника — конечно же, с разъяснением значения этих действий. Хорошая политика безопасности сообщает сотрудникам, «что» надо делать и «почему». Если составить ее правильно, у людей из вашего штата со временем сформируется стойкая память на такие вещи.

Вот тогда-то и можно будет перейти к следующему шагу.