Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Motivating employees for the overall safety of the company

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,180
Reaction score
2,181
Points
613
Location
Новосибирск
Motivating employees for the overall safety of the company

KSENIYA SHUDROVA,

Senior Specialist of the Security Service of the Krasnoyarsk Russian Federation, JSC Rosselkhozbank​
Security specialists devote a lot of time to studying issues of timely detection and response to violations, while employees are considered something like an internal enemy that must be constantly fought ...

But what if we make helpers out of these "enemies"? Personnel motivation is widely used in sales, many methods have been developed to improve labor efficiency, it is not always possible to apply them in the field of safety, since there is a pronounced specificity: safety is very difficult to quantify, compliance with the rules does not bring additional income, but only reduces costs ... Therefore, our task is to show the staff that a high level of security is a low level of losses and the security of the company depends on each employee.
ff-2.jpg


Three ways to motivate


Employee motivation can be achieved in three ways: punishing violation, informing and rewarding for following the rules. It is best to act in a complex, applying these measures in different cases. The penalties vary and it is worth noting that prevention is a very important measure, especially for minor offenses. In many cases, a warning is enough to prevent the violation from happening again. Employees can break the rules without even realizing that they are doing something illegal, or thinking that no one is watching them and compliance with the rules is not necessary. The method of demonstrative punishment is widely used, its effectiveness is due to the informal exchange of information between employees. By punishing one of the employees, you warn everyone else. It is not necessary to disseminate information that an employee has been punished, word of mouth will do it for you.

Deprivation of any rights is a very effective punishment. For example, if the Internet is used for non-business purposes, depriving the employee of the right to access the Internet for a while will make it clear to the employee that his behavior was wrong. If access is still needed for business purposes, then you can demand to provide an explanatory note. No employee will like making excuses and proving that they are not guilty. In addition, explanatory statements often pass through the management of the organization and do not contribute to the improvement of the employee's status, can affect the development of his career.
Before that, we considered punishments that have a purely psychological effect on a person. The following methods of influence are based on material incentives, for example, withdrawal of a bonus. Withdrawal of a bonus is very effective when the employee is interested in continuing to work in the organization. Such employees will learn a lesson for themselves and no longer repeat violations, while undervalued employees who have already contemplated firing will strengthen their decision to leave or begin to engage in malicious acts deliberately and in more sophisticated ways.

Several decades ago, remarks and reprimands with entry into the work book were widely used, now it is not so often used due to the fact that an employee can always explain such entries to a new employer with a conflict, personal dislike of management, and a new employer may not take seriously remarks in labor. In more serious cases, for example, if it was a major information leak or an employee's fault caused a virus infection on the server, the employee may face a demotion or even dismissal. In the field of information security, layoffs are usually the result of exposed industrial espionage and are used for employees who "worked for a competitor." However, there are organizations with stricter rules in which a person can be fired due to negligence, accidentally contributing to the occurrence of a leak.

Quite often, the activities of the security service are limited to punishments and warnings, but there are other effective measures. Consider informing. Instructions are an important stage of informing; they can be introductory, additional, periodic. Introductory briefings are needed for new employees starting work. In many cases, for disciplined employees, a competent induction is enough for them to follow the necessary rules for a fairly long period of time. If possible, the introductory briefing should be done in person or by phone, paper and electronic materials are not as effective, but they also need to be provided so that the employee, if desired, can find the necessary information and, if in doubt, whether he is doing the right thing, refer to these materials. It is very important that the very form of instruction is available. Here you can learn from foreign experts who pay great attention to the presentation of information: whether it is assimilated by employees. If we very often write instructions "for show", then abroad they are created for strict observance, and therefore must be understood by everyone.

Additional briefings are carried out in case of violations. You can instruct both a specific person who was to blame for the violation, and a group of employees and even the entire team in the event of more frequent violations. For example, if you notice that some employees take out official documents to work at home, you need not only to make a remark to them, but also to conduct an extraordinary briefing with all employees about the inadmissibility of such actions.

The frequency of briefings can be different, in many cases it is optimal to conduct them once a year, most likely once a quarter - too often for an employee. It should be noted that with a large number of employees, it is quite problematic to conduct periodic briefings, especially for organizations with a branch structure.
In addition to the instructions, and also in addition to them, there is such a good measure as testing based on the results of the training. Many organizations test their knowledge of labor protection and, based on the results of such tests, may not be allowed to work. From the point of view of information security, it would be correct to organize such testing before an employee has access to work on a computer. Naturally, the test questions should be as practical as possible. The questions should be simple and relate specifically to the work process, and not to which passages from the law an employee should learn. The question "What article of the Civil Code regulates legal relations in the field of personal data?" is invalid. Much more benefit would be, for example, the following task: "What if you notice abnormal computer behavior?"

Very often, in addition to instructions, especially in foreign companies, posters and safety instructions are used. You can use the newsletter, conduct conversations with individual employees. Particular attention should be paid to informing key employees: cashiers, IT staff, administrators, accountants, account managers. These are people who have broad powers or access to wealth and various categories of confidential information.

You need to show employees that information security is important, even though it doesn't generate any income. When we motivate an employee to work more efficiently, we can show that this will increase the company's income and, as a result, his earnings. By motivating you to comply with safety rules, you can only show what problems will arise if these rules are not followed. When we turn to the head on the issue of allocating funds for security, we show possible losses from the implementation of threats, fines for non-compliance with legislation, information leakage to competitors, theft, etc. For employees, the most relevant issues are their own security, bonuses and fines.

A promising area of security will be to reward employees who have prevented a breach or minimized losses through clear action in a critical situation. Although today the most popular model is when we punish violations and do nothing with those who comply with all the rules, but in the future, when the business becomes even more “human-oriented”, it will become more and more important to reward conscientious employees.

Information security motivation
ff-3.jpg


If access control and prevention of theft are long-standing tasks of security services, then information security is still quite young. Therefore, the problem of employee motivation lies primarily in relation to this area within the security service. Employee motivation will grow when security directors understand the importance of protecting information. At first glance, there is no company now that would not talk about attention to information security issues, but often interest in this area is purely formal and is limited to hiring an employee who is developing a package of documents on the protection of personal data. At the same time, the rest of the employees are well aware that no one is monitoring their actions, and they use this in their own interests. Even within the security service, information security professionals are often not taken seriously. We still have the opinion that "real security" is the protection and verification of the conscientiousness of counterparties. Information security is an ephemeral concept that has no material expression, therefore, in order to explain to people the relevance of information security threats, you need to make a lot of effort. When embarking on an active process of motivating employees, you need to be prepared for any questions they may have.

Information security should become an employee's habit and work style. He should not pay attention to making special efforts to maintain the level of information security. Just as the habit of washing hands before eating is developed from childhood, the habit of observing information security measures when working on a computer and with confidential paper documents should gradually develop. There should be no extra rights. Whenever possible, the process of maintaining information security should be transparent to the user. For example, antivirus scanning should be performed automatically, and users should not be able to disable protection. The absence of unnecessary rights will save you from accidental and deliberate violations, and this applies not only to information security, but also to the access control regime, protection of material values, etc.

Why comply with safety requirements

Employees will certainly ask why they need to follow safety rules, because this only complicates their lives, forcing them to perform additional actions. It's so easy to work on your own laptop, save on a USB flash drive and carry documents home. It is much more difficult to comply with the numerous security rules related to access control, economic, information and personal security. You have to work only during working hours on your office computer, having time to do all the work, not be late and carry access cards, electronic keys, magnetic cards with you. The delay due to the work of the antivirus also introduces additional difficulties in the work of the employee, so you need to explain that you have to pay for security. The most intelligible explanation is an explanation using examples, it is worth showing what will happen if the entire customer base or the annual report, the company's budget disappears, what will happen if an intruder enters the building or the cash register is robbed. This should impress the staff.

How to follow the rules

It is not enough to convince employees of the importance of maintaining the level of safety, you need to teach them safe working methods. Of course, you can advise referring to the instructions, but often they are written in such a language that even those who wrote them do not fully understand how to apply the requirements in practice. The rules must be observable, simple, understandable, it is better if a short memo is drawn up for each question. If the rules are contradictory and so convoluted that they cannot be laid out in plain language, they will not be followed.

What happens if you don't follow the rules

No one will ask you directly about this, but it is important for each employee to know how great the punishment is in order to spend their energy on following the rules. It often happens that a security specialist is tied hand and foot and cannot punish anyone, his only weapon is remarks. Employees are well aware of this, they know that if security requirements are violated and explained by business requirements, nothing will happen. Therefore, you can work as you are used to, not paying attention to a person who threatens consequences that will never come. The security service must have real power or the ability to influence the decisions of the one who has this power.

What happens if you follow the rules

Here you need to dwell on the following points: how the employee's life will be easier, how easy it will be to follow the rules and why it is important.

Skeptical employees will ask you, "Why does security get in the way of business?" They will point out to you that “paperwork”, long approval, additional actions - all this slows down the work process and you are to blame for this. You need to be able to deal with this, continuing to demand strict adherence to instructions by each employee, despite the fact that public opinion would not want to see these rules.
"What are the signs of a dangerous situation?" - the most responsible employees will ask you. These signs must be highlighted even before instructing. In the field of information security, special attention is paid to such features when working with the Internet bank. Many of the thefts of funds have occurred through these applications. At the same time, certain signs of fraudulent operations were observed: the computer froze, the image "freezed" at some point, an error message appeared, etc. It is also worth explaining to employees the essence of the social engineer's attack. Social engineering is currently the main threat to information security, more and more attackers use methods of persuasion and deception, less and less use of sophisticated hardware and software.

A security officer can be asked a variety of questions.
• What antivirus to choose for a home computer?
• What to do if you receive a fraudulent SMS to your phone about card blocking?
• Where to go if personal data got to attackers and an intrusive mailing from an unknown company comes?

Help, support - and this will strengthen your authority.
ff-4.jpg


The main problems of motivating employees


It is very difficult to start demanding compliance with safety rules from employees, if before that they looked through their fingers at violations, a security specialist in this case is a pioneer. Employees are already accustomed to a free style of work, to disregard for rules, and it is very difficult to retrain them, this is a long-term task for a true professional. That is why support from the “top” is so important, convincing management of the importance of the work of the security service means doing most of the work to motivate employees. The friendly attitude of the security service to the employees, assistance in case of questions, difficult situations, misunderstanding and misunderstanding of the rules, and explanations are very important.

Employees must understand that you are a competent person in these matters, not only require, but also follow the rules themselves. It is also important to give examples not only of damage from violations, but also to talk about prevented violations, since prevention is one of the most important security tasks. Not only examples related to the work of the company are suitable, but also examples from the life of other enterprises in the industry. If you work in a medical institution, then you should take into account the specifics and select examples from the practice of other hospitals, not only Russian, but also foreign. This will be visual for employees, in this case they will be able to make real benefits for themselves. If you use examples from other industries, you may be confused: How will hospital and school guidelines help?
Checks are very important. No matter what they say, even the most disciplined employees break the rules if they know that no one will know about it and no one will check them. Violations can result from negligence, so the way employees work will need to change. Employees are well aware when they pay attention to safety only on the eve of inspections, and are activated only during this period. If you naively believe that you can conduct all the checks in secret, then you are mistaken, because word of mouth is working against you.

It is important how the management relates to the security service. If this is a unit that exists "for show" and there is no respect for it, then the motivation of employees will be practically zero. Everyone understands that it is not necessary to fulfill the requirements of the service - the management will not punish for violations, since this service has no authority.

Training materials to motivate employees

Employees do not need extracts from laws, no one will read them and waste their time, at best they will sign that they are familiar. Even professionals find it difficult to read such literature, and it is absolutely unnecessary for an economist and accountant. The maximum that can be expected from employees is a quick acquaintance with an easily and simply composed presentation with a minimum of text, pictures and specific recommendations on what to do, expressed in very simple language. Workers simply do not have time to study the multi-page instructions, especially if they cannot be applied. This is actually a big problem for Russian companies: we write instructions, but their provisions are purely formal, declarative and in no way relate to real life. If you write that paper shredding can only be done through a shredder, and you don't buy one, employees see that the rules exist only on paper and they don't have to be followed. Several such unrealizable recommendations - and the person understands that the rules can not be followed.

Occupational health and safety

You can take an example from the practice of labor protection, they have long worked out the mechanism of instructions, inspections, preparation of training materials - everything that is needed to motivate employees. The experience of labor protection specialists can be borrowed. We don’t tackle a bare wire to stay alive, and we don’t open letters from suspicious sources so as not to infect the computer network with viruses.
As an original way of motivation, you can apply such an artificially created failure or other problem, successfully solve it and show what sad consequences can be as a result of ill-considered actions. If we draw a parallel with labor protection, then we can call this method “training alarm”.

What not to do

You should not make hasty decisions (this especially applies to punishments), you should not unreasonably restrict rights and interfere with your personal life (the eternal dispute about DLP systems). Total control, surveillance and verification of phone content turns people against the security service. They will still find how to do what they have in mind, but they will come up with very sophisticated ways for this. Some employees may start doing something out of spite in response to unfair accusations. Try to be on friendly terms with employees, once again not suspect them.
It often happens that when introducing new business processes and expanding the range of services, little attention is paid to security. It is at such moments that competitors become active and threats become relevant. You need to pay attention to safety constantly.
It is also worth noting that not every employee can be motivated, therefore, at the interview stage, it is necessary to weed out people who are scattered, talkative and embittered with the previous employer, those in whom there is already a sufficiently high risk of intentional and accidental violations. But even the best employee can accidentally delete a file that cannot be recovered.

It is worth introducing a differentiated system of punishments, they must be consistent with the violation. If you deprive a person of a bonus for visiting a site about pets, despite the fact that this employee followed all the instructions, was constantly delayed and once allowed himself a little weakness, this is an excessive punishment, here you can limit yourself to a warning. If there is a leak of information and you just scold an employee, this is not enough punishment.
Exclusively revealing punishments should be avoided. Sooner or later, everyone will understand that the security service has a reporting period and is looking for a person to show the effectiveness of work. This leads to the fact that employees are confident: the main thing is not to get caught up in a hot hand.

Checks should not be completely predictable, they should involve all structural divisions, be sudden, frequent enough, and their frequency should be arbitrary.

In order to achieve a high level of security in the company, employees must be aware of responsibility for their actions and decisions. And first of all, before asking an employee anything, you need to know the optimal answer. It is very important to understand what the work of the company should be in terms of safety, what employees should do, and try to describe the main points for yourself. This will allow you to assess in which direction the company is moving, closer to the ideal or further from it, in order to choose the right methods of motivating personnel in the future.
 
Original message
Мотивирование сотрудников на общую безопасность компании

КСЕНИЯ ШУДРОВА,

старший специалист Службы безопасности Красноярского РФ ОАО «Россельхозбанк»​
Специалисты по безопасности довольно много времени уделяют изучению вопросов своевременного выявления нарушений и реагирования на них, при этом сотрудники считаются кем-то вроде внутреннего врага, с которым нужно постоянно бороться.

А что если сделать из этих «врагов» помощников? Мотивирование персонала широко используется в продажах, разработано множество методик по повышению эффективности труда, в сфере безопасности применять их не всегда получается, т. к. существует ярко выраженная специфика: безопасность очень трудно оценить количественно, соблюдение правил не приносит дополнительный доход, а лишь сокращает расходы. Поэтому наша задача – показать персоналу, что высокий уровень безопасности – это низкий уровень убытков и защищенность компании зависит от каждого сотрудника.
ff-2.jpg


Три способа мотивации


Мотивация сотрудников может быть достигнута тремя путями: наказание за нарушение, информирование и поощрение за выполнение правил. Лучше всего действовать в комплексе, применяя эти меры в различных случаях. Наказание может быть различным, и стоит заметить, что очень важной мерой является предупреждение, особенно по отношению к небольшим нарушениям. Во многих случаях предупреждения достаточно, чтобы в последующем нарушение не повторялось. Сотрудники могут нарушать правила, даже не осознавая, что они делают что-то запрещенное, либо думая, что за ними никто не следит и соблюдение правил необязательно. Широко применяется методика показательных наказаний, ее эффективность обусловлена неформальным обменом информацией между сотрудниками. Наказав одного из сотрудников, вы предупреждаете всех остальных. Распространять информацию о том, что сотрудник был наказан необязательно, «сарафанное радио» сделает это за вас.

Очень действенным наказанием является лишение каких-либо прав. Например, если Интернет используется в нерабочих целях, лишение права доступа к Интернету на какое-то время даст понять сотруднику, что его поведение было неправильным. Если доступ все же необходим в служебных целях, то можно потребовать предоставить объяснительную. Ни одному сотруднику не понравится оправдываться и доказывать, что он не виноват. К тому же объяснительные часто проходят через руководство организации и не способствуют повышению статуса сотрудника, могут повлиять на развитие его карьеры.
До этого мы рассматривали наказания, которые чисто психологически воздействуют на человека. Следующие способы воздействия основаны на материальных стимулах, например лишение премии. Лишение премии очень эффективно бывает в тех случаях, когда сотрудник заинтересован в том, чтобы дальше продолжать работать в организации. Такие сотрудники вынесут для себя урок и больше не повторят нарушения, в то время как недооцененные сотрудники, которые уже раздумывали об увольнении, укрепятся в своем решении уйти либо начнут производить злоумышленные действия сознательно и более изощренными способами.

Несколько десятилетий назад широко применялись замечания и выговоры с занесением в трудовую книжку, сейчас это не так часто используется в связи с тем, что новому работодателю сотрудник всегда может объяснить подобные записи конфликтом, личной неприязнью руководства, и новый работодатель может не отнестись серьезно к замечаниям в трудовой. В более серьезных случаях, например если это была крупная утечка информации либо по вине сотрудника произошло заражение сервера вирусами, сотрудника может ждать понижение в должности или даже увольнение. В сфере информационной безопасности увольнение обычно является следствием раскрытого промышленного шпионажа и применяется для сотрудников, которые «работали на конкурента». Однако есть организации и с более строгими правилами, в которых человека могут уволить из-за халатности, случайного способствования возникновению утечки.

Довольно часто деятельность службы безопасности ограничивается наказаниями и предупреждениями, но существуют и другие эффективные меры. Рассмотрим информирование. Важным этапом информирования являются инструктажи, они могут быть вводными, дополнительными, периодическими. Вводные инструктажи нужны новым сотрудникам, приступающим к работе. Во многих случаях для дисциплинированных сотрудников достаточно грамотного вводного инструктажа, чтобы они выполняли необходимые правила довольно долгий период времени. По возможности вводный инструктаж нужно проводить очно или по телефону, бумажные и электронные материалы не так эффективны, но их также необходимо предоставлять для того, чтобы сотрудник при желании мог найти нужную информацию и при возникновении сомнений, правильно ли он поступает, обратиться к этим материалам. Очень важно, чтобы сама форма подачи инструктажа была доступной. Здесь можно поучиться у зарубежных специалистов, которые большое внимание уделяют представлению информации: усваивается ли она сотрудниками. Если у нас очень часто инструкции пишутся «для галочки», то за рубежом они создаются для неукоснительного соблюдения, а поэтому обязаны быть понятны каждому.

Дополнительные инструктажи проводятся в случае выявления нарушений. Можно инструктировать как конкретного человека, который был виноват в нарушении, так и группу сотрудников и даже весь коллектив в случае участившихся нарушений. Например, если вы заметили, что некоторые сотрудники выносят служебные документы для работы дома, нужно не только сделать им замечание, но и провести внеочередной инструктаж со всеми сотрудниками о недопустимости подобных действий.

Периодичность инструктажей может быть различной, во многих случаях оптимально проводить их раз в год, скорее всего, один раз в квартал – слишком часто для сотрудника. Стоит учесть, что при большом количестве сотрудников проводить периодические инструктажи довольно проблематично, особенно для организаций с филиальной структурой.
Кроме инструктажей, а также в дополнение к ним существует такая хорошая мера, как тестирование по результатам проведенного обучения. Во многих организациях проводят проверку знаний по охране труда и по результатам таких испытаний могут не допустить до работы. С точки зрения информационной безопасности, правильно было бы организовать подобное тестирование перед доступом сотрудника к работе на компьютере. Естественно, вопросы теста должны быть максимально направлены на практику. Вопросы должны быть простыми и относиться именно к рабочему процессу, а не к тому, какие выдержки из законодательства должен выучить сотрудник. Вопрос «Какая статья Гражданского кодекса регулирует правоотношения в сфере персональных данных?» является некорректным. Куда больше пользы принесет, к примеру, следующее задание: «Что делать, если вы заметили аномальное поведение компьютера?».

Очень часто в дополнение к инструктажам, особенно в зарубежных компаниях, используются плакаты, памятки с правилами безопасности. Можно использовать информационную рассылку, проводить беседы с отдельными сотрудниками. Особое внимание стоит уделить информированию ключевых сотрудников: кассиров, сотрудников отдела информационных технологий, администраторов, бухгалтеров, менеджеров по работе с клиентами. Это люди, которые имеют широкие полномочия либо доступ к материальным ценностям и различным категориям конфиденциальной информации.

Нужно показывать сотрудникам, что информационная безопасность важна, хотя она и не приносит никакого дохода. Когда мы мотивируем сотрудника работать эффективнее, можно показать, что от этого вырастет доход компании и, как следствие, его заработок. Мотивируя соблюдать правила безопасности, можно лишь показать, какие проблемы возникнут, если эти правила не соблюдать. Когда мы обращаемся к руководителю по вопросу выделения средств на безопасность, то показываем возможные потери от реализации угроз, штрафов за невыполнение норм законодательства, утечки информации к конкурентам, кражи и т. д. Для сотрудников наиболее актуальны вопросы собственной безопасности, премии и штрафы.

Перспективным направлением в безопасности будет поощрение сотрудников, предотвративших нарушение либо минимизировавших потери благодаря четким действиям в критической ситуации. Хотя на сегодняшний момент наиболее популярна модель, когда мы наказываем за нарушения и ничего не делаем с теми, кто соблюдает все правила, но в будущем, когда бизнес станет еще более «человеконаправленным», все более актуальным станет поощрение добросовестных сотрудников.

Мотивация в информационной безопасности
ff-3.jpg


Если контрольно-пропускной режим и предотвращение хищений – давние задачи служб безопасности, то информационная безопасность еще достаточно молода. Поэтому проблема мотивации сотрудников кроется в первую очередь в отношении к этому направлению внутри службы безопасности. Мотивация сотрудников вырастет, когда директора по безопасности поймут важность защиты информации. На первый взгляд, нет сейчас компании, которая не говорила бы о внимании к вопросам ИБ, однако часто интерес к этой области чисто формальный и ограничивается наймом сотрудника, который занимается разработкой пакета документов по защите персональных данных. При этом остальные сотрудники прекрасно понимают, что контроль за их действиями никто не ведет, и пользуются этим в своих интересах. Даже внутри службы безопасности к специалистам по информационной безопасности часто относятся несерьезно. У нас до сих пор бытует мнение, что «настоящая безопасность» – это охрана и проверка добросовестности контрагентов. Информационная безопасность – понятие эфемерное, не имеющее материального выражения, поэтому для того, чтобы объяснить людям актуальность угроз информационной безопасности, нужно приложить довольно большие усилия. Приступая к активному процессу мотивации сотрудников, нужно быть готовым к возникающим у них вопросам.

Информационная безопасность должна стать привычкой и стилем работы сотрудника. Он не должен обращать внимание на то, чтобы делать специальные усилия на поддержание уровня информационной безопасности. Так же, как с детства вырабатывается привычка мыть руки перед едой, постепенно должна выработаться привычка соблюдать меры информационной безопасности при работе на компьютере и с конфиденциальными бумажными документами. Не должно быть лишних прав. По возможности процесс поддержания информационной безопасности должен быть прозрачен для пользователя. Например, проверка антивирусом должна осуществляться в автоматическом режиме, и у пользователей не должно быть возможности отключить защиту. Отсутствие лишних прав убережет от случайных и преднамеренных нарушений, и это касается не только информационной безопасности, но и контрольно-пропускного режима, охраны материальных ценностей и т. д.

Зачем соблюдать требования безопасности

Сотрудники обязательно поинтересуются, зачем им соблюдать правила безопасности, ведь это только усложняет их жизнь, заставляя выполнять дополнительные действия. Ведь так просто работать на собственном ноутбуке, сохранять себе на флешку и носить домой документы. Куда сложнее соблюдать многочисленные правила безопасности, касающиеся пропускного режима, экономической, информационной и собственной безопасности. Приходится работать только в рабочее время на служебном компьютере, успевая делать всю работу, не опаздывать и носить с собой карточки доступа, электронные ключи, магнитные карты. Промедление из-за работы антивируса также вносит дополнительные трудности в работу сотрудника, поэтому нужно объяснять, что за безопасность приходится платить. Самое доходчивое объяснение – объяснение на примерах, стоит показать, что будет, если пропадет вся клиентская база либо годовой отчет, бюджет предприятия, что будет, если в здание проникнет злоумышленник или ограбят кассу. Это должно впечатлить сотрудников.

Как соблюдать правила

Мало убедить сотрудников в важности поддержания уровня безопасности, нужно научить их безопасным методам работы. Безусловно, можно посоветовать обратиться к инструкциям, но зачастую они написаны таким языком, что даже те, кто их писал, не до конца понимают, каким образом применить требования на практике. Правила должны быть выполнимы, просты, понятны, лучше, если по каждому вопросу будет составлена краткая памятка. Если правила противоречат друг другу и такие запутанные, что их нельзя изложить простым языком, они не будут выполняться.

Что будет, если не соблюдать правила

Прямо вас об этом никто не спросит, но каждому сотруднику важно знать, насколько велико наказание, чтобы тратить свои силы на соблюдение правил. Часто получается так, что специалист по безопасности связан по рукам и ногам и не может никого наказать, единственное его оружие – замечания. Сотрудники это прекрасно понимают, они знают, что, если нарушать требования безопасности и объяснять это требованиями бизнеса, ничего не будет. Поэтому можно работать так, как привыкли, не обращая внимания на человека, угрожающего последствиями, которые никогда не наступят. У службы безопасности должна быть реальная власть либо возможность влиять на решения того, у кого эта власть имеется.

Что будет, если соблюдать правила

Здесь нужно остановиться на следующих моментах: как облегчится жизнь сотрудника, как легко будет соблюдать правила и почему это важно.

Скептически настроенные сотрудники спросят вас: «Почему безопасность мешает бизнесу?». Они укажут вам на то, что «бумажки», долгое согласование, дополнительные действия – все это замедляет рабочий процесс и виноваты в этом вы. С этим нужно уметь бороться, продолжая требовать строгого соблюдения инструкций каждым сотрудником, несмотря на то что общественное мнение не хотело бы видеть эти правила.
«Каковы признаки опасной ситуации?» – спросят вас самые ответственные сотрудники. Эти признаки надо выделить еще до проведения инструктажей. В области информационной безопасности таким признакам уделяется особое внимание при работе с интернет-банком. Многие хищения денежных средств произошли именно через эти приложения. При этом наблюдались определенные признаки проведения мошеннических операций: компьютер замирал, изображение в какой-то момент «подвисало», появлялось сообщение об ошибке и т. д. Отдельно стоит объяснить сотрудникам суть атаки социального инженера. Социальная инженерия в настоящее время является основной угрозой информационной безопасности, все чаще злоумышленники действуют методами убеждения и обмана, все реже применяют сложные технические и программные средства.

Сотруднику службы безопасности могут задавать самые разные вопросы.
• Какой антивирус выбрать для домашнего компьютера?
• Что делать, если пришло мошенническое смс на телефон о блокировании карты?
• Куда обратиться, если персональные данные попали к злоумышленникам и приходит навязчивая рассылка от неизвестной компании?

Помогите, поддержите – и этим вы укрепите свой авторитет.
ff-4.jpg


Основные проблемы мотивирования сотрудников


Очень сложно начинать требовать от сотрудников соблюдение правил безопасности, если до этого на нарушения смотрели сквозь пальцы, специалист СБ в этом случае является первопроходцем. Сотрудники уже привыкли к свободному стилю работы, к пренебрежениям правилами, и переучить их очень сложно, это долгосрочная задача для настоящего профессионала. Поэтому так важна поддержка «сверху», убедить руководство в важности работы службы безопасности – значит, выполнить большую часть работы по мотивированию сотрудников. Очень важны доброжелательное отношение службы безопасности к сотрудникам, оказание помощи при возникновении вопросов, сложных ситуаций, при непонимании и недопонимании правил, проведение разъяснений.

Сотрудники должны понимать, что вы компетентный человек в данных вопросах, не только требуете, но и сами выполняете правила. Важно также приводить примеры не только ущерба от нарушений, но и говорить о предотвращенных нарушениях, поскольку профилактика – это одна из важнейших задач безопасности. Подходят не только примеры, связанные с работой компании, но и примеры из жизни других предприятий отрасли. Если вы работаете в медицинском учреждении, то следует учитывать специфику и подбирать примеры из практики других больниц, не только российских, но и зарубежных. Это будет наглядно для сотрудников, в этом случае они смогут вынести для себя реальную пользу. Если вы будете приводить примеры из других отраслей, можете столкнуться с непониманием: как в больнице помогут рекомендации для школ и университетов?
Очень важны проверки. Что бы ни говорили, даже самые дисциплинированные сотрудники нарушают правила, если знают, что никто об этом не узнает и никто их не проверит. Нарушения могут возникать в результате халатности, поэтому придется изменить стиль работы сотрудников. Сотрудники прекрасно понимают, когда безопасности уделяют внимание лишь накануне проверок, и активизируются только в этот период. Если вы наивно полагаете, что сможете провести все проверки тайно, то ошибаетесь, потому что «сарафанное радио» работает против вас.

Важно, как руководство относится к службе безопасности. Если это подразделение, которое существует «для галочки» и к нему никакого уважения нет, то мотивация сотрудников будет практически нулевая. Все понимают, что требования службы выполнять необязательно – руководство не накажет за нарушения, т. к. у этой службы нет авторитета.

Учебные материалы для мотивирования сотрудников

Сотрудникам не нужны выдержки из законов, никто не будет их читать и тратить свое время, в лучшем случае распишутся, что ознакомлены. Даже профессионалам трудно дается чтение такой литературы, и это совершенно не нужно экономисту и бухгалтеру. Максимум, который можно ожидать от сотрудников, – беглое ознакомление с легко и просто составленной презентацией с минимумом текста, картинками и конкретными рекомендациями, что нужно делать, выраженными очень простым языком. У работников просто нет времени изучать многостраничные инструкции, особенно если их нельзя применить. Это на самом деле большая проблема для российских компаний: мы пишем инструкции, но их положения чисто формальные, декларативные и никаким образом не относятся к реальной жизни. Если вы пишете, что уничтожать бумаги можно только через шредер, и не покупаете его, сотрудники видят, что правила существуют только на бумаге и выполнять их необязательно. Несколько таких невыполнимых рекомендаций – и человек понимает, что правил можно не придерживаться.

Охрана труда и безопасность

Можно взять пример из практики охраны труда, у них давно отработан механизм инструктажей, проверок, подготовки учебных материалов – всего, что нужно для мотивации сотрудников. Опыт специалистов по охране труда можно позаимствовать. Мы не беремся за оголенный провод, чтобы остаться в живых, и не открываем письма от подозрительных источников, чтобы не заразить компьютерную сеть вирусами.
В качестве оригинального способа мотивирования можно применить такой искусственно созданный сбой или другую проблему, успешно решить ее и показать, какие могут быть печальные последствия в результате непродуманных действий. Если проводить параллель с охраной труда, то можно назвать такой способ «учебной тревогой».

Чего не стоит делать

Не стоит принимать поспешные решения (это особенно касается наказаний), нельзя необоснованно ограничивать права и вмешиваться в личную жизнь (вечный спор о DLP-системах). Тотальный контроль, слежка и проверка содержимого телефона настраивают людей против службы безопасности. Они все равно найдут, как сделать то, что задумали, но придумают для этого очень изощренные пути. Некоторые сотрудники могут начать делать что-то назло в ответ на несправедливые обвинения. Старайтесь дружить с сотрудниками, лишний раз их не подозревать.
Часто бывает, что во время внедрения новых бизнес-процессов и расширения спектра услуг на безопасность обращают мало внимания. Как раз в такие моменты активизируются конкуренты и угрозы становятся актуальными. На безопасность нужно обращать внимание постоянно.
Также стоит отметить, что не каждого сотрудника можно мотивировать, поэтому нужно еще на этапе собеседования отсеивать рассеянных, болтливых и озлобленных на предыдущего работодателя людей, тех, в ком уже присутствует достаточно большой риск преднамеренных и случайных нарушений. Но даже лучший сотрудник может случайно удалить файл, который не будет подлежать восстановлению.

Стоит ввести дифференцированную систему наказаний, они должны быть сообразны нарушению. Если вы за посещение сайта про домашних животных лишаете человека премии, при том что этот сотрудник выполнял все инструкции, постоянно задерживался и один раз позволил себе маленькую слабость, – это чрезмерное наказание, здесь можно ограничиться предупреждением. Если произошла утечка информации, и вы просто пожурили сотрудника, – это недостаточное наказание.
Стоит избегать исключительно показательных наказаний. Рано или поздно все поймут, что у службы безопасности отчетный период и она ищет того человека, на котором можно показать эффективность работы. Это приводит к тому, что сотрудники уверены: главное не попасть под горячую руку.

Проверки не должны быть полностью прогнозируемы, они должны захватывать все структурные подразделения, быть внезапными, достаточно частыми, и их периодичность должна быть произвольной.

Для того чтобы достичь высокого уровня безопасности в компании, сотрудники должны осознавать ответственность за свои поступки и решения. И в первую очередь, перед тем как спросить с сотрудника что-либо, нужно знать оптимальный ответ. Очень важно понимать, какой должна быть работа компании с точки зрения безопасности, что при этом должны делать сотрудники, и попытаться описать для себя основные моменты. Это позволит оценить, в каком направлении движется компания, ближе она к идеалу или дальше от него, чтобы в дальнейшем выбрать верные методы мотивирования персонала.

Матушкин Андрей Николаевич

Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
Joined
Jan 1, 1970
Messages
22,029
Reaction score
3,773
Points
113
Age
53
Location
Россия,
Website
o-d-b.ru
The main problems of motivating employees

It is very difficult to start demanding compliance with safety rules from employees, if before that they looked through their fingers at violations, a security specialist in this case is a pioneer. Employees are already accustomed to a free style of work, to disregard for rules, and it is very difficult to retrain them, this is a long-term task for a true professional. That is why support from the “top” is so important, convincing management of the importance of the work of the security service means doing most of the work to motivate employees. The friendly attitude of the security service to the employees, assistance in case of questions, difficult situations, misunderstanding and misunderstanding of the rules, and explanations are very important.

Employees must understand that you are a competent person in these matters, not only require, but also follow the rules themselves. It is also important to give examples not only of damage from violations, but also to talk about prevented violations, since prevention is one of the most important security tasks. Not only examples related to the work of the company are suitable, but also examples from the life of other enterprises in the industry. If you work in a medical institution, then you should take into account the specifics and select examples from the practice of other hospitals, not only Russian, but also foreign. This will be visual for employees, in this case they will be able to make real benefits for themselves. If you use examples from other industries, you may be confused: How will hospital and school guidelines help?
Checks are very important. No matter what they say, even the most disciplined employees break the rules if they know that no one will know about it and no one will check them. Violations can result from negligence, so the way employees work will need to change. Employees are well aware when they pay attention to safety only on the eve of inspections, and are activated only during this period. If you naively believe that you can conduct all the checks in secret, then you are mistaken, because word of mouth is working against you.

It is important how the management relates to the security service. If this is a unit that exists "for show" and there is no respect for it, then the motivation of employees will be practically zero. Everyone understands that it is not necessary to fulfill the requirements of the service - the management will not punish for violations, since this service has no authority.

Training materials to motivate employees

Employees do not need extracts from laws, no one will read them and waste their time, at best they will sign that they are familiar. Even professionals find it difficult to read such literature, and it is absolutely unnecessary for an economist and accountant. The maximum that can be expected from employees is a quick acquaintance with an easily and simply composed presentation with a minimum of text, pictures and specific recommendations on what to do, expressed in very simple language. Workers simply do not have time to study the multi-page instructions, especially if they cannot be applied. This is actually a big problem for Russian companies: we write instructions, but their provisions are purely formal, declarative and in no way relate to real life. If you write that paper shredding can only be done through a shredder, and you don't buy one, employees see that the rules exist only on paper and they don't have to be followed. Several such unrealizable recommendations - and the person understands that the rules can not be followed.

Occupational health and safety

You can take an example from the practice of labor protection, they have long worked out the mechanism of instructions, inspections, preparation of training materials - everything that is needed to motivate employees. The experience of labor protection specialists can be borrowed. We don’t tackle a bare wire to stay alive, and we don’t open letters from suspicious sources so as not to infect the computer network with viruses.
As an original way of motivation, you can apply such an artificially created failure or other problem, successfully solve it and show what sad consequences can be as a result of ill-considered actions. If we draw a parallel with labor protection, then we can call this method “training alarm”.

What not to do

You should not make hasty decisions (this especially applies to punishments), you should not unreasonably restrict rights and interfere with your personal life (the eternal dispute about DLP systems). Total control, surveillance and verification of phone content turns people against the security service. They will still find how to do what they have in mind, but they will come up with very sophisticated ways for this. Some employees may start doing something out of spite in response to unfair accusations. Try to be on friendly terms with employees, once again not suspect them.
It often happens that when introducing new business processes and expanding the range of services, little attention is paid to security. It is at such moments that competitors become active and threats become relevant. You need to pay attention to safety constantly.
It is also worth noting that not every employee can be motivated, therefore, at the interview stage, it is necessary to weed out absent-minded, talkative and embittered people with the previous employer, those in whom there is already a sufficiently high risk of intentional and accidental violations. But even the best employee can accidentally delete a file that cannot be recovered.

It is worth introducing a differentiated system of punishments, they must be consistent with the violation. If you deprive a person of a bonus for visiting a site about pets, despite the fact that this employee followed all the instructions, was constantly delayed and once allowed himself a little weakness, this is an excessive punishment, here you can limit yourself to a warning. If there is a leak of information and you just scold an employee, this is not enough punishment.
Exclusively revealing punishments should be avoided. Sooner or later, everyone will understand that the security service has a reporting period and is looking for a person to show the effectiveness of work. This leads to the fact that employees are confident: the main thing is not to get caught up in a hot hand.

Checks should not be completely predictable, they should involve all structural divisions, be sudden, frequent enough, and their frequency should be arbitrary.

In order to achieve a high level of security in the company, employees must be aware of responsibility for their actions and decisions. And first of all, before asking an employee anything, you need to know the optimal answer. It is very important to understand what the work of the company should be in terms of safety, what employees should do, and try to describe the main points for yourself. This will allow you to assess in which direction the company is moving, closer to the ideal or further from it, in order to choose the right methods of motivating personnel in the future.
Thanks!
 
Original message
Основные проблемы мотивирования сотрудников

Очень сложно начинать требовать от сотрудников соблюдение правил безопасности, если до этого на нарушения смотрели сквозь пальцы, специалист СБ в этом случае является первопроходцем. Сотрудники уже привыкли к свободному стилю работы, к пренебрежениям правилами, и переучить их очень сложно, это долгосрочная задача для настоящего профессионала. Поэтому так важна поддержка «сверху», убедить руководство в важности работы службы безопасности – значит, выполнить большую часть работы по мотивированию сотрудников. Очень важны доброжелательное отношение службы безопасности к сотрудникам, оказание помощи при возникновении вопросов, сложных ситуаций, при непонимании и недопонимании правил, проведение разъяснений.

Сотрудники должны понимать, что вы компетентный человек в данных вопросах, не только требуете, но и сами выполняете правила. Важно также приводить примеры не только ущерба от нарушений, но и говорить о предотвращенных нарушениях, поскольку профилактика – это одна из важнейших задач безопасности. Подходят не только примеры, связанные с работой компании, но и примеры из жизни других предприятий отрасли. Если вы работаете в медицинском учреждении, то следует учитывать специфику и подбирать примеры из практики других больниц, не только российских, но и зарубежных. Это будет наглядно для сотрудников, в этом случае они смогут вынести для себя реальную пользу. Если вы будете приводить примеры из других отраслей, можете столкнуться с непониманием: как в больнице помогут рекомендации для школ и университетов?
Очень важны проверки. Что бы ни говорили, даже самые дисциплинированные сотрудники нарушают правила, если знают, что никто об этом не узнает и никто их не проверит. Нарушения могут возникать в результате халатности, поэтому придется изменить стиль работы сотрудников. Сотрудники прекрасно понимают, когда безопасности уделяют внимание лишь накануне проверок, и активизируются только в этот период. Если вы наивно полагаете, что сможете провести все проверки тайно, то ошибаетесь, потому что «сарафанное радио» работает против вас.

Важно, как руководство относится к службе безопасности. Если это подразделение, которое существует «для галочки» и к нему никакого уважения нет, то мотивация сотрудников будет практически нулевая. Все понимают, что требования службы выполнять необязательно – руководство не накажет за нарушения, т. к. у этой службы нет авторитета.

Учебные материалы для мотивирования сотрудников

Сотрудникам не нужны выдержки из законов, никто не будет их читать и тратить свое время, в лучшем случае распишутся, что ознакомлены. Даже профессионалам трудно дается чтение такой литературы, и это совершенно не нужно экономисту и бухгалтеру. Максимум, который можно ожидать от сотрудников, – беглое ознакомление с легко и просто составленной презентацией с минимумом текста, картинками и конкретными рекомендациями, что нужно делать, выраженными очень простым языком. У работников просто нет времени изучать многостраничные инструкции, особенно если их нельзя применить. Это на самом деле большая проблема для российских компаний: мы пишем инструкции, но их положения чисто формальные, декларативные и никаким образом не относятся к реальной жизни. Если вы пишете, что уничтожать бумаги можно только через шредер, и не покупаете его, сотрудники видят, что правила существуют только на бумаге и выполнять их необязательно. Несколько таких невыполнимых рекомендаций – и человек понимает, что правил можно не придерживаться.

Охрана труда и безопасность

Можно взять пример из практики охраны труда, у них давно отработан механизм инструктажей, проверок, подготовки учебных материалов – всего, что нужно для мотивации сотрудников. Опыт специалистов по охране труда можно позаимствовать. Мы не беремся за оголенный провод, чтобы остаться в живых, и не открываем письма от подозрительных источников, чтобы не заразить компьютерную сеть вирусами.
В качестве оригинального способа мотивирования можно применить такой искусственно созданный сбой или другую проблему, успешно решить ее и показать, какие могут быть печальные последствия в результате непродуманных действий. Если проводить параллель с охраной труда, то можно назвать такой способ «учебной тревогой».

Чего не стоит делать

Не стоит принимать поспешные решения (это особенно касается наказаний), нельзя необоснованно ограничивать права и вмешиваться в личную жизнь (вечный спор о DLP-системах). Тотальный контроль, слежка и проверка содержимого телефона настраивают людей против службы безопасности. Они все равно найдут, как сделать то, что задумали, но придумают для этого очень изощренные пути. Некоторые сотрудники могут начать делать что-то назло в ответ на несправедливые обвинения. Старайтесь дружить с сотрудниками, лишний раз их не подозревать.
Часто бывает, что во время внедрения новых бизнес-процессов и расширения спектра услуг на безопасность обращают мало внимания. Как раз в такие моменты активизируются конкуренты и угрозы становятся актуальными. На безопасность нужно обращать внимание постоянно.
Также стоит отметить, что не каждого сотрудника можно мотивировать, поэтому нужно еще на этапе собеседования отсеивать рассеянных, болтливых и озлобленных на предыдущего работодателя людей, тех, в ком уже присутствует достаточно большой риск преднамеренных и случайных нарушений. Но даже лучший сотрудник может случайно удалить файл, который не будет подлежать восстановлению.

Стоит ввести дифференцированную систему наказаний, они должны быть сообразны нарушению. Если вы за посещение сайта про домашних животных лишаете человека премии, при том что этот сотрудник выполнял все инструкции, постоянно задерживался и один раз позволил себе маленькую слабость, – это чрезмерное наказание, здесь можно ограничиться предупреждением. Если произошла утечка информации, и вы просто пожурили сотрудника, – это недостаточное наказание.
Стоит избегать исключительно показательных наказаний. Рано или поздно все поймут, что у службы безопасности отчетный период и она ищет того человека, на котором можно показать эффективность работы. Это приводит к тому, что сотрудники уверены: главное не попасть под горячую руку.

Проверки не должны быть полностью прогнозируемы, они должны захватывать все структурные подразделения, быть внезапными, достаточно частыми, и их периодичность должна быть произвольной.

Для того чтобы достичь высокого уровня безопасности в компании, сотрудники должны осознавать ответственность за свои поступки и решения. И в первую очередь, перед тем как спросить с сотрудника что-либо, нужно знать оптимальный ответ. Очень важно понимать, какой должна быть работа компании с точки зрения безопасности, что при этом должны делать сотрудники, и попытаться описать для себя основные моменты. Это позволит оценить, в каком направлении движется компания, ближе она к идеалу или дальше от него, чтобы в дальнейшем выбрать верные методы мотивирования персонала.
Спасибо!

Макаров Виталий Николаевич

Private access level
Full members of NP "MOD"
Joined
Sep 10, 2018
Messages
169
Reaction score
227
Points
43
Age
46
Location
Красноярский край, п. Н-Ингаш, ул. Таёжная, 1/1-1
Thanks for the very interesting material!
 
Original message
Спасибо за очень интересный материал!
  • Like
Reactions: НСК-СБ

Николай 37

Private access level
Full members of NP "MOD"
Joined
Feb 5, 2020
Messages
131
Reaction score
183
Points
43
Age
53
Location
иваново
Thank you very much for the "guidelines". Very useful to use!
 
Original message
Спасибо большое, за "методические рекомендации". Очень полезные для использования!

До нового года осталось