Nem tudja keresztülvinni biztonsági elképzeléseit, mert mindig akad fontosabb dolog? A munkatársak azon versenyeznek ki játsza ki előbb a szabályozásokat?
Mielőtt rosszra gondol, a filmmel való cím egyezőség nem a megoldást takarja. Ahhoz inkább olvassa el cikkünket!
A legtöbb biztonsággal foglalkozó szakember sajnálkozott már kollégáival azon, hogy mennyire nehéz rávenni az embereket arra, hogy figyelmet fordítsanak a biztonsági szabályzatokra vagy eljárásokra.
A legtöbben csak hitetlenkedve rázzák a fejüket, mikor olyan történeteket hallanak, hogy alkalmazottak biztonsági ajtókat hagytak nyitva, és ezzel sok milliós beléptető rendszerek létét tették értelmetlenné.
Nagy szervezetekben, ahol a felsővezetők nem hordják az azonosító kártyájukat, azon kapják magukat, hogy hamarosan a beosztottjaik sem teszik. A biztonsági eljárások bevezetése közben a szakemberek érthetetlen ellenállásokba ütköznek.
Milyen az ember?
Az érintettek ezeket az erőfeszítéseket a privát szférájukba való behatolásként értelmezik, sokan mások pedig személyes sértésnek veszik. Ki ne tudná az alábbi felsorolást saját példákkal kiegészíteni:
- Notórius szabálykerülő - "Nekem senki ne mondja meg, hol gyújtsak rá!"
- Tesztelő - "Biztos csak ijesztgetnek azokkal a füstérzékelőkkel."
- Nemtörődöm - "És akkor mi lesz, ha rágyújtok?"
- A rácsodálkozó - "De hát nekem senki nem mondta, hogy itt nem lehet..."
Ezek a problémák az emberek társadalmi és szociális természetéből fakadnak. Abból az alapigazságból, hogy a biztonság érdekeket sért.
A biztonsági szabályzások és eljárások nem csak arra vannak hatással, hogy az emberek mit csinálnak, hanem arra is, hogyan látják magukat, a kollégáikat, a világot.
Mindezek ellenére a biztonsággal foglalkozók egyáltalán nem, vagy csak kevés figyelmet fordítanak arra, amit mindannyian olyan jól ismerünk, a szociálpszichológiára.
Szociálpszichológia és biztonság
A társadalmi viselkedés szabályainak ismerete sok segítséget nyújt a biztonsági eljárások bevezetése során. Az információbiztonsági szakértők egyetértenek abban, hogy a biztonság inkább az emberen múlik, nem a technológián.
Egy másik közhely, hogy az alkalmazottak sokkal nagyobb veszélyt jelentenek a vállalatra nézve, mint a szervezeten kívüliek.
A szociálpszichológiai megfigyelésekből következik, hogy a biztonság növelése szükségszerűen magában foglalja a viselkedési formák, meggyőződések, attitűdök megváltoztatását mind az egyénekre, mind a csoportokra vonatkozóan.
A szociálpszichológia segítséget tud nyújtani abban, hogyan kezeljük az emberi részlehajlást, hajlamot céljaink elérése érdekében:
- A kutatások arra fókuszálnak, hogy az emberek hogyan alakítják a valóságról alkotott képüket. Ismerve ezeket az elveket nagyobb hatással lehetünk ügyfeleinkre és munkatársainkra.
Figyeljünk másokra! - Ha a meggyőződések és álláspontok formálásán dolgozunk, hatékonyabban tudjuk rávenni az egyéneket, hogy kooperáljanak a cél elérése érdekében.
Kommunikáljunk! - Olyan környezetet kell kialakítani, hogy a vállalati információt akaratlagosan, meggyőződésből óvják.
Motiváljunk! - Csoportokkal foglalkozni sokkal eredményesebb, mint az egyének ellenállását áttörni.
Rendszerszemlélet - ISMS!
A racionalitás nem elég!
Az információbiztonsági eljárások sokszor erős érzelmi viharokat korbácsolhatnak. Az emberek könnyen mérgessé válnak, ha úgy érzik fölöslegesen felforgatják a jól bevált, megszokott munkamódszereiket. Ez odáig is vezethet, hogy a szabályok módszeres megkerülésével aláássák a biztonságot.
Teljesen megszokott dologgá válhat, hogy a munka megkönnyítése érdekében külső munkavállalóknak belépési kódokat, zárkombinációkat adunk meg, hogy csökkentsük az ezek engedélyeztetésével, vagy éppen a kísérgetéssel és egyéb kényelmetlen dolgokkal járó hajcihőt.
A már meglévő, kikényszerített vagy új biztonsági szabályokkal - és nem utolsó sorban az ezeket betartatni igyekvő kollégákkal - szemben paranoiás ellenállás alakulhat ki.
Ezeket a konfliktusokat az addig elfogadott magatartási normák megváltozása szüli. Nem a biztonsági szabályokat kell ezekhez igazítani, hanem az elfogadott normákat kell úgy megváltoztatni, hogy összhangba kerüljenek a biztonsági elvárásokkal.
A képet kell megváltoztatni!
Emlékezzünk csak arra, hogy a cikk felvezetésében említett vezető által kialakított kép mennyire befolyásolta az alkalmazottak hozzáállását!
Ezek a képek, sémák alakítják ki a valóságról alkotott elképzeléseinket. Ezek segítenek abban, hogy eldöntsük, mit tartunk fontosnak, és mit irrelevánsnak.
Gondoljunk csak bele, hogy az irodai kapcsolatokra kialakított sémánk magában foglalja az udvarias üdvözlést, az írásbeli kommunikációt és a megfelelő öltözködést.
Ebbe a képbe nem fér bele az obszcén beszéd, a strandpapucs és a punk-frizura. (...feltéve, hogy egy bankban dolgozunk, nem pedig egy tetoválószalonban)
Ezek a sémák teszik lehetővé, hogy tudjuk miként kell viselkedni egy adott szituációban.
Sajnálatos módon a biztonsági szabályozások és eljárások konfliktust okoznak a legtöbb ember fentiekhez hasonló, kialakult viselkedésformáival.
Térjünk vissza a beléptetésre: a megszokott udvariassági formák azt kívánják meg, hogy az éppen utánunk jövő kollégának nyitva tartjuk az ajtót, így ő ellenőrzés nélkül sétál be egy biztonsági területre azonosítás nélkül.
Az információbiztonságot a vállalati kultúra szerves részévé kell tenni!
A személyiség
A szervezeteken belüli kooperációt leginkább akadályozó tényező az interperszonális konfliktus. A legtöbb konfliktus gyökere a személyiségjegyek eltéréséből adódik. Az alábbi széleskörűen használt kategóriák segíthetnek a személyiségek ábrázolásában:
Kifelé fordulás (extrovertizmus)
Magas: aktív, energikus, beszédes, öntudatos, társaságkedvelő
Alacsony: csendes, visszahúzódó, félénk, zárkózott
Kedvesség
Magas: rokonszenves, megnyerő, lágyszívű, méltányos, szeretetteljes
Alacsony: hideg, keményszívű, barátságtalan, civakodó, kötözködő
Lelkiismeretesség
Magas: szervezett, tervszerű, hatékony, felelős, alapos
Alacsony: frivol, felelőtlen, figyelmetlen, fegyelmezetlen, hanyag
Érzelmi stabilitás
Magas: stabil, higgadt, elégedett, szenvedélymentes
Alacsony: aggódó, ideges, gondterhelt, görcsös
Nyitottság és kulturáltság
Magas: intelligens, eredeti, érdeklődő, ötletes
Alacsony: közhelyes, unintelligens, szűklátókörű, felszínes
A jellemvonásokhoz tartozó melléknevek a "magas" oldalon pozitivizmust, az "alacsony" oldalon pedig negativizmust sugallnak. A "felső" és "alsó" karakterek közötti interferencia hat zavarólag a kollégák közötti kommunikációban.
Nézzük meg például, hogy egy "alsó" karakterisztikájú ember hogyan látja a fent felsorolt kategóriák jellemzőit:
Kifelé fordulás (extrovertizmus)
Magas: ideges, agresszív, nyomuló, ingerlékeny, pletykás
Alacsony: tisztelettudó, méltóságteljes, önálló, figyelmes
Kedvesség
Magas: kritikátlan, ragaszkodó, érzelgős, tökkelütött
Alacsony: analitikus, racionális, méltóságteljes, elvekkel bíró
Lelkiismeretesség
Magas: megrögzött, kényszeredett, alázatos, fontoskodó
Alacsony: szabad, spontán, kreatív, fiatalos, vicces
Érzelmi stabilitás
Magas: fagyos, unalmas, ambíció nélküli
Alacsony: vibráló, romantikus, erős, ésszerű
Nyitottság és kulturáltság
Magas: teoretikus, dilettáns, komplikált
Alacsony: anyagias, okos, praktikus, fókuszált, alapos
A konfliktusok a fenti a kategóriák értelmezésének felfogásbeli különbözőségéből adódnak.
Az ellentét a személyiségbeli stílusok különbségéből eredeztethető, nem pedig a problémák megértésének eltéréséből.
Például, ha visszatérünk az azonosító kártyák témájához, bizonyos embereknek problémát okoz, hogy figyelmeztesse a másikat a kártya viselésére, főleg, ha az a szervezetben felette áll.
Ez egy alapvető probléma. A megkövetelt viselkedésmód közvetlenül ellentétes az élet során elsajátított viselkedésmóddal.
Ezért nem szabad elvárni, hogy mindenki azonnal konfrontálódjon ilyen helyzetekben. Megoldás lehet az, ha a biztonsági felelőshöz fordulhat.
Általában a szabályozások mögötti háttér, a dolgok miértjének és mikéntjének megfelelő kommunikálása segít a viselkedésmód megváltoztatásában. A reakciók megfigyelése mindig kifizetődőbb a parancsnoklásnál!
A gyakorlatban a vállalati kultúra megváltoztatása egy hosszú kifutású projekt, miközben a biztonsági csapatban lévőknek folyamatosan figyelniük kell a kollégáik reakcióját.
Az emberek általában a másik viselkedését két független dimenzió mentén ítélik meg: Kifelé forduló (extrovertált) - befelé forduló (introvertált) Stabil - ingatag Példaként néhány jellemzés, hogy "Katika" miért felejtette bejelentkezve a gépét már negyedszer a héten:
- Befelé forduló, stabil - "Ő már csak ilyen, soha nem figyel a szabályokra."
- Befelé forduló, ingatag - "Nagyon feszült mostanában, mert a gyereke beteg, ezért felejthette úgy a gépet."
- Kifelé forduló, stabil - "A rendszer nem válaszol a kilépés funkcióra."
- Kifelé forduló, ingatag - "A héten a rendszer nem válaszolt megfelelően a kilépés parancsra."
Ez az egyszerű felosztás hasznos a vezetők számára, hogy megértsék, és elkerüljék a tulajdonságok kezeléséből fakadó hibákat. Minden emberi viselkedésnek (magatartásformának) megvan az indoka, és erre a szociálpszichológia ad választ.
Egy hatékony információ biztonsági program szociálpszichológiai elemei:
- az információ láthatatlan - tedd megfoghatóvá (pl. pénzben kifejezve)
- használd ki a cégújság, intranet adta lehetőségeket - információ biztonsági rovat
- küldj rendszeresen biztonsági figyelmeztetéseket, vedd őket az életből - "Hogyan olvassák le a bankártyás csalók a PIN kódját és mit tehet ellene?", "Az Ön bankkártyájával is fizettek már csalók az interneten keresztül?"
- Minden kiadott új eljárást kommentáljon - Miért szükséges? Mit érint? Milyen hatása lehet?
- Használja a Kockázat Magazin hírlevelét!
Egy biztonsági menedzsernek értelmeznie kell a körülötte zajló eseményeket, értenie kell azok hátterét, és ennek érdekében érdemes pszichológiai ismeretekkel is felvérteznie magát.
A cikknek még nincs vége!
A jövő héten a Kockázat Magazin különkiadással jelentkezik, melyben a szociálpszichológia gyakorlati módszereit mutatjuk be annak érdekében, hogy elképzeléseit hatékonyan keresztül tudja vinni a szervezeten.