Обзор: Что движет нами в вопросах информационной безопасности

Меры безопасности терпят неудачу, когда их разрабатывают без учёта людей, которым предстоит их применять. Это центральный тезис второго издания книги Лерона Зинатуллина, который он последовательно развивает на протяжении 17 глав, опираясь на организационную психологию, управление изменениями и исследования в области юзабилити.

Об авторе

Лерон Зинатуллин — директор по информационной безопасности в Constantinople, компании, предоставляющей банковские услуги на основе искусственного интеллекта. Он также выступает на конференциях и консультирует стартапы. Под его руководством реализовывались масштабные глобальные проекты по цифровой и безопасностной трансформации для повышения эффективности затрат и поддержки бизнес-стратегии.

О чём книга

Книга условно делится на две части. Первая половина посвящена управлению рисками, коммуникациям, психологии принятия решений, влиянию на заинтересованные стороны и управлению изменениями. Вторая часть применяет этот фундамент к проектированию политик, удобству использования, культуре и поведенческим изменениям. Глава 7 завершает первую половину, представляя модель поведенческих изменений от Группы переговорщиков ФБР в кризисных ситуациях, чтобы подчеркнуть: влияние требует вложений в умение слушать и установление взаимопонимания, прежде чем пытаться изменить поведение.

Глава 9 — одна из наиболее полезных в книге. Зинатуллин разбирает пять средств контроля защиты от вредоносного ПО по стандарту ISO 27001 и создаёт вымышленные образы сотрудников, показывая, как средство контроля, внедрённое без внимания к рабочим процессам, создаёт новый тип риска. Каждый сценарий узнаваем.

Глава 10 основана на интервью с руководителями служб безопасности, которые показывают, что менеджеры в целом осознают влияние своих мер на поведение, но это осознание носит реактивный характер и зависит от количества жалоб. Некоторые признали, что у них нет способа измерить влияние политик безопасности на производительность сотрудников.

Глава 11 обобщает исследования, выявившие три причины несоблюдения правил: у сотрудников нет чёткого понимания, зачем это нужно, цена соблюдения слишком высока, или соблюдение структурно невозможно с предоставленными инструментами.

Глава 16 рассматривает изменение поведения в максимально практическом ключе. Модель COM-B (способность, возможность, мотивация) служит диагностическим инструментом для определения типа вмешательства, подходящего для конкретного пробела в соблюдении требований. Модель поведения Фогга добавляет триггер как третий необходимый элемент. Далее в главе рассматривается теория подталкивания (нуджа) и вводится концепция усиления (бустинга) как дополнения: нужды изменяют архитектуру выбора для быстрого результата; усиление развивает навыки принятия решений для более устойчивого изменения поведения. Зинатуллин проводит прямую параллель: изменение одной привычки в области безопасности может распространить продуктивное поведение более широко по всей организации.

Книга кратко охватывает широкий спектр методологий: PESTLE, SWOT, восемь шагов Коттера, шесть принципов убеждения Чалдини, дизайн-мышление, цикл «Создать-Измери-Узнай» из бережливого стартапа, метод пяти «почему» и системное мышление. Каждой из них находится применение в сфере безопасности.

Заключение

Аудитория книги «Психология информационной безопасности» — это специалисты по безопасности, работающие на стыке различных организационных границ. Тем, кто ищет отправную точку в поведенческой науке о безопасности или кому необходимо обосновать внутри компании важность разработки политик с учетом человеческого фактора, она будет полезна. Тем, кто ищет руководство по техническим средствам контроля, следует обратиться к другим источникам.