СОПРОТИВЛЕНИЕ ПЕРСОНАЛА ПРИ ВНЕДРЕНИИ ПРОЦЕССОВ КИБЕРБЕЗОПАСНОСТИ: УПРАВЛЕНЧЕСКИЕ РЕШЕНИЯ ДЛЯ ОМНИКАНАЛЬНЫХ СИСТЕМ

АННОТАЦИЯ

Статья посвящена управленческой проблеме сопротивления персонала при внедрении процессов кибербезопасности в организациях, реализующих омниканальную модель взаимодействия с клиентами. Выявлены четыре уровня сопротивления с различными формами проявления и причинами: от рядового операционного персонала до руководства бизнес-подразделений. Установлено, что конфликт операционных KPI и требований безопасности является системообразующей причиной поведенческих нарушений. Предложены организационные механизмы преодоления сопротивления, ориентированные на руководителей, а не на специалистов по информационной безопасности.

Ключевые слова: сопротивление персонала; кибербезопасность; управление изменениями; омниканальные системы; человеческий фактор; KPI; профессиональная переподготовка.

Статистика инцидентов кибербезопасности неизменно указывает на человеческий фактор как доминирующую причину нарушений защиты. По данным отчёта Verizon DBIR, в 68% случаев утечки данных ключевую роль играло действие или бездействие сотрудника [1, с. 6]. Внедрение технически совершенных систем защиты не решает данную проблему, если персонал организации воспринимает меры безопасности как барьеры для выполнения рабочих задач и целенаправленно их обходит. В условиях омниканальных систем, предполагающих участие разнородных категорий сотрудников в клиентском обслуживании, данная проблема приобретает особую остроту.

Уровни и формы сопротивления

Анализ позволяет выделить четыре уровня сопротивления персонала с различными причинами и управленческими следствиями.

Рядовой операционный персонал. Характерные формы: запись паролей на бумажных носителях, отключение средств защиты «для ускорения работы», передача учётных данных коллегам. Причина − воспринимаемый «штраф к производительности»: меры ИБ увеличивают время выполнения операций, а операционные KPI этого не учитывают. Сотрудник, рационально максимизирующий свои показатели, выбирает скорость в ущерб безопасности [2, с. 527].

Персонал физических точек обслуживания. Данная категория демонстрирует устойчивое сопротивление при переходе от ручных процедур к автоматизированным системам. Исследователи описывают этот паттерн как «технологическую инерцию» − склонность воспроизводить привычные рабочие практики в новых инструментах [3, с. 408]. Возрастной фактор усиливает сопротивление: сотрудники со значительным стажем демонстрируют более высокий порог принятия цифровых изменений [4, с. 378].

Персонал контакт-центра. Наиболее критичная с практической точки зрения категория: нарушения процедур верификации клиентов при вишинг-атаках формируют значительную долю реализованных инцидентов в омниканальных системах. Причина системная: высокий темп обслуживания, измеряемый и вознаграждаемый, вступает в прямое противоречие с требованиями безопасности, увеличивающими время разговора. В подобной системе стимулов нарушение процедуры безопасности является рационально обоснованным с точки зрения сотрудника поведением [2, с. 531].

Руководство бизнес-подразделений. Сопротивление на данном уровне принимает форму блокирования ИБ-инициатив при бюджетировании. Ключевой барьер − отсутствие общего языка: специалисты по безопасности оперируют категориями рисков и угроз, тогда как бизнес-руководители принимают решения в категориях прибыли и рыночных позиций. Данное коммуникационное несоответствие является структурным источником хронического недофинансирования превентивных мер [5, с. 441].

Управленческие механизмы преодоления

На основании проведённого анализа предлагаются четыре организационных механизма, ориентированных на руководителей организаций, а не на ИБ-специалистов.

Устранение конфликта стимулов через интеграцию KPI. Включение показателей соблюдения ИБ-требований в операционную систему KPI каждого подразделения с соответствующей привязкой к системе вознаграждения устраняет рациональную мотивацию к обходу требований безопасности. Конкретные показатели определяются для каждой категории: для контакт-центра − процент завершённых процедур верификации, для физических точек − результаты контрольных проверок [2, с. 539].

Дифференцированная программа переподготовки персонала. Единая программа обучения неэффективна: категории персонала принципиально различаются по профилю риска, уровню цифровой грамотности и характеру угроз. Необходима разработка отдельных модулей: для персонала физических точек − акцент на практических процедурах с наставником; для контакт-центра − симуляции вишинг-звонков с немедленной обратной связью; для руководителей − понимание рисков в бизнес-терминах [6, с. 150].

Назначение ИБ-амбассадоров в подразделениях. Сотрудники, прошедшие расширенную подготовку и наделённые ответственностью за поддержание культуры безопасности на местах, обеспечивают горизонтальное распространение новых поведенческих норм. Данный механизм особенно эффективен в категориях персонала с высоким уровнем горизонтального доверия и низким − к централизованным ИБ-функциям [7, с. 112].

Бизнес-ориентированная аргументация ИБ-инвестиций. Для преодоления сопротивления на уровне руководства необходим перевод ИБ-показателей в финансовые категории. Модель ROSI позволяет представить стоимость инцидента через прямые финансовые потери, расходы на восстановление, регуляторные штрафы и влияние на клиентскую лояльность − измеримые показатели, понятные бизнес-руководителю [5, с. 444].

Сопротивление персонала при внедрении процессов кибербезопасности является не периферийной технической, а центральной управленческой проблемой. Её решение требует управленческих, а не технологических инструментов: устранения конфликта стимулов через систему KPI, дифференцированного обучения с учётом возрастного и квалификационного состава персонала, горизонтального распространения норм через ИБ-амбассадоров и перевода ИБ-аргументации на язык бизнеса. Данные механизмы образуют управленческий контур, без которого любая, даже технически совершенная, система защиты остаётся уязвимой.

Список литературы:

1. Verizon. 2024 Data Breach Investigations Report. Basking Ridge: Verizon Business, 2024. 104 p.
2. Bulgurcu B., Cavusoglu H., Benbasat I. Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness // MIS Quarterly. 2010. Vol. 34 (3). P. 523–548.
3. Orlikowski W.J. Using technology and constituting structures: A practice lens for studying technology in organisations // Organisation Science. 2000. Vol. 11 (4). P. 404–428.
4. Morris M.G., Venkatesh V. Age differences in technology adoption decisions // Information Systems Research. 2000. Vol. 11 (4). P. 375–388.
5. Gordon L.A., Loeb M.P. The economics of information security investment // ACM Transactions on Information and System Security. 2002. Vol. 5 (4). P. 438–457.
6. Bauer S., Bernroider E.W., Chudzikowski K. Prevention is better than cure! Designing information security awareness programs // Computers & Security. 2017. Vol. 68. P. 145–159.
7. Herath T., Rao H.R. Protection motivation and deterrence: A framework for security policy compliance // European Journal of Information Systems. 2009. Vol. 18 (2). P. 106–125.