Управление изменениями и формирование security‑культуры внутри компании #опытэкспертов

Делимся опытом Дмитрия Беляева, CISO IT-компании и автора Telegram-канала BELYAEV_SECURITY

Почему изменения в ИБ дают такой сильный отпор со стороны сотрудников

Любые ИБ‑инициативы воспринимаются как усложнение жизни: пароли, MFA, запреты на сервисы, новые согласования.

Сопротивление чаще связано с ростом нагрузки и отсутствием понятного ответа на вопрос "зачем", а не с "ленью".

Когда безопасность воспринимается как тормоз, сотрудники начинают обходить правила — использовать shadow ‑IT и личные каналы, что регулярно приводило к утечкам данных в крупных компаниях.

Формальные политики без культурных изменений дают иллюзию контроля: документы подписаны, но люди продолжают пересылать чувствительные файлы в мессенджеры и на личную почту.

Там, где ИБ‑изменения сопровождаются честным объяснением рисков и выгод для бизнеса, уровень принятия правил значительно выше.

Как использовать модели изменений для безопасности

Модель Коттера в ИБ начинает работать, когда создается чувство срочности через реальные кейсы атак и их ущерб для отрасли, а не через абстрактные "риски".

Это дает C‑level повод включить безопасность в стратегическую повестку, а не воспринимать ее как "затратный центр".

Подход ADKAR помогает смотреть на изменения глазами сотрудника: Awareness и Desire не рождаются от одной рассылки, их создают через живое общение, Q&A, реальные примеры инцидентов и понятный ответ на вопрос "что это значит лично для меня".

Без этапов Knowledge и Ability (обучение и практика) люди не переходят к устойчивому безопасному поведению, а просто ищут обходные пути.

Культура reporting: не наказывать, а учиться

В компаниях с зрелой security‑культурой сотруднику безопасно признаться в ошибке: клик по фишинговой ссылке становится поводом для быстрого реагирования, а не для публичной порки. Там, где за это наказывают, люди молчат — и инцидент проявляется уже на стадии серьезного ущерба.

Именно ранние репорты не раз позволяли ограничить распространение malware и избежать простоя бизнеса.

Подход "no blame, but learn" превращает каждый инцидент в урок: команда разбирает, какие подсказки, автоматизацию или ограничения можно встроить в процессы, чтобы снизить риск повторения. Это формирует доверие и вовлеченность, вместо культуры страха, где безопасность ассоциируется только с наказанием.

Gamification, микрообучение и champions

Вместо годовых "обязательных лекций" лучше работают короткие, регулярные форматы: квизы, мини‑игры по распознаванию фишинга, небольшие челленджи между командами.

Такие программы в реальных компаниях снижали долю кликов по тестовым фишинговым письмам и повышали количество добровольных репортов.

Сеть security champions — люди из бизнеса, которые становятся амбассадорами ИБ в своих подразделениях, — помогает донести практическую пользу безопасности на языке конкретной команды.

В распределенных организациях это часто единственный способ реально встроить ИБ в ежедневную работу, а не держать ее "где‑то в головном офисе".

Как закрепить изменения: коммуникации, KPI и мотивация

Коммуникации по безопасности работают, когда у них есть лицо и понятное сообщение: CISO и бизнес‑руководители лично объясняют, почему меняются процессы, отвечают на неудобные вопросы и показывают связь ИБ с выручкой, рисками и репутацией.

Культура закрепляется, когда безопасность попадает в систему целей: KPI руководителей учитывают результаты по фишинговым кампаниям, инцидентам и участию в обучении, а инициативы по улучшению процессов поощряются.