Kogenud juht: õngitsuskirja avanud töötaja karistamine võib kaasa tuua ootamatuid tagajärgi

Küberturvalisuse tagamine on iga ettevõtte jaoks kriitilise tähtsusega, kuid selle edukus ei seisne ainult tehnoloogilistes lahendustes. Tõhus küberturvalisus algab ja lõpeb inimestega. Elisa IT-juhi Villu Teearu sõnul on aga vältimatu, et inimaspekt hakkab kõikuma, kui vigu turbeprotsessides võetakse kui isiklikke ebaõnnestumisi, mis vajavad karistamist.

Küberruumis eksimine on paratamatu ja mida keerukamaks ja mitmetahulisemaks muutuvad pettused, seda tavalisemaks see ka muutub. Igaüks võib kogemata avada kahtlase manuse, unustada tarkvarauuenduse või jagada tundlikku infot valel viisil. Inimlikke vigu juhtub alati – küll aga määrab selle, mis viisil need vead ettevõtte kui terviku turvataset mõjutavad, see, mil moel reageerivad juhid töötajate apsakatele.

Kuigi karistav juhtumine on midagi, mis on Eesti ärikultuurist vaikselt lahkumas, on see jätkuvalt midagi, mis pole täielikult kadunud. See on aga midagi, mis võib küberturvalisusele laastavalt mõjuda: kui juht töötajat vea eest karistab – näiteks pannes ta avalikku häbiposti või isegi lahti lastes – võib olla enam kui kindel, et iga teine töötaja annab endast edaspidi kõik, et juhtunud vead maha vaikida.

See tähendab, et töötajad hakkavad eksimusi varjama, mis omakorda suurendab riski, et probleemid kasvavad ja jäävad lahenduseta.

Inimesed saavad vigadest õppida ainult juhul, kui juht sellist käitumist toetab

Küberturvalisus saab eksisteerida ainult juhul, kui kõik organisatsiooni liikmed sellesse teadlikult panustavad. See peab algama selge kommunikatsiooniga – iga töötaja peab mõistma, et eksimustest teavitamine on organisatsiooni huvides ning see on osa vastutustundlikust käitumisest. Samuti peab olema inimestele selge, et vigade tegemine ja nendest teatamine ei ole häbiasi ega saa karistatud. On ilmselge, et keegi pole rõõmus, kui küberpätt tuppa lastakse, ent inimesed peavad mõistma, et selle juhtumisel saavad nad abi olukorra lahendamisel, mitte juhi käest pragada.

Niisamuti on oluline, et juhid hakkaks mõistma, et küberturvalisuse eest ei vastuta kunagi individuaalne töötaja üksi, vaid tööpere tervikuna. Kui töötaja avab ja vastab õngitsuskirjale, ent talle pole sellistest ohtudest isegi räägitud, siis ei ole selle vea juhtumises süüdi see konkreetne töötaja, vaid kogu ettevõte. Suured vead ei ole kunagi ühe isiku süü, vaid süstemaatiline puudujääk.

Kui töötajad tunnevad, et neid kuulatakse, nende ausust hinnatakse ja nad on varustatud tööriistadega erinevate olukordadega toime tulemiseks, muutub turvaintsidentidest teatamine loomulikuks osaks tööprotsessist.

See võimaldab omakorda kiiremini reageerida ja rakendada parandusmeetmeid, mis väldivad suuremaid kahjusid. Suuresti on sellise kultuuri edendamisel kriitilise tähtsusega juhi algne reaktsioon vigadele. Vastates eksimusele kriitiliselt ja karistavalt, kinnistab ta negatiivset tagasisideahelat. Kui eksimusele lähenetakse aga empaatiliselt ja mõistvalt, julgustab see töötajaid avatud olema.

Töötajad, kes tunnevad end väärtustatuna ja toetatuna, on rohkem motiveeritud ka organisatsiooni turvalisusesse panustama. Seejuures on tähtis, et juht mitte ainult ei reageeriks vigadele mõistvalt, vaid toetaks ise ka õigete käitumismustrite kujunemist ja oma töötajate teadlikkuse tõstmist. See võib tähendada näiteks regulaarselt tunnustamist, kui keegi on tõhusalt ära hoidnud potentsiaalse ohu, või jaganud olulist infot, mis aitab tiimil paremini riske hinnata.