Przymus czy motywacja? Dylematy liderów w firmie
Zarządzanie zespołem w kontekście cyberbezpieczeństwa to zadanie liderów firm, związane z wieloma pytaniami, na które nie zawsze łatwo znaleźć odpowiedź. Ważnym zagadnieniem jest sposób, w jaki liderzy powinni wpływać na postawy i zachowania swoich pracowników w rozumieniu i realizowaniu zasad minimalizujących ryzyko cyberzagrożeń.
“Udział najwyższego kierownictwa w inicjatywach związanych z bezpieczeństwem informacji ma znaczący bezpośredni i pośredni wpływ na postawy pracowników wobec norm subiektywnych i postrzeganej kontroli behawioralnej nad zgodnością z politykami bezpieczeństwa informacji” — czytamy we wstępie do “Managing Employee Compliance with Information Security Policies: The Critical Role of Top Management and Organizational Culture” autorstwa Qing Hu, Tamara Dinev, Paul Hart, Donna Cooke — badaniu, którego wyniki zostały opublikowane w “Decision Sciences”.
Co ciekawe, badanie wskazało również, jak ważną rolę liderzy odgrywają w kształtowaniu zachowań pracowników w zakresie przestrzegania przepisów, oprócz środków zaradczych zorientowanych na odstraszanie. To, jak pracownicy postrzegają zasady bezpieczeństwa, decyduje o tym, jak bardzo będą ich przestrzegać pod wpływem działań kierownictwa i kultury firmy.
W literaturze często porusza się temat motywacji jako narzędzia do budowania zaangażowania i odpowiedzialności pracowników za bezpieczeństwo danych. Motywacja, jako czynnik pozytywny, jest podstawą wielu teorii zarządzania. Współczesne podejścia, jak np. teoria X i Y Douglasa McGregora, zakładają, że ludzie są skłonni do przestrzegania zasad bezpieczeństwa dzięki odpowiednim bodźcom, takim jak potrzeba… bezpieczeństwa, uznania czy przynależności.
Generalnie, teoria X i Y opisuje dwa różne podejścia do zarządzania pracownikami. Teoria X zakłada, że ludzie są z natury leniwi, unikają odpowiedzialności i wymagają ścisłej kontroli oraz przymusu, aby efektywnie pracować. Z kolei Teoria Y sugeruje, że pracownicy są naturalnie zmotywowani, kreatywni i chętnie podejmują odpowiedzialność, pod warunkiem że stworzy się im odpowiednie warunki.
Sama motywacja, choć istotna, nie zawsze — jak się okazuje — jest wystarczająca, aby skutecznie chronić organizację przed cyberzagrożeniami. W sytuacjach kryzysowych lub w przypadku niskiego zaangażowania pracowników liderzy mogą potrzebować sięgnąć po inne narzędzia, takie jak przymus, aby zapewnić przestrzeganie zasad bezpieczeństwa. Motywacja i przymus mogą być efektywne, ale tylko wtedy, gdy są stosowane w odpowiedni sposób, uwzględniając specyfikę zagrożeń oraz cechy danej grupy pracowników.
Na przykład świadomość ryzyka, wynikająca z odpowiedniej edukacji i komunikacji, może skutecznie zachęcać pracowników do przestrzegania polityk bezpieczeństwa. Pracownicy, którzy są świadomi konsekwencji swoich działań, mają większą tendencję do unikania ryzykownych zachowań.
Jednak w przypadkach, gdy motywacja zawodzi, liderzy mogą wdrażać rygorystyczne zasady i procedury, które stanowią formę przymusu. Tego typu polityki, takie jak regularne audyty bezpieczeństwa, obowiązkowe aktualizacje oprogramowania czy ścisłe egzekwowanie reguł, mogą znacząco ograniczyć niepożądane zachowania i zmniejszyć ryzyko naruszeń bezpieczeństwa.
Dlatego tak ważne jest, aby liderzy potrafili odpowiednio dostosować swoje podejście do kontekstu, w którym się znajdują. W niektórych przypadkach bardziej efektywna będzie motywacja oparta na pozytywnych bodźcach, takich jak nagrody czy uznanie, podczas gdy w innych sytuacjach konieczne może być zastosowanie przymusu, aby zapewnić bezpieczeństwo organizacji. Ostatecznie, zrozumienie specyficznych potrzeb i cech pracowników, a także charakterystyki zagrożeń, pozwala na wybór najbardziej efektywnego podejścia do zarządzania bezpieczeństwem w firmie.
Przymus jako narzędzie w zarządzaniu cybersec – kiedy jest uzasadniony? Czy w ogóle jest?
Przymus w zarządzaniu jest często postrzegany jako metoda ostateczna, kojarzona z autorytarnym stylem prowadzenia zespołów, który może prowadzić do oporu, a nawet zniechęcenia pracowników. Niemniej jednak na łamach Professional Leadership Institute ukazał się artykuł “Coercive power in the workplace”, który wskazuje, kiedy przymus może okazać się skutecznym narzędziem.
Za przykładem tego źródła, w kontekście przestrzegania zasad cyberbezpieczeństwa, władza przymusu może być skutecznym narzędziem, ale tylko wtedy, gdy jest używana w sposób przemyślany i adekwatny do sytuacji.
Przypadki, kiedy przymus może być uzasadniony, to:
Gdy pracownicy regularnie ignorują zasady dotyczące cyberbezpieczeństwa, np. korzystają z nieautoryzowanego oprogramowania lub odwiedzają niebezpieczne strony internetowe, lider może zastosować przymus w postaci ostrzeżeń, zawieszeń lub innych środków dyscyplinarnych, aby zapewnić zgodność z polityką bezpieczeństwa.
W sytuacjach, gdy bezpieczeństwo danych i systemów jest zagrożone, liderzy mogą wprowadzać surowe procedury i regulacje, aby wymusić przestrzeganie standardów cyberbezpieczeństwa. Przymus w takim kontekście może pomóc zminimalizować opór i zapobiec potencjalnym naruszeniom bezpieczeństwa.
Wykorzystanie przymusu może być niezbędne do zapobiegania poważnym nadużyciom, takim jak celowe naruszenie protokołów bezpieczeństwa, które może prowadzić do wycieku danych. Groźba sankcji, takich jak zwolnienie czy działania prawne, może skutecznie odstraszyć pracowników od ryzykownych działań.
Władza przymusu może również działać jako środek motywujący pracowników do bardziej odpowiedzialnego zachowania w zakresie cyberbezpieczeństwa. Czasami groźba kary za nieprzestrzeganie zasad może skłonić pracowników do lepszego przestrzegania polityk bezpieczeństwa.
Przypadki tego typu pracowników ciekawie opisali badacze z Akademii Koźmińskiego. W artykule naukowym “Identifying cyberrisk factors in hybrid workforce environments” Krzysztof Przybyszewski, Karolina Małagocka oraz Zofia Przymus dokonali podziału pracowników na cztery grupy. Dwie z nich to poszukiwacze ryzyka i nieostrożni.
Pierwsza z nich stanowi niemal 20% wszystkich pracowników. To osoby świadomie podejmujące działania, które mogą narazić firmę na cyberataki. Przykłady ich ryzykownych działań to używanie tych samych haseł do różnych serwisów, ignorowanie aktualizacji oprogramowania oraz korzystanie z publicznych sieci Wi-Fi do celów służbowych.
Nieostrożni pracownicy, stanowiący 33% badanych, nie zdają sobie sprawy z zagrożeń związanych z ich działaniami. Z powodu braku świadomości lub niewiedzy, mogą nieumyślnie narażać organizację na ryzyko.
To głównie tych grup pracowników powinien dotyczyć przymus, powinien być jednak stosowany z rozwagą, aby nie wywoływać zbędnego stresu lub oporu w zespole. Liderzy powinni dążyć do tego, aby ich działania wspierały ogólne bezpieczeństwo organizacji, a nie tylko wymuszały posłuszeństwo. W ten sposób można efektywnie wykorzystać przymus, jednocześnie budując kulturę odpowiedzialności i zgodności z zasadami cyberbezpieczeństwa.
Motywacja – czy zawsze działa?
Często spotykamy się z założeniem, że odpowiednio dobrane bodźce motywacyjne mogą zdziałać cuda – zwiększyć efektywność, poprawić morale czy wzbudzić poczucie troski o firmę. Jednak rzeczywistość bywa bardziej skomplikowana.
Motywacja może nie zadziałać w sytuacjach, kiedy pracownicy są zdemotywowani z powodów zewnętrznych, na przykład z powodu niezadowolenia z polityki firmy, poczucia niesprawiedliwości lub nadmiernego obciążenia pracą, straszeniem konsekwencjami. W takich przypadkach, same bodźce motywacyjne mogą okazać się niewystarczające. Wręcz przeciwnie, mogą one prowadzić do frustracji, jeśli pracownicy czują, że “motywatory” są nieadekwatne do wysiłku, jaki muszą włożyć w działania, o które prosi ich przełożony.
W takich przypadkach, zamiast standardowych metod motywacyjnych, konieczne może być zastosowanie alternatywnych podejść, takich jak dialog z pracownikami, zrozumienie ich potrzeb i obaw oraz wprowadzenie zmian organizacyjnych.
W kontekście cyberbezpieczeństwa, ważne jest również dostosowanie metod motywacyjnych do specyfiki firmy i wykonywanej pracy. Przykładem może być wprowadzenie testowych kampanii phishingowych, które połączone z edukacyjnym feedbackiem mogą skutecznie podnieść świadomość pracowników na temat zagrożeń online.
Znaczenie indywidualnego podejścia do pracownika
Wielu badaczy podnosiło już temat tego, w jaki sposób różnice indywidualne pracowników mogą wpływać na zgodność osoby z procedurami cyberbezpieczeństwa oraz na przejawiane przez nią ryzykowne zachowania. “Shropshire i in. (2006) oraz Panko (2010) zauważyli, że niewłaściwe korzystanie z komputerów, w tym używanie nieautoryzowanych aplikacji, pobieranie plików z nieznanych źródeł oraz odwiedzanie zainfekowanych stron internetowych, jest częścią katalogu złych zachowań w zakresie cyberbezpieczeństwa” — czytamy w materiale naukowym “Identifying cyberrisk factors in hybrid workforce environments” badaczy z Akademii Koźmińskiego.
“McBride, Carter i Warkentin (2012) odkryli, że osoby bardziej ekstrawertyczne są bardziej narażone na naruszenia bezpieczeństwa cybernetycznego niż osoby bardziej neurotyczne i sumienne. Uebelacker i Quiel (2014) badali związek między podatnością na ataki socjotechniczne a osobowością. Shropshire, Warkentin i Sharma (2015) wykazali, że intencja użycia nowego oprogramowania zabezpieczającego oraz rzeczywiste jego użycie były również wynikiem sumienności i zgodności” — czytamy dalej.
Jak zaznaczają naukowcy, istnieje również wiele badań skupiających się na sumienności, zgodności i otwartości (McCormac i in., 2017), które łączą powyższe cechy z mniejszą skłonnością do ryzyka i zwiększoną świadomością dobrych praktyk w zakresie cyberbezpieczeństwa.
Postawy wobec podejmowania ryzyka wydają się być związane z różnymi wymiarami cyberbezpieczeństwa, zgodnie z już przeprowadzonymi badaniami. I tak osoby, które lubią podejmować ryzyko, częściej zachowują się mniej bezpiecznie w internecie. Ci, którzy unikają ryzyka w codziennym życiu (np. nie interesują się sportami ekstremalnymi), rzadziej podejmują działania chroniące ich w świecie online (Hadlington, 2018).
Wniosek? Ważne jest, aby do każdego pracownika podchodzić indywidualnie, szczególnie w kontekście przestrzegania zasad cyberbezpieczeństwa w pracy. Stosowanie tych samych metod motywacji i dyscypliny wobec wszystkich może prowadzić do niezadowolenia i obniżenia efektywności. Dlatego warto dostosować podejście do potrzeb i zachowań poszczególnych osób, aby skutecznie promować bezpieczne praktyki w firmie.
W niektórych przypadkach istotne może być wprowadzenie systemów mentoringowych, w innych – większa swoboda w wykonywaniu zadań, a jeszcze w innych – bardziej strukturalne podejście i jasne wytyczne.
Komentarze ekspertów: Krzysztof Bryła, Viktoria Polikowska, Marta Siekacz
Krzysztof Bryła, manager, lider, ekspert, trener oraz mentor w obszarach bezpieczeństwa i IT:
Skuteczna ochrona organizacji przed cyberatakami wymaga indywidualnego podejścia do pracowników. Podobnie jak przy delegowaniu i rozliczaniu zadań.Moim zdaniem, ważna jest motywacja każdego pracownika, budowana na zaufaniu do niego, zrozumieniu przez niego zasad bezpieczeństwa oraz personalnym zaangażowaniu w przestrzeganiu procedur i raportowaniu nieprawidłowości. Wspomagana poprzez system nagród, gamifikacje.Ale organizacja to zbiór indywidualności, osób, których stopień zaangażowania nie będzie na tym samym poziomie. Konieczne jest więc stosowanie elementów, które pozwalają na działanie tylko w ściśle określony sposób, tak aby nie przeszkadzało to pracownikowi w wykonaniu jego obowiązków, a jednocześnie było to bezpieczne, np. poprzez automatyzację.I wreszcie ostatnia grupa aktywności – czyli przymuszenie do przestrzegania zasad poprzez procedury, mechanizmy kontroli czy blokady, z systemami raportującymi nieprawidłowości w celu ich wyeliminowania, nawet poprzez wyciągnięcie konsekwencji.Dopiero zrównoważony dobór środków z tych trzech grup pozwoli na budowę kultury bezpieczeństwa.
Viktoria Polikowska, młodszy specjalista ds. bezpieczeństwa informacji, Perceptus
System Zarządzania Bezpieczeństwem Informacji (SZBI) i System Zarządzania Ciągłością Działania (SZCD) jasno wskazują, że za wprowadzenie procedur zabezpieczających organizację odpowiada jej najwyższe kierownictwo. Jego zadaniem jest wprowadzenie narzędzi i procedur, które albo zmotywują pracowników do zachowania zasad bezpieczeństwa, albo wymuszą to na nich przez system kar. Podejście kierownictwa ma istotne znaczenie. Nie tylko podejście do pracowników, ale także do zasad. To ono powinno stanowić wzór do naśladowania przez pracowników niższego szczebla. Jak zmotywować lub nakłonić pracownika do przestrzegania pewnych reguł, polityk czy procedur postępowania, jeśli samemu się ich nie stosuje? „Ryba psuje się od głowy” — to powiedzenie zna chyba każdy. Zawarta jest w nim wielka mądrość, które mówi o tym, że demoralizacja w jakimś obszarze społeczeństwa lub w jakimś środowisku rozpoczyna się od ludzi stojących najwyżej w hierarchii. Pracownicy organizacji będą angażować się w realizację zadań powiązanych z bezpieczeństwem informacji czy ciągłością działania w takim samym stopniu, jak robi to najwyższe kierownictwo.
Normy wymagają stworzenia pewnych procedur postępowania w związku z bezpieczeństwem informacji lub ciągłością działania. Procedury są po to, by postępować zgodnie z nimi, a więc konieczny jest przymus. Należy wprowadzić mechanizmy weryfikacji stosowania się do procedur, aby zidentyfikować zachowania odbiegające od procedur i doskonalenia, by rozwiązać zaistniały problem, poprzez aktualizację procedury lub przeszkolenie/zdyscyplinowanie pracownika. Z pewnością narzędziem motywującym pracowników będzie możliwość podnoszenia poziomu wiedzy, co wpływa na świadomość i poziom kompetencji. Jeśli organizacja nie inwestuje w ten obszar, realizację procedur opierać będzie tylko na systemie nakazowo-zakazowym, czyli polecenia, procedury i kary. Edukacja ma również funkcję samodyscyplinującą. Zwiększając świadomość pracowników w aspekcie efektów ich działań i potencjalnych skutków tych działań dla innych osób, budujemy w nich zrozumienie dla reguł. Znając potencjalne zagrożenia dla organizacji, ale też konkretnych osób, wywołane zaniedbaniem i nieprzestrzeganiem procedur, inaczej będą oni postrzegać takie działanie.
Marta Siekacz, dyrektor marketingu Perceptus
Każda zmiana budzi opór — tak jesteśmy skonstruowani. Jeśli chcemy skutecznie wprowadzić nowe procedury, które zwiększą poziom bezpieczeństwa, zespół powinien mieć szansę zrozumieć korzyści, jakie dzięki nim osiągnie organizacja. Wtedy łatwiej przyjdzie mu zaakceptować dodatkowe obciążenia czy ograniczenia, które są dla niego niekomfortowe. Nie osiągnie się tego bez szkoleń, bo to właśnie zapewnienie odpowiedniej wiedzy jest istotne na tym etapie. Ważne też, aby negatywne w odczuciu pracowników zmiany wprowadzać jednorazowo, w sposób skumulowany. To lepsza opcja niż dawkowanie im mniejszych utrudnień, ponieważ stopniowe wprowadzanie może generować eskalację niezadowolenia ponad to, jak faktycznie są one uciążliwe.
Moja opinia bazuje na doświadczeniu, które wynika z funkcjonowania w dość specyficznym obszarze, jakim jest marketing. Wbrew pozorom wymaga on dość zaawansowanej znajomości technik wywierania wpływu, czasem nie tylko na zewnątrz, ale również wewnątrz własnej organizacji. Zastanawiając się, czy bardziej skuteczne będzie przymus czy motywacja, trzeba wziąć również pod uwagę takie czynniki jak kultura organizacji, poziom zaangażowania zespołu, styl zarządzania kierownictwa – to wszystko ma znaczenie. Warto budować kulturę zaufania opartą na wiedzy i świadomości zagrożeń. Z drugiej strony sytuacja, w której 100% załogi to zaangażowani i skłonni do współpracy. Na takie przypadki, niestety, konieczne będą procedury i systemowe rozwiązania, które wymuszą stosowanie zabezpieczeń.
