Inteligencja emocjonalna i niepamięć – czyli dlaczego ujawniamy za dużo?

Zapewne w każdej organizacji zdarza się, że pracownik, mimo przeszkolenia i pełnej świadomości o konieczności ochrony informacji, wyjawia poufne dane podczas rozmów z osobami nieuprawnionymi. Czasami nie są to informacje ściśle zaklasyfikowane, ale w teorii mogące wpływać na organizację. Problem jest złożony, a przyczyn wiele. W tym artykule zaledwie dotknę jednej z nich. Temat motywacji, dedukcji i wpływania zostawiam na razie na boku.

Podobnie w naszym codziennym życiu, poza kontekstem pracy, spotykamy się z sytuacjami, w których mimo prośby o zachowanie poufności ktoś wyjawia wrażliwe dla nas informacje. Gdy zwracamy takiej osobie uwagę, może ona szczerze przepraszać, ale po pewnym czasie i tak popełnia ten sam błąd. Powodem może być dążenie do realizacji własnych potrzeb takich jak potrzeba uznania, trudność poradzeniem sobie z emocjami i tak dalej.

Oznaczenie informacji w pamięci jako „poufnej”

Z moich obserwacji wynika, że problem nie zawsze leży w samej motywacji i wiedzy, ale w tym, że informacja od samego początku nie została ściśle oznaczona w pamięci jako poufna. Bywa, że refleksja przychodzi po fakcie: „Zapomniałem, że miałem o tym nie mowić.”, „Chlapneło mi się, że…”, „Powiedziałam trochę za dużo”. Z psychologicznego punktu widzenia jest to złożony problem, który dotyczy głównie mechanizmów poznawczych, takich jak zapamiętywanie, przetwarzanie informacji oraz zdolność do kontroli zachowań. Wydawałoby się, że właściwym rozwiązaniem jest wielokrotne powtarzanie, co jest informacją poufną i powtarzanie szkoleń. To nie zawsze działa. Dla niektórych wyzwaniem jest zakodowanie informacji w pamięci jako „niedostępne dla innych” – na zawsze! Wymaga to od umysłu umiejętności nadania tej informacji odpowiedniego znaczenia i kontekstu w pamięci. Chodzi oto, aby pamiętać, że dana informacja jest wrażliwa i nie pozwolić sobie na jej ujawnienie nawet po dłuższym czasie. Wydaje się to proste i trywialne, a jednak… jesteśmy tylko ludźmi, poprzez wymianę informacji budujemy relacje i lubimy to robić. Wiemy, że często nie wystarczy powiedzieć: nie mów tego nikomu lub to zostaje między nami itp. To co jednym przychodzi z łatwością, dla innych jest wyzwaniem ze względu na ich „osobowość”, nawyki, wychowanie i tendencje. Proces zachowania informacji w poufności jest bowiem ściśle związany z aspektami funkcjonowania poznawczego i emocjonalnego osoby.

U osób, które nie mają tego problemu – proces kodowania, że dana informacja jest poufną działa niczym w systemie informatycznym. Dany rekord w bazie danych (tutaj głowie) otrzymuje oznaczenie „to jest poufne” i koniec. Mówi się, o takich osobach, że znają wartość dyskrecji oraz, że są godne zaufania. Często taka umiejętność wynika ze środowiska i wzorców wychowania. W normalnych i nieskrajnych okolicznościach nie ma możliwości, aby taka informacja wyszła na świat w sposób przypadkowy. To nie oznacza, że nie istnieją odpowiednie trigery i sposoby, które mogą zadziałać skutecznie na daną osobę. Nie mniej to jest podstawa, podstaw, aby orientować się lub móc szybko wydedukować: o czym można powiedzieć, a o czym raczej nie. Problem nabiera znaczenia, gdy dana osoba nie ma podstawowej wiedzy, że pewnych informacji nie należałoby ujawniać innym. W mojej ocenie dla wielu stanowi to problem. Wnioski wyciągam z życia prywatnego gdy np. podczas spotkań towarzyskich można wiele usłyszeć o tym co dzieje się w innych firmach. Chodzi o to, aby podczas mówienia o czymś co dotyczy firmy zapaliła się czerwona lampka. Żeby się zapaliła, musze szybko wydedukować co może narazić firmę lub pamiętać, że np. to co było w sprawie x było poufne. Kiedyś wydawało mi się, to oczywiste ale po kilku latach doświadczenia, wiem że absolutnie nie.

Osoba w pełni świadoma i przeszkolona w zakresie ochrony informacji zapamiętuje informacje w sposób selektywny, a nawet potrafi trzymać rozmówcę z dala od tematów, które jej dotyczą oraz odpowiednio reagować „just in time” na próby manipulacji. Trudno mówić o odporności na manipulację gdy pracownik organizacji nie wie co jest informacją poufną np. kojarzy to tylko z dokumentami lub swobodnie rozmawia o wszystkim bez głębszego zastanowienia skąd pozyskał informację? Często nie zauważa on, że mówi za dużo… czyli nie reprezentuje kultury ochrony informacji.

NiePamięć źródła (source amnesia) i sensacja

Znanym problemem, z którym mierzy się większość z nas, jest niepamięć źródła informacji. Pamięć źródła odnosi się do zdolności do przypomnienia sobie, skąd dana informacja pochodzi. Ludzka pamięć jest z natury rekonstrukcyjna, a nie dosłowna. Często potrafimy długo pamiętać zasłyszane informacje, a nawet szczegóły ale nie pamiętamy skąd o tym wiemy. W praktyce bezpieczeństwa informacji ważne jest zapamiętywanie źródeł informacji, czyli skąd to wiem. Czy dana osoba zgodziła się, aby o tym opowiadać. Pozwala to na ogół szybko wywnioskować, z kim daną informacją mogę się dzielić. Mechanizm zapominania źródła łączy się z problemem pamiętania, że dana informacja była powierzona… W sytuacjach wymagających utrzymania poufności, istotne jest świadome kodowanie kontekstu jej pozyskania, wówczas łatwiej wydedukować jej poufny charakter. Jak to kodować, wyjaśniam poniżej.

Zdarza się, oczywiście że fakt/ dane które poznaliśmy wywierają takie emocje, że nie tylko bardzo dobrze pamiętamy okoliczności, ale mamy wręcz problem z utrzymaniem napięcia jakie rodzi obowiązek zachowania tajemnicy. Dlaczego to jest ważne? Zdarza się, że chcąc wywrzeć pożądany efekt na osobie, aby właściwie zrozumiała i zapamiętała, że dana informacja jest poufna przesadzimy z nadawaniem jest znaczenia. Efekt będzie odwrotny od zamierzonego. Tak też działa zwyczajowa plotka, której siłą jest sensacja. Powiedzieć małemu dziecku, że coś jest tajemnicą spowoduje, że będzie podekscytowane myślało nieustannie o tym fakcie i w końcu wyjawi wszystko serdecznemu przyjacielowi. Im większa sensacja tym większe wewnętrzne przyzwolenie osoby oraz społeczności na dzielenie się informacją pomimo zakazu czy wbrew wyznawanym normom.

Pytanie co z tej wiedzy wynika?

Podczas przekazywania poufnych informacji warto wyraźnie (a nawet przesadnie) zaznaczać, że są one poufne i określać wyraźne zasady, z kim można się nimi dzielić. Jasne określenie kontekstu i ograniczeń zwiększa szanse, że pracownicy będą pamiętać te ograniczenia. W uzasadnionych przypadkach przekazać do podpisu dodatkową klauzulę poufności dotyczącą danego zakresu/procesu czy obszaru obowiązków.

Używanie narzędzi, które wizualnie wyraźnie oznaczają poufne informacje, takich jak oznaczenia na dokumentach czy e-mailach, teoretycznie pomaga w zachowaniu świadomości poufności danych.

Warto poświęcić czas na wyjaśnienie, które konkretne informacje, dokumenty są wrażliwe, w jaki sposób klasyfikujemy je w organizacji.

Przede wszystkim promowanie kultury „need to know” zachęca do dzielenia się informacjami wyłącznie z osobami, które ich naprawdę potrzebują do wykonywania swoich obowiązków. Finalnie w świadomej organizacji pracownicy sami zwracają uwagę i inspirują się nawzajem do ostrożnego postępowania z danymi oraz informacjami. Efektem takiej kultury jest zwiększona „higiena umysłu”, oddzielanie w głowie tego co jest służbowe i firmowe. Dzięki takim działaniom z czasem pojawia się pewna wrażliwość oraz umiejętność pracy z informacją chronioną. Chodzi o zbudowanie „mentalu” adekwatnego do ryzyka.

Kontrola Impulsów – czyli hamulec ręczny

Płynnie przeszliśmy do kolejnego aspektu jakim jest ogólnie kontrola tego co mówię i z kim dziele się informacjami na temat firmy czy organizacji w której pracuje. Temat ten wymaga odrębnego omówienia. Trzeba jednak zaznaczyć, że zachowanie poufności wymaga w człowieku istnienia ogólnie dwóch mechanizmów kontrolnych. Rozróżniania informacji poufnych od ogólnie dostępnych i zapamiętania, że są poufnymi oraz umiejętności utrzymania ich w dyskrecji. Osoba emocjonalna, neurotyczna, niekontrolująca impulsów, która ma w zwyczaju mówić głośno o czym myśli będzie raczej bardziej podatna na przypadkowe wyjawienie informacji lub na wpływ manipulatora. Emocje, a raczej brak kontroli nad nimi nie wpływają pozytywnie na poufność. Wystarczy bowiem czasem mały impuls, drobna prowokacja, lub okoliczności, a nawet impuls wewnętrzny takiej osoby, aby niejawne stało się jawne. Oczywiście nie oznacza to, że tylko osoby ekstrawertyczne, które są bardziej otwarte i towarzyskie są skłonne do dzielenia się informacjami poufnymi. Tutaj nie ma takich prostych reguł i schematów.

Inteligencja Emocjonalna

Problem nieumyślnego ujawniania informacji poufnych często dotyka poziomu dojrzałości emocjonalnej danej osoby. Inteligencja emocjonalna, która obejmuje umiejętność rozumienia i kontrolowania własnych emocji, a także empatię i zdolność do rozpoznawania emocji innych ma znaczenie. Znaczenie ma także umiejętność projektowania czyjegoś umysłu. Osoby z wysoką inteligencją emocjonalną są bardziej świadome kontekstu społecznego i potrafią lepiej kontrolować swoje impulsy. Rozumieją, jak ich słowa i działania mogą wpływać na innych jak inni myślą. Pomaga im to w utrzymaniu granic w rozmowach i unikaniu niezamierzonego ujawniania wrażliwych danych. Z kolei osoby o niższej inteligencji emocjonalnej mogą mieć trudności z oceną, kiedy i z kim można podzielić się określonymi informacjami. Pojawia się pytanie, czy działania Awareness podejmowane w organizacji są wstanie odpowiedzieć na takie wyzwanie? Czy w ogóle jest to zmartwienie trenera ochrony informacji czy bezpiecznika? Na razie pozostawię to bez odpowiedzi 😉

Jeżeli chcielibyśmy dokonać oceny, należałoby zwrócić uwagę na:

a) Świadomość emocji – Chodzi głównie o świadomość tego, że stres, podekscytowanie czy potrzeba akceptacji wpływają na to, co i jak mówimy, a także pozwala na bardziej świadome zarządzanie rozmową i rozpoznanie prób manipulacji. Temat jednak jest szerszy. Osoby o wysokiej potrzebie uznania – np. pracownicy, którzy silnie pragną uznania i akceptacji społecznej, mogą ujawniać informacje, aby zyskać aprobatę lub być postrzegani jako bardziej kompetentni.

b) Zdolność do empatii (funkcjonalnej) – Chodzi o praktyczną zdolność do zrozumienia emocji innych osób i tego jak one myślą. Osoby empatyczne potrafią wyczuć, kiedy rozmówca ma ukryte intencje lub manipuluje, aby wydobyć poufne informacje. Empatia pomaga również w ocenie, jak ujawnienie informacji może wpłynąć na innych a finalnie na firmę/organizację – co sprzyja bardziej ostrożnemu podejściu.

c) Zrozumienie zasad i granic komunikacji – Zdarza się, że osoba ma ogólny problem w komunikacji i oczywiście to nie jest dobry zwiastun. Niektórzy nie potrafią odczytywać subtelnych sygnałów i niuansów, które są kluczowe dla zrozumienia kontekstu wymiany informacji.

d) Regulacja emocji – Osoby z dobrą regulacją emocji potrafią utrzymać spokój i opanowanie w sytuacjach stresujących lub podczas rozmów, w których mogą czuć się zobowiązane do ujawnienia informacji. To jest także umiejętność powstrzymania się przed ujawnieniem informacji w celu zwrócenia uwagi na siebie, uzyskania aprobaty i uznania (potrzeby podstawowe), czy choćby z ekscytacji czy wylania żalu (redukcja napięcia).

e) Świadomość społeczna oraz świadomość dedukcji – Osoby o wysokie inteligencji emocjonalnej bardziej intuicyjnie wiedzę o czym tu się pisze 🙂 . Wiedzą, że z samego zachowania, przekazu niewerbalnego lub strzępów informacji może dojść do dedukcji i ujawnienia informacji wrażliwych. Są jednak osoby, które nawet po incydencie do którego się przyczyniły będą mówić: „ale przecież nic się nie stało! Wypłynęły dane, ale nic się komu nic złego nie stanie. Jakie to ma znaczenie? Dobrze powiedziałem, ale i tak się nie domyśli bo to było powiedziane w żartach” itp.

Powyższe aspekty wydają się dość oczywiste dla osoby, która nie ma problemu z zachowaniem dyskrecji. Postawiłbym ryzykowną tezę, że są to pewne wskaźniki informujące czy dana osoba będzie miała problem z dyskrecją i wymaga to dodatkowych działań. Warto zwrócić uwagę, na to, że inteligencja emocjonalna zmienną jest w zależności od naszej kondycji fizycznej i mentalnej. Nasza świadomość emocji, regulacja, czy ogólna świadomość ulega zmianie np. pod wpływem wydarzeń lub okoliczności takich jak: rozmowa towarzyska i luźna atmosfera, presja czasu, zmęczenie czy stresujące zdarzenie.

Ponadto czerwonymi flagami dla bezpiecznika są sytuacje gdy osoby:

a) często dzielą się różnymi informacjami w rozmowach, nie zastanawiając się nad ich poufnością. Mogą swobodnie opowiadać o szczegółach projektów w poprzednich firmach czy wrażliwych informacjach dotyczących innych osób. Mamy wrażenie, że taka osoba nie przesiąknęła kulturą ochrony informacji;

b) nie zważają na kontekst w jakim odbywa się rozmowa tzn. kto w niej uczestniczy i jaki interes reprezentuje oraz czy nie ma osób postronnych, czy do pomieszczenia nie weszła osoba nieupoważniona lub rozmowa jest głośna a okna otwarte.

c) reagują zdziwieniem jeśli zwróci się im uwagę na fakt ujawnienie informacji lub takie ryzyko, a szczególnie gdy (czasem nie wprost) kwestionują zasady bezpieczeństwa,

d) ignorują znaczenie informacji, nie rozumieją celów ochrony informacji, wartości danych, złożoności procesów, niuansów itp.

e) są nieodporne na proste próby manipulacji oraz wykazują cechy łatwowierności i dużego zaufania do wszystkich,

f) inne opisane w książce 🙂

Wzmacnianie świadomości czyli budowanie odporności

Teraz trzeba zadać pytanie jak się ma inteligencja emocjonalna do oznaczania danych poufnych w pamięci? Działania nakierowane na rozwój świadomości pracownika czyli tzw. proces Awareness pomaga uzyskać pewne efekty w obszarze motywacji (to powszechnie wiadomo), ale także rozwoju inteligencji emocjonalnej. Co jest niczym innym jak nabywaniem umiejętności pracy z informacją chronioną. Wydaje się, brzmieć optymistycznie i górnolotnie, ale właśnie treningi pokazujące mechanizmy manipulacji czy socjotechniki (jak pokazuje praktyka) sprzyjają takiemu rozwojowi. Obecnie wiele firm wdrożyło narzędzia mierzące odporność na phishing, który dość często opiera się o metody manipulacji znane ze świata offline.

Świadomość istnienia własnych słabości w kontekście zagrożeń pozwala zrozumieć jakie kompetencje miękkie wymagają rozwoju. Każdy z nas ma swoje słabości, ale czy pochodzimy do tego problemu świadomie i w sposób pogłębiony? Naszym przeciwnikiem może stać się osoba bardzo inteligentna lub narzędzie wsparte technologią sztucznej inteligencji (AI). Wzmacnianie świadomości wpływa na percepcje świata informacji i rozwój w obszarze miękkim – czyli słabym… Reasumując dzięki treningom nasz umysł wyczula się na aspekty i bodźce, które oznaczymy w pamięci jako ważne– wówczas lepiej je zapamiętuje (ich treść, znaczenie oraz kontekst).

W procesie szkoleniowym przydatne będą zatem:

a) Analizy konkretnych case study. Chodzi o konkretyzacja Kontekstu. Zamiast przekazywać abstrakcyjne pojęcia dotyczące poufności, warto używać konkretnych przykładów i scenariuszy ataków z użyciem manipulacji.

b) Metoda warsztatowa– Analiza case study może odbywać się w oparciu o pracę uczestników nad poszczególnymi wyzwaniami, a także odgrywanie ról (dla sytuacji ataku, lub incydentu). Najważniejsze, aby uczestnicy sami dochodzili do pewnych wniosków. Chodzi o to, aby zainicjować pewne procesy myślowe zamiast podawać suche gotowe informacje.

c) Test z elementami socjotechniki np. w systemie grywalizacji, który zawiera elementy wpływania.

d) Test weryfikujący znajomość klasyfikacji informacji.

Podsumowanie

Podsumowując, budowanie zdolności do zachowania dyskrecji nie jest jedynie kwestią procedur, ale świadomego kształtowania umiejętności emocjonalnych i poznawczych. Firma/organizacja nie jest wstanie odpowiedzieć na wszystkie problemy w tym obszarze. Nie mniej świadome działania awareness nakierowane na rozwój mogą w dłuższej perspektywie zmienić sposób myślenia pracownika, przyczynić się do jego rozwoju i stać kluczem do silniejszej kultury bezpieczeństwa w organizacji.