Файл: Управление кадровой безопасностью (на примере АО «БИФИТ»).pdf

Важным этапом системы обеспечения кадровой безопасности, безусловно, является комплексный и непрерывный контроль над деятельностью сотрудников АО «БИФИТ». Данные меры позволяют снизить риски, связанные с возможностью утечки конфиденциальной информации, повысить ответственность работников за свои действия, их мотивацию к обеспечению кадровой безопасности в целом и, следовательно, повысить уровень защищенности и лояльности работников в данной организации.

1 – Инициирование проверки сотрудника; 2 – Сбор необходимых данных; 3 – Передача данных из личного дела, личностные характеристики проверяемого сотрудника; 4 – Компетентностная оценка сотрудника; 5 – Информация о благонадежности сотрудника; 6 – Принятие решения и распоряжение относительно неблагонадежного сотрудника; 7 – Совместная разработка плана действий относительно неблагонадежного сотрудника; 8 – Реализация мероприятий по противодействию угрозам со стороны неблагонадежного сотрудника

Рисунок 8 - Схема движения решения вопросов кадровой безопасности в АО «БИФИТ»^[31]

Таким образом, точно скоординированные, слаженные действия всех подразделений в структуре системы обеспечения кадровой безопасности и правильно выбранная и своевременно реализованная стратегия выявления рисков и устранения угроз кадровой безопасности в АО «БИФИТ» в целом позволяет успешно функционировать, обеспечивая позитивное развитие компании.

2.3. Противодействие угрозам кадровой безопасности организации

Основные положения информационной безопасности АО «БИФИТ» определены в Информационной политике предприятия^[32]. Целью информационной политики АО «БИФИТ» является наиболее полное удовлетворение информационных потребностей акционеров и потенциальных инвесторов, в достоверной информации о компании и ее деятельности. В Информационной политике компании определен порядок защиты информации, представляющей коммерческую и служебную тайну. В компании определен перечень такой информации и режим работы с ней. В договор с должностными лицами и работниками в обязательном порядке включаются условия о неразглашении конфиденциальной информации.

В АО «БИФИТ» используются следующие методы защиты информации от несанкционированного использования ее собственным персоналом: определен перечень информации, представляющей коммерческую и служебную тайну, и режим работы с ней; в договоры с должностными лицами и работниками включены условия о неразглашении конфиденциальной информации; в трудовые контракты инсайдеров включаются условия о неразглашении и неиспользовании во внеслужебных целях инсайдерской информации, ответственность за ее разглашение и неправомерное использование; для защиты утечки информации через компьютерные сети используется «Контур информационной безопасности SearchInform».

Как показало проведенное нами в АО «БИФИТ» исследование, по характеру потерь от реализованных угроз 85% приходится на информационную безопасность, 15% на безопасность имущества организации. Наибольший удельный вес среди влияния факторов на реализацию информационных угроз имеет человеческий фактор. На естественные факторы, в 2015 г. приходится 2%. На человеческие факторы, носящие неумышленный, случайный характер – 22%, носящие умышленный характер – 76%, всего – 98%. Численное изменение влияния данных факторов в 2013-2015 гг. показано в таблице 4.

Таблица 4

Влияние факторов реализации информационной угрозы в АО «БИФИТ»^[33]

Главным источником угрозы выступают их собственные работники. Объектами рассматриваемой угрозы могут выступать и должностные лица компании, имеющие доступ к конфиденциальной информации, часто связанной с научными разработками, к управлению денежными средствами и ликвидными товарно-материальными ценностями, а также к хранению их, к реализации функций управления, регулирования и надзора.

В ходе экспертной оценки нами были выявлены действия сотрудников, которые способствуют реализации информационной безопасности. Данная взаимозависимость между инициатором угрозы и ее исполнителем представлена на рисунке 9, где в скобках указаны процентные значения данных угроз.

Рисунок 9 - Действия сотрудников АО «БИФИТ»,

способствующие реализации угроз информационной безопасности^[34]

В 2013-2015 гг. в АО «БИФИТ» не было зафиксировано инцидентов, связанных с утечкой информации. Однако, нельзя утверждать, что риски таких инцидентов отсутствуют.

Выводы.

1. АО «БИФИТ» - это компания, занимающаяся разработкой, внедрением и сопровождением программного обеспечения для электронного банкинга — системы «iBank 2».

2. Служба безопасности АО «БИФИТ» несет основную ответственность за защиту имущественных и неимущественных интересов компании от возможных угроз. В структуру службы безопасности входят аналитический отдел, отдел физической безопасности, отдел информационной безопасности и служба собственной безопасности. Так как эффективное выявление рисков и противодействие угрозам кадровой безопасности организации не может быть реализовано силами исключительно службы безопасности, то к решению этой задачи в АО «БИФИТ» подключены все должностные лица организации и некоторые структурные подразделения компании. Точно скоординированные, слаженные действия всех подразделений в структуре системы обеспечения кадровой безопасности и правильно выбранная и своевременно реализованная стратегия выявления рисков и устранения угроз кадровой безопасности в АО «БИФИТ» в целом позволяет успешно функционировать, обеспечивая позитивное развитие компании.

3. Основные положения информационной безопасности АО «БИФИТ» определены в Информационной политике предприятия, целью которой является достижение наиболее полной реализации прав акционеров на получение информации, существенной для принятия ими инвестиционных и управленческих решений, а также защита конфиденциальной информации о компании, разглашение которой способно нанести ущерб АО «БИФИТ» и его акционерам.

4. Недостатками системы противодействия угрозам информационной безопасности АО «БИФИТ» со стороны собственного персонала можно отнести следующие:

• подход к защите от угроз не является сфокусированным: специалисты АО «БИФИТ» считают равно опасными и стремятся контролировать действия всех потенциальных нарушителей, которые имеют возможность причинить вред компании. Любой нарушитель потенциально имеет доступ к любой информации компании, потому усилия службы информационной безопасности АО «БИФИТ» следует смещать в сторону защиты от более опасных для бизнеса типам нарушителей — нелояльным сотрудникам, топ-менеджерам, администраторам;
• систему защиты информации на бумажных носителях нельзя считать абсолютно эффективной. Об этом свидетельствуют периодически имеющие место инциденты кражи документов в АО «БИФИТ». Во многом проблема их защиты усложняется распределенной организационной структурой холдинга;
• актуальными для компании является совершенствование методов защиты конфиденциальной информации от передачи ее в устной форме.

Глава 3.Рекомендации по улучшению противодействия угрозам безопасности организации со стороны собственного персонала

Переход ключевых сотрудников АО «БИФИТ» к конкурентам связан с проблемой утечки информации: уходя к конкурентам сотрудники уносят с собой знания, опыт, компетенции, приобретенные в АО «БИФИТ». В связи с этим, наш взгляд в систему управления кадровыми рисками компании должен быть включен антихедхантинг, то есть система действий, план по минимизации усилий конкурентов, направленных на переманивание лучших сотрудников.

Предлагаемый антихедхантинговый план представлен в таблице 5.

Таблица 5

Антихедхантинговый план^[35]

Во-первых, необходимо выяснить кадровые потребности конкурентов. Это можно сделать, просмотрев вакансии на корпоративных сайтах конкурентов, а также на job-сайтах по ключевым словам. Необходимо регулярно следить за появлением на рынке вакансий для наиболее ценных сотрудников. Отметим, что эффективным в этом плане является длительное и ставшее доверительным, сотрудничество с кадровым агентством. Доверие должно быть подкреплено соответствующим пунктом в договоре о непереманивании сотрудников в период работы с агентством. В рамках такого сотрудничества работники кадрового агентство могут сообщать об активности конкурентов на рынке труда, а также информировать о сотрудниках, которые начали поиск другой работы. Это даст возможность принять превентивные меры.

Далее определяются сотрудники, наиболее привлекательные для конкурентов. «Группа риска» - список наиболее вероятных в АО «БИФИТ» мишеней для хедхантеров. Это люди повышенной группы риска: требующие повышения по службе; «засидевшиеся» на одной должности; недовольные зарплатой, обновившие свое резюме на джоб-сайтах и в социальных сетях; активно участвующие в профессиональных тусовках и в дискуссиях в социальных сетях. Особое внимание следует уделить сотрудникам, чей непосредственный руководитель, наставник, друг или коллега недавно уволились из компании. Если он перешел к конкурентам, то риск переманивания своих бывших подчиненных, учеников и друзей очень велик. Существует также категория «обиженных»: кого-то не включили в новый проект, кто-то поругался с руководителем. Вызывает подозрение также отказ от интересного предложения или повышения внутри компании. В «группе риска» - сотрудники, которые недавно развелись, завели ребенка или в их личной жизни произошло какое-нибудь другое событие, которое может спровоцировать их на смену работы.

В АО «БИФИТ» на уровне структурных подразделений целесообразно составить АВС-список сотрудников, что позволит сгруппировать их по склонности к увольнению.

Таблица 6

АВС-классификация сотрудников по склонности к увольнению^[36]