Файл: Роль персонала в обеспечении безопасности (Меры противодействия угрозам безопасности через атаку на персонал).pdf
Добавлен: 30.06.2023
Просмотров: 100
Скачиваний: 3
СОДЕРЖАНИЕ
1. Центральное место кадровой политики персонала в системе экономической безопасности организации
1.1. Роль персонала в реализации угроз информационной
1.2. Меры противодействия угрозам безопасности через атаку на персонал
2. Роль персонала в обеспечении кадровой безопасности
2.1. Угрозы безопасности, исходящие от персонала организации. Упреждающие действия
2.2. Кадровые уязвимости работников на примере банковской системы
Выборка респондентов в каждой организации проводилась таким образом, чтобы отразить репрезентативность и представлять собой соотношение руководства, управленческого звена и исполнителей в каждой организации. Результаты вопросов обрабатывались с помощью методов статистического анализа. По результатам исследования было определено, что открытая активная кадровая стратегия реализуется подавляющим числом участников – данный тип был выявлен у 62,4% организаций ( рисунок 1) [18, с. 179-183].
Рис.1. Соотношение организаций-респондентов по типам
кадровой стратегии
По итогам обработки результатов исследования была составлена общая таблица, выделяющая приоритетные угрозы для выбранных типов кадровой стратегии (таблицу 1) [18, с. 179-183].
Таблица 1
Кадровые угрозы в зависимости от типа кадровой стратегии
|
закрытая активная (%) |
открытая активная (%) |
открытая пассивная (%) |
закрытая пассивная (%) |
|
|
риск переманивания |
10.36 |
14.09 |
13,2 |
12,42 |
|
нелояльность |
10.56 |
8.09 |
8.86 |
9.09 |
|
конфликты |
12,72 |
7.97 |
10.37 |
12,97 |
|
недостаточное обеспечение защиты информации |
6.83 |
15,76 |
13,94 |
10.65 |
|
мошенничество |
12,77 |
8.3S |
11.44 |
8.62 |
|
недостаточное обеспечение защиты персональных данных |
3.19 |
8.32 |
6.97 |
8.76 |
|
недостаточное обеспечение охраны труда |
6.14 |
6.54 |
5 |
7,39 |
|
аддикции |
12.08 |
9.87 |
9.96 |
6.08 |
|
конфликт интересов |
15,96 |
17 |
14,72 |
13,33 |
|
дискриминация и насилие |
9.38 |
3.98 |
5.54 |
10.68 |
Как показывают итоги исследования, респонденты отмечали конфликт интересов и угрозу переманивания персонала как основные для всех типов кадровой стратегии, что свидетельствует о необходимости разработки упреждающих мер для данных угроз в любой организации.
После проведения детальной оценки результатов исследования была предложена комплексная методика по организации упреждающих действий при создании и совершенствовании кадровой стратегии, состоящая из трех этапов.
На первом этапе необходимо определить тип кадровой стратегии организации. Если организация ранее не обозначала принципы взаимодействия с внешней средой при найме и степень влияния руководителей высшего звена на систему управления человеческими ресурсами, то тип кадровой стратегии с высокой долей вероятности можно определить с помощью разработанного тестирования.
На втором этапе необходимо определить общие и специфические угрозы кадровой безопасности организации.
Особое внимание, как показало исследование, необходимо уделять проблемам конфликта интересов и переманивания персонала. Соответственно, при проведении разработанного Д.С. Кузнецовой тестирования, можно выделить и уточнить распределение основных угроз системе управления человеческими ресурсами, а при анализе ответов на четвертый блок вопросов можно выявить специфические угрозы, характерные для организации, в которой проходит исследование, и дополнительно узнать анонимную оценку сотрудников о текущей ситуации в организации [21, с. 232-236].
На третьем этапе методики необходимо определить состав комплекса мероприятий и варианты управленческих решений, которые организация будет реализовывать, с целью снизить вероятность наступления угрозы и ее возможное негативное влияние.
С учетом полученных результатов руководство выстраивает систему управления и предупреждения кадровых угроз с учетом особенностей организации, причем рекомендуется дополнительно проработать комплекс мер, направленных на снижение вероятности повторного возникновения данных угроз. Документальным итогом проведенных мероприятий станет письменно оформленная «Кадровая стратегия организации», куда, помимо общих вопросов управления персоналом, войдут аспекты новой системы кадровой безопасности организации, а также ряд локально-нормативных документов, дополняющих и уточняющих положения кадровой стратегии [21, с. 232-236].
Результаты исследования выявили из всего перечня угроз в адрес сотрудников организации приоритет конфликта интересов и угрозы переманивания ценных специалистов, которые не зависят от типа кадровой стратегии организации. В качестве первопричины возникновения данных угроз, в первую очередь, стоит проанализировать действующую в организации систему организации мотивации и стимулирования работников, выявить возможные недостатки, а также определить уровень удовлетворенности работников условиями труда с целью последующей проработки мероприятий по формированию высокого уровня лояльности и приверженности ценностям организации.
Рекомендуется ввести в действие положение о недопущении конфликта интересов, организовать обратную связь с сотрудниками для сбора информации о фактах злоупотребления должностным положением, проработать прозрачную систему мотивации и поощрения персонала, регулярно проводить исследования уровня лояльности персонала [26, с. 205].
Для упреждения возможных угроз системе охраны труда необходимо обеспечить доведение требований инструкций по организации безопасного рабочего пространства до работников и проводить регулярные тренинги по безопасности труда и порядке поведения при внештатной ситуации. Данному риску, как правило, не уделяется достаточно внимания, что, однако, может повлечь за собой существенный ущерб при негативном развитии событий [7, с. 23].
Если сместить акцент на уровень открытости организации внешней среде, то на первый план для открытого типа кадровой стратегии выходят угроза в области защиты информации и отмеченный выше риск переманивания персонала. Данную угрозу можно снизить с помощью проработки и утверждения инструкций и положений, как тоже указывалось выше, разграничивающих права доступа к информации, установки программных и технических средств [17, с. 37].
В качестве приоритетной для закрытого типа кадровой стратегии можно выделить угрозу конфликтов внутри коллектива. Для предупреждения данной угрозы рекомендуется проводить оценку общего уровня конфликтности и лояльности сотрудников, проводить командные тренинги и обеспечить наличие обратной связи между персоналом и руководством организации, уделить внимание вопросам адаптации новых сотрудников [21, с. 232-236].
Одной из основных проблем организаций с закрытым типом кадровой стратегии была отмечена также проблема дискриминации и насилия на работе. Косвенно данная проблема может выходить из неразрешенных и запущенных конфликтов в коллективе, однако, в ряде случаев сам факт дискриминации может повлечь за собой стремительное развитие конфликта. В условиях развития российского бизнеса многие работники настолько привыкли проявлениям дискриминации на рабочем месте, что не придают данной угрозе серьезного значения [26, с. 204].
При смещении акцента на степень влияния действий топ-менеджмента на кадровую ситуацию в организации необходимо отметить приоритет угрозы аддиктивного поведения для активного типа кадровой стратегии, упреждение которого можно при грамотной организации процедур собеседования и предварительных проверок. Также рекомендуется проведение психологических исследований и обеспечение возможности получения сотрудниками экстренной психологической помощи.
Термин «аддикции» включает в себя широкий спектр различных психологических, психофизиологических и иных видов зависимостей. В отличие от наркотической зависимости частое или чрезмерное употребление алкогольных напитков может трактоваться в коллективе по-разному и не всегда носит резко негативную оценку [27, с. 127]. Сложнее всего оценивать угрозу возникновения зависимости сотрудника от азартных игр, компьютерных игр и пищевой зависимости. Наличие последних видов аддикций у человека может не признаваться не только им самим, но и близким кругом общения.
При определении угроз пассивного типа кадровой стратегии, помимо обозначенных выше угроз, необходимо обратить внимание на угрозу мошенничества. Это можно объяснить тем, что на данном этапе развития законодательство Российской Федерации регулирует вопросы обеспечения имущественной и финансовой безопасности юридических лиц лучше, чем безопасность информации и нематериальных активов, что является сдерживающим фактором для потенциальных мошенников [27, с. 232-236].
Необходимо также отметить, что в процессе исследования уровня кадровой безопасности в 39 компаниях, многие респонденты отмечали, что большинство угроз, исходящих от персонала можно было бы предупредить на этапе организации найма новых сотрудников. Вероятность наступления рисков конфликта интересов, мошенничества, найма сотрудников с аддикциями с высокой долей вероятности можно было бы выявить на этапе проведения собеседований и скрининговых проверок [7, с. 23].
Таким образом, предложенный Д.С. Кузнецовой обособленный подход к выделению и анализу приоритетных рисков, характерных для выбранного компанией типа кадровой политики, позволяет направить усилия управленческого аппарата на контроль и проработку слабых мест системы кадровой безопасности и тем самым укрепить уровень благосостояния компании [18, с. 179-183].
2.2. Кадровые уязвимости работников на примере банковской системы
На сегодняшний день вопрос о кадровых уязвимостях информационной безопасности становится все более актуальным. По данным «Исследования утечек конфиденциальной информации в I полугодии 2014 года» аналитического центра «InfoWatch», в 71% случаев виновными в утечке информации оказались сотрудники компаний [15], по результатам аналогичного исследования за 2013 год – это число было равно лишь 54,1% [15].
К сожалению, в настоящее время существует нормативная недооценка угроз и уязвимостей, связанных с персоналом. В нормативных документах государственных регуляторов вопросу кадровых уязвимостей информационной безопасности практически не уделяется внимание. Однако существуют стандарты по информационной безопасности, в которых затрагиваются вопросы кадровой безопасности. Центральный банк Российской Федерации разработал систему стандартов в области информационной безопасности, в которой затронута проблема персонала.
Основным стандартом в данной системе является СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В стандарте особое внимание выделяется угрозам, связанным с персоналом. К основным источникам угроз причисляются работники организации БС РФ (банковской системы Российской Федерации), реализующие угрозы информационной безопасности с использованием легально или вне легально полученных прав и полномочий [5, п. 6.6]. Приоритетность кадровых уязвимостей подчеркивается в пункте 5.4 стандарта:
«Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.
Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ. Незлоумышленные действия собственных работников создают либо уязвимости информационной безопасности, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает» [5, п. 5.4].
В стандарте также представлены принципы, которыми следует руководствоваться при распределении прав доступа работников к информационным активам организации БС РФ [5, п 7.1.4]. К этим принципам относятся: «знать своего служащего» (Кпом уоиг Етр1оуее) – принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью; «необходимо знать» (Need to Know) – принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей.