Файл: Роль персонала в обеспечении безопасности (Меры противодействия угрозам безопасности через атаку на персонал).pdf
Добавлен: 30.06.2023
Просмотров: 101
Скачиваний: 3
СОДЕРЖАНИЕ
1. Центральное место кадровой политики персонала в системе экономической безопасности организации
1.1. Роль персонала в реализации угроз информационной
1.2. Меры противодействия угрозам безопасности через атаку на персонал
2. Роль персонала в обеспечении кадровой безопасности
2.1. Угрозы безопасности, исходящие от персонала организации. Упреждающие действия
2.2. Кадровые уязвимости работников на примере банковской системы
Отбор выступает латентной функцией, которая осуществляется предприятием для определения из списка заявителей лиц, более подходящих для искомой вакансии. Так как персонал нанимается на предприятие, основываясь на тактических и стратегических задачах, то необходимо [19, с. 1112-1116]:
- при наборе персонала подобрать соответствующие профилю деятельности предприятия кадры;
- минимизировать расходы, связанные с привлечением кадров;
- сохранить структуру кадров, но и в тоже время обеспечить приток новых идей в организацию;
- поддерживать психологическое состояние в компании;
- личные и профессиональные цели работников компании должны быть реализованы.
Подбор персонала проходит несколько стадий: набор, отбор, наем. Существует целый комплекс факторов, который нужно учитывать при подборе персонала: законодательные ограничения и возможности, специфика компании, рынок рабочей силы, непосредственно окружение и местоположение организации и так далее. Чем выше и значимее вакантная должность, тем процесс отбора будет сложнее и продолжительней [20, с. 26].
При отборе персонала существует три вида критерия: квалификационный, объективный и психолого-личностный [22]:
- квалификационные критерии устанавливаются нормативной документацией отрасли, на которой специализируется предприятие;
- объективные критерии оцениваются реальные достижения претендентов количественными и качественными показателями;
- психолого-личностные критерии определяются качествами, позволяющими добиться высоких результатов в профессиональной деятельности.
Существуют методы и инструменты, которые повышают уровень принятия решения при проведении отбора персонала. Последним этапом процесса при наборе персонала является составление базы данных по претендентам на вакантные должности [22].
Кадровая безопасность – важная составляющая экономической безопасности предприятия. По статистике, 75 % преступлений в организациях совершают сотрудники, имеющие доступ к конфиденциальной информации или активам. Грамотные сотрудники кадровой службы снижают убытки организации на 60 % [19, с. 1112-1116].
Одной из главных целей менеджера по подбору персонала является рассмотрение каждого работника не только в роли источника увеличения прибыли, но и как потенциальную угрозу. Но кадровая безопасность на этом не заканчивается, также следует вести людей и вовремя работы и после увольнения.
1.2. Меры противодействия угрозам безопасности через атаку на персонал
Практика показывает, что как во многих, как зарубежных, так и отечественных компаниях пренебрегают подготовкой персонала в вопросах обеспечения информационной безопасности. Как следствие, даже при наличии мощной системы технической и программной защиты информационной системы, в системе безопасности остается огромная не прикрытая дыра – персонал организации. Аудит информационной безопасности показывает, что успешность проникновения в информационную систему организации через воздействие на её сотрудников (то есть методами социальной инженерии) достигает 60-70% [23].
Рассмотрим виды атак, являющихся угрозами для информационной системы организации, через воздействие на персонал, и методы противодействия им:
- Атаки без применения технических средств;
- Атаки с использованием телефонной связи;
- Атаки с использованием сети Интернет [11, 2015, с. 89-91].
Атаки без применения технических средств – наиболее старый вид мошенничества. В данном случае злоумышленник использует различные методы манипулирования людьми в отношении сотрудника организации, без применения дополнительных технических средств. Территориально данный вид атак может быть разделен на две группы: на территории организации и за пределами территории организации [11, с. 66-71].
К первой группе относятся:
- инсайдерские атаки;
- анализ мусора, когда злоумышленник проводит сбор информации посредством анализа выброшенных документов, черновиков, отходов производства и так далее;
- подбрасывание на территорию организации информационного носителя с вредоносным программным обеспечением (ПО), таким образом, чтобы данный носитель информации заинтересовал сотрудника [13 , с. 116-118].
Ко второй группе атак без применения технических средств относятся:
- убеждение;
- использование доверительных отношений;
- шантаж и угрозы.
Меры противодействия включают:
- разработку и внедрение четких и понятных протоколов и политики безопасности;
- проведение регулярного обучения сотрудников соблюдению протоколов и политик безопасности;
- непрерывный контроль за выполнением протоколов и политик безопасности;
- пресечение всех попыток злоупотребления полномочиями;
- информирование всех сотрудников о случаях нарушения протоколов и политик безопасности;
- обеспечение надлежащего программно-технического комплекса средств защиты в составе системы безопасности [11, 2015, с. 89-91].
Атаки с использованием телефонной связи, то есть телефонное мошенничество или атаки на информационную систему путем манипулирования сотрудниками посредством телефонной связи. Данный вид атак значительно моложе предыдущего и остается актуальным, не смотря на появление компьютерных сетей. Деловой партнер, заказчик, сотрудник, родственник, сотрудник силового ведомства или органа государственной власти, вот далеко не полный список образов, которые может использовать злоумышленник. К видам телефонных атак относятся [13 , с. 116-118]:
- обращение злоумышленника в качестве технического специалиста, заказчика или делового партнера по корпоративному телефону;
- создание обратимой проблемы, для решения которой жертва обратится к нему за помощью;
- обращение к конкретному сотруднику с использованием заранее разработанного плана атаки;
- использование заранее записанных голосовых сообщений, для имитации официальных звонков или запросов, от различных структур (банки, органы государственной власти и так далее);
- шантаж и угрозы по телефону.
Меры противодействия [13, с. 66-71]:
- разработать и внедрить регламенты передачи информации по телефону;
- разработать и внедрить процедуру идентификации сотрудников компании по телефону;
- также возможно техническое разграничение внутренней корпоративной телефонной сети и внешней.
Атаки с использованием сети Интернет – самое молодое и бурно развивающееся направление. Злоумышленник использует возможности, предоставляемые современными информационными технологиями и всемирной сетью Интернет, для манипулирования сотрудником организации. Виды интернет-атак [11, 2015, с. 89-91]:
- обман сотрудника для побуждения его скачать вредоносное ПО;
- создание доверительных отношений с сотрудником посредством общения через электронную почту, социальные сети и другие сервисы массового общения;
- использование фишинговых сайтов для получения логинов, паролей и другой конфиденциальной информации;
- шантаж и запугивание сотрудников посредством общения через электронную почту, социальные сети и другие сервисы массового общения.
Меры противодействия [10 с. 66-71]:
- разработка, внедрение и поддержание на должном уровне многоуровневой системы программно-аппаратной защиты корпоративной информационной системы [13 , с. 116-118];
- информирование персонала о существующих методах мошенничества в глобальной сети, и методах противодействия им;
- не всегда возможный, но эффективный метод защиты от интернет-мошенничества – физическая изоляция корпоративной компьютерной сети от глобальной сети Интернет.
Итак, работа с персоналом является одним из краеугольных камней системы информационной безопасности. Некомпетентный в информационной безопасности, халатный, плохо мотивированный сотрудник – серьёзнейшая угроза для информационной безопасности. Тогда как обученный и мотивированный сотрудник – надежный помощник службы безопасности и основа обеспечения информационной безопасности организации [11, с. 89-91].
Подводя итог первой главы нужно отметить, что нами дано обоснование того, что кадровая политика персонала занимает центральное место в системе экономической безопасности организации. Подбор персонала, определение профессионального статуса претендентов на должность, прохождение процедуры тестирования, эффективное управление кадрами являются элементами кадровой политики и определяют приоритетные направления кадровой работы.
Дана классификация угроз информационной безопасности по их источнику. Показана роль персонала в реализации угроз информационной безопасности организации.
Рассмотрены методы подбора персонала. Исследованы меры противодействия угрозам безопасности через атаку на персонал
2. Роль персонала в обеспечении кадровой безопасности
2.1. Угрозы безопасности, исходящие от персонала организации. Упреждающие действия
В процессе эволюции деятельности руководители высшего звена каждой организации задумываются о необходимости грамотного управления возникающими угрозами и снижении вероятности их возникновения и причинения значительного ущерба активам. Общие угрозы благосостоянию организации можно классифицировать по вероятности возникновения, масштабу возможного ущерба, но, по мнению Д.С. Кузнецовой, необходимо особенно учитывать угрозы, исходящие от персонала компании, так как именно осознанные негативные действия или бездействие сотрудников может привести к ущербу. Выделение данной проблемы позволяет определить в качестве приоритетной задачи вопрос организации кадровой безопасности [18, с. 179-183].
Спектр кадровых угроз может варьироваться в зависимости от различных факторов и моделей организации хозяйственной деятельности. Кадровая стратегия в общем виде является отражением принципов взаимодействия организации с внешней и внутренней средой и уровнем влияния топ-менеджмента на кадровые бизнес-процессы [7, с. 23].
Данная тема косвенно затрагивалась в работах отечественных и зарубежных исследователей, рассматривавших вопросы кадровой стратегии, управления человеческими ресурсами, эффективного управления персоналом, однако в науке не разработаны и оформлены в достаточной степени концепции и стратегии управления угрозами, которые основывались бы на анализе кадровой стратегии [21, с. 232-236].
Д.С. Кузнецовой было проведено исследование, цель которого состояла в определении приоритетных кадровых угроз для основных типов кадровой стратегии: активного и пассивного, закрытого и открытого. Многие ученые в своих работах рассматривают также превентивный и реактивный типы кадровой стратегии. В рамках проведенного Д.С. Кузнецовой исследования рассматривались только активный и пассивный тип, так как на практике, как правило, организации стремятся к проработке и утверждению активной кадровой стратегии, либо, выбирают пассивный тип стратегии, при отсутствии необходимых ресурсов и в кризисных ситуациях [18, с. 179-183].
Для проведения исследования была разработана анкета из 101 вопроса для сбора статистического материала. Первый блок вопросов определял степень открытости организации внешней среде, второй блок вопросов определял уровень влияния руководителей высшего звена на систему управления персоналом, третий блок выделял наличие тех или иных угроз, исходящих от персонала. Четвертый блок содержал три открытых вопроса с целью предоставить респондентам возможность отметить специфические угрозы, характерные именно для их компании и необходимые, по их мнению, меры воздействия на текущую ситуацию в области управления человеческими ресурсами в организации [24, с. 16-20].
В качестве основных угроз для проведения диагностики были определены: конфликт интересов, риск переманивания персонала, проблемы нелояльности персонала, конфликты в коллективе, недостаточное обеспечение защиты информации, мошеннические действия, недостаточный уровень защиты персональных данных, недостаточное обеспечение системы охраны труда, наличие аддикций у сотрудников компании, дискриминация и насилие. С помощью данной анкеты был проведен опрос сотрудников в 39 российских организациях [21, с. 232-236]