Обеспечение выполнения персоналом политики информационной безопасности

Обеспечение выполнения персоналом политики информационной безопасности

Обеспечение выполнения персоналом политики информационной безопасности

Человек был всегда наиболее уязвимым объектом для угроз утечки и потери информации

Можно установить современные системы технической защиты, выдать миллионы нормативных актов, регулирующих защиту информации, но пока будет игнорироваться человеческий фактор (то есть фактор человеческого воздействия на информацию, угрозы, которые идут от людей и причины этих угроз), до тех пор юридические, организационные и технические средства будут мало эффективными. Персонал организации чаще всего становится причиной утечки информации. Еще в 2005 году организация CERT провела исследование E-Crime Watch Survey, в ходе которого было опрошено более 800 компаний, каждая вторая компания хотя бы раз в течение года пострадала от утечки данных.

Аналитики подсчитали, что 33,0 и 20,0% всех инцидентов утечки данных вызваны нынешними и бывшими сотрудниками соответственно. Это свидетельствует о том, что проблема измены сотрудников достаточно актуальной. Проведение мероприятий по направлению персонала на выполнение правил, утвержденных на предприятии, позволяет снизить риск утечки информации через сотрудников. Если руководство компании будет анализировать поступки сотрудников не как попытку всеми возможными способами навредить работе компании, а как попытку удовлетворить собственные потребности, где вред компании является побочным эффектом, тогда удастся удовлетворить сотрудников и не навредить деятельности организации. Это поможет значительно уменьшить те средства, которые предприятия тратят на устранение последствий действий внутренних нарушителей (инсайдеров). Обеспечить заинтересованность сотрудников в выполнении норм ПИБ является одной из главных задач эффективного ее выполнения.

Если сам сотрудник будет в выполнении этих норм, то эффективность такого выполнения будет очень высокой

Проблема заключается в том, что, с одной стороны существуют научные работы, анализирующие угрозы ИБ от персонала (но решение этих угроз предлагают рассматривать с технической и юридической стороны), а с другой большое количество наработок по эффективному управлению персоналом и выявлением причин недовольства сотрудников, но они почти не имеют своего отражения в открытых источниках, которые описывают решения угроз человеческого фактора потери и утечки данных. Потеря данных в организации может происходить с разных сторон. И обеспечивать ее целостность и конфиденциальность нужно в соответствии со сферой угроз.

Если это технический аспект, то и использовать в первую очередь нужно технические средства. Если речь идет о потере данных из-за неправильной организации процесса защиты, следовательно нужно лучше организовать защиту информации. Но когда речь идет о человеческом факторе, способы защиты должны в первую очередь строиться на основах менеджмента и психологии. В наработках по управлению персоналом идет речь о том, как организовать производственный процесс, учитывая потребности персонала организации.

Классическая теория управленческого цикла состоит из планирования, организации, мотивации и контроля:

1) планирование — процесс подготовки решений, который включает постановку цели, определение исходных предпосылок, выяснения альтернатив, выбор лучшей альтернативы, выводы и выполнения плана;

2) организация — направлена на упорядочение деятельности управленца и исполнителей;

3) мотивация — работа, направленная на стимулирование (материальное и моральное) и создание у работников психологических побуждений к труду;

4) контроль — процесс проверки и сопоставления фактических результатов с заданиями.

agenstvo_personal_prestiz_000121

Большое значение имеет правильная организация мотивации, умелое использование средств убеждения, и применение именно тех средств, которые являются наиболее эффективными в конкретной ситуации. Мотивация является главной функцией управления, потому что без нее невозможно выполнение поставленных задач. Если будет отсутствовать функция планирования, работа будет выполняться плохо и мало эффективно. Тоже самое можно сказать и о функциях организации и контроля исполнения. Но при отсутствии мотивации к труду, работа не будет выполняться вообще.

Для начала рассмотрим, что нужно для кадрового управления на предприятии:

Элементы, необходимые для эффективного управления кадрами:

  1. Организационные мероприятия — для того, чтобы требовать от сотрудников соблюдения определенных правил, эти правила для начала нужно создать, задокументировать, и довести до сведения каждого сотрудника. Доказательством ознакомления с правилами в таком случае будет считаться подписи. К сожалению, на многих предприятий, если такие правили и существуют, они остаются только на бумаге. Не проводится действий по организации соблюдения и контроля за соблюдением таких правил. А тем более правил обращения с чувствительной информацией.
  2. Информационное обеспечение — к этому элементу входит обеспечение необходимой информацией работников во время работы и предоставления детальной информации о самих кандидатов на должность. Прежде чем принять человека на предприятие, особенно на ответственную должность, нужно узнать как можно больше о ней. Это касается не только биографии кандидата, но и его цели в жизни, мечты, и как он видит себя на этом предприятии.
  3. Подбор и расположение кадров — данный элемент обеспечивает соотношение между личностными характеристиками сотрудника или кандидата с должности, которую он занимает или на которую претендует. Учет личностных характеристик включает в себя определение характера человека, его стремление, способность совершить те или иные действия и т. То есть создается психологический портрет идеального кандидата на определенную должность, а затем с помощью различных тестов и методик определяется ли кандидат этом психологическому портрету.
  4. Повышение квалификации — это существенный элемент эффективного управления. Мир постоянно динамично развивается и приобретенные один раз знания нужно постоянно совершенствовать и углублять. Сотрудники предприятия должны время от времени посещать семинары и лекции, расширяющие их профессиональные знания, если в этом есть необходимость.

  5. Внедрение ведущего опыта — развитие новейших технологий и разработок происходит очень быстро. Итак предприятие должно следить за появлением новых технологий и использовать их, если в этом есть необходимость.
  6. Работа с молодыми специалистами — это элемент управления. Молодых специалистов, имеющих только закреплены знания, но без опыта работы, нужно хотя бы в течение полугода обучать непосредственно работе на предприятии, корректировать их действия и следить за выполнением. Для этого можно назначить одного из опытных специалистов куратором для него. Это позволило молодому специалисту быстрее приобрести практический опыт, избегая многих ненужных ошибок.
  7. Этические аспекты — заключаются в проявлении уважения между руководством и персоналом и персоналом между собой.
  8. Стимулирование труда — заключается в поощрении сотрудников к труду путем обеспечены их потребностей.
  9. труда — включает в себя регламент офисной работы, обеспечения материально-техническим оборудованием и информационными ресурсами.
  10. Обеспечение социального развития — предполагает улучшение социального статуса в обществе. Так сложилось исторически, что социальный статус напрямую зависит от уровня дохода.
  11. Идейно-воспитательная работа — на нее возложена задача воспитывать патриотизм у сотрудников компании, сплачивать коллектив, воспитывать уважение к коллегам и руководства. Для этого подходят внедрения на предприятии своих традиций, проведение корпоративов, совместные путешествия и экскурсии.
  12. Производственная адаптация — включает в себя четыре аспекта:

— Профессиональную адаптацию — сотрудник в течение года должен полностью освоить свою профессию и в это время его не нужно перегружать возможными дополнительными обязанностями.

Читайте также  Нужна ли нематериальная мотивация сотрудников?

— Социально-психологическую — примерно три года сотрудник привыкает к новым условиям и коллективу, после чего занимает должное место в нем.

— Культурно-бытовую — сотрудник адаптируется к существующим на предприятии правил, обстановки и тому подобное.

— Общественно-организационная — это последний вид адаптации, которая включает в себя полное привыкание к коллективу и возможность участия в его общественной жизни.

agenstvo_personal_prestiz_000122

Процесс такой адаптации также ускоряется, если на предприятии комфортная обстановка и дружный коллектив.

Психологические аспекты — это выявление в общем потребностей персонала и попытки удовлетворить их.

Работа с руководящими кадрами — предусматривает обучение руководителей разных звеньев указанных выше элементов и теорий мотивации.

Важным фактором лица является система ее потребностей, мотивов, интересов, то есть то, что определяет причины поведения личности, помогает объяснить принимаемые решения. С психологической точки зрения потребность человека — это осознание отсутствия чего-либо, что вызывает у человека побуждение к действию.

Так как человек постоянно взаимодействует с социумом и является его частью, то можно выделить перечень наиболее распространенных социогенных потребностей:

  • Социальной принадлежности (группового членства);
  • Социального контакта (общение, информации);
  • Социального контроля;
  • Сексуальных отношений;
  • Сотрудничества (достижение групповых целей);
  • Адекватного взаимообмена;
  • Соблюдение групповой нормы;
  • Аффилиации (дружбы, альтруизма, жертвование);
  • Покровительства (помощи, покровительства);
  • Лидерства;
  • Чувство превосходства над окружающими;
  • Четкого распределения ролей в группе;
  • Социального престижа;
  • Демонстрации (выставление себя напоказ);
  • Установление каузального локуса (приписывание причин поведения);
  • Властвования (подчинение себе других людей);
  • Собственного подчинения другим;
  • Защиты от давления или нападения;
  • Ответственности (обязательности);
  • Получение помощи;
  • Подражание (имитации);
  • Сплоченности и др.

Потребности сотрудников разных стран отличаются друг от друга. Более того, они отличаются и в пределах одной страны

На каждом предприятии необходимо проводить анализ потребностей персонала. Есть много различных методик по анализу состояния предприятия и его персонала, выявление потребностей сотрудников и мотивирующих их факторов. Проще социологический опрос сотрудников может дать значительный результат по выявлению мотивирующих факторов.

Проведения различных тестов и опросов позволят оценить состояние коллектива, отношение сотрудников друг к другу и их стремления. Без этого анализа проводить деятельность по мотивировка персонала не имеет смысла, потому что неизвестно, что именно нужно этому коллективу, какие проблемы возникают при осуществлении поставленных перед коллективом задач.

Только по результатам анализа состояния коллектива можно разрабатывать политику действий для улучшения ситуации. Следует также отметить, что проведение анализа состояния коллектива предприятия должно проводиться регулярно для выявления новых потребностей и для того, чтобы проверить, действуют внедрены методы.

Для опроса персонала можно использовать различные методики и их совокупности.

Это такие методики, как:

  1. Методика «Ценностные ориентации» М.Рокича — Тест лица, направленный на изучение ценностно-мотивационной сферы человека. Система ценностных ориентаций определяет содержательную сторону направленности личности и составляет основу ее отношений к окружающему миру, к другим людям, к себе самой, основу мировоззрения и ядро мотивации жизненной активности, основу жизненной концепции и «философии жизни».
  2. Методика диагностики личности на мотивацию к успеху Т. Элерса — Личный опросник. Предназначен для диагностики мотивационной направленности личности на достижение успеха.
  3. Методика диагностики личности на мотивацию к избеганию неудач Т. Элерса — Личный опросник. Предназначен для диагностики мотивационной направленности личности к избеганию неудач.
  4. Методика «Мониторинг трудовых мотивов» — предназначена для экспресс диагностики как индивидуальных, так и групповых мотивов трудовой деятельности.
Читайте также  Управляйте людьми, пользуясь их ценностями

Принуждение было одним из первых средств заинтересованности людей в осуществлении определенных действий

Этот метод мотивации очень распространен и в наши дни. Угрожая ответственностью за совершение правонарушения, руководство компании пытается заставить сотрудников выполнять правила ПИБ. Не придавая сотруднику необходимых для этого ресурсов и знаний, руководство ставит перед сотрудником цель и грозит наказанием. Такой способ не является надежным, потому что если сотрудник будет выполнять правила только при угрозе наказания, от предаст компании при первой возможности, когда почувствует, что сможет этого наказания избежать.

Также он может быть просто не в состоянии выполнить эту работу из-за отсутствия нужных ресурсов, знаний или очень большого объема работу для одного человека. К сожалению, случаи, когда сотрудник не справляется с поставленными перед ним задачами через вышеприведенные причины, очень распространены. И ответственность в таких случаях полностью переводится на сотрудника, не выполнил задание, хотя должна была бы распределиться и на руководство, не сделало его определенных для этого условий.

Поэтому принуждение никогда не нужно использовать как единственный способ повлиять на человека, потому что единственной ее целью будет тогда избежания наказания, и отнюдь обеспечения ПИБ.

Для мотивации нет какого-то одного лучшего способа

То, что эффективно для мотивации одних людей, оказывается совершенно неважным для других. В нашем обществе на первом месте среди мер мотивации стоит материальное поощрение. Руководители, которые пытаются заинтересовать своих сотрудников, в первую очередь делают это именно через материальное поощрение. Большинство работодателей на этом и останавливаются. Но, нужно хотя бы ознакомить персонал с существующими угрозами. Персонала нужно разъяснять, для чего существуют те правила, которые они должны выполнять.agenstvo_personal_prestiz_000124

Решение проблемы автоматического присвоения атрибутов безопасности

Можно выделить следующие группы неверных атрибутов безопасности: атрибут безопасности более низкий чем должно быть (то есть к информационному объекта имеет доступ больше людей чем нужно); атрибут безопасности является завышенный; атрибут безопасности не установлен.

Существуют такие распространенные причины выставления неверного атрибутов безопасности:

  • деятельность инсайдеров;
  • небрежность лица, ответственного за выставление атрибутов безопасности;
  • НЕ квалификация лица, ответственного за выставление атрибутов безопасности;
  • другие проблемы связанные с человеческим фактором.

Подходы которые были разработаны для решения проблем с атрибутами безопасности: изолированная автоматизированная система работы с конфиденциальной информацией; системы активного мониторинга рабочих станций пользователей; выделенный сегмент терминального доступа к конфиденциальной информации; средства тематического (контент) анализа исходных пакетов данных. Однако все приведенные подходы по при практической реализации требуют значительного вмешательства человека и практически не всегда решают проблему с атрибутами безопасности.

Эти подходы также более дорогие для реализации, в случае большой нагрузки на электронный документооборот организации. Для решения указанных проблем был разработан алгоритм семантического анализа темы текста, и воплощенный в программном комплексе который позволяет в автоматическом режиме выделять информационный вектор объекта, и путем сравнения с заданными информационными векторами выставлять (или предлагать выставить) атрибут безопасности.

Для проверки разработанного алгоритма использовались следующие показатели:

Ошибка первого рода — это отношение числа нормальных (открытых) информационных объектов, которым алгоритм ошибочно предоставил завышен атрибут безопасности, к количеству всех проанализированных информационных объектов (то есть и тех которым был предоставлен верный атрибут безопасности и тем которым был предоставлен повышенный атрибут безопасности ), а не от всего потока информационных объектов.

Ошибка второго рода — отношение количества информационных объектов которым алгоритм предоставил занижен атрибут безопасности, к объему всех информационных объектов.

При испытаниях алгоритма было достигнуто следующие показатели:

  • случай наличия в информационном объекте научного текста (7% — ошибка первого рода, 10% ошибка второго рода);
  • случай наличия в информационном объекте художественного текста (37% — ошибка первого рода, 37% — ошибка второго рода);
  • случай наличия в информационном объекте публицистического текста (18% — ошибка первого рода, 13% — ошибка второго рода).

Испытания проводились на 500 информационных объектов различной тематики. В результате была решена проблема автоматизированного выставления атрибутов безопасности информационным объектам, и зафиксировано несколько прецедентов нарушения политики информационной безопасности работниками.

Похожее ...