Основные аспекты информационной безопасности (ИБ)

Основаниями для беспокойства являются: проявления эмоциональной неуравновешенности, недовольства, хитрости, разочарования служащих, идеи которых отвергнуты. Предлагается создать систему внутрифирменной коммуникации, не допускающей полной автономности отдельных работников. В целом, психологическое обеспечение коммерческой тайны в процессе отбора, подготовки, выдвижения и увольнения кадров эффективнее и дешевле, чем при обычном засекречивании информации. Весьма эффективны организационно-психологические меры защиты информации:

дробление, распределение информации между сотрудниками;

ведение учета ознакомления сотрудников с особо важной информацией;

распространение информации только через контролируемые каналы;

назначение лиц, ответственных за контроль документации;

обязательное уничтожение неиспользованных копий документов и записей;

четкое определение коммерческой тайны для персонала;

составление, регулярная оценка и обновление перечня информации, представляющей коммерческую тайну;

включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции;

включение положений о неразглашении тайны в соглашения и договоры с партнерами.

Особо остановимся на мерах по обеспечению информационной безопасности при увольнении сотрудника. О намерениях сотрудника уволиться косвенно свидетельствует посещение соответствующих сайтов в Интернете, рассылка резюме. С этого момента вся переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под негласный контроль. Как можно скорее в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов. Принимая во внимание, что сотрудник может изменить свои намерения и остаться, а также допуская, что просмотр вакансий мог осуществляться по просьбе знакомых, ищущих работу, нет необходимости принимать сразу явные меры безопасности.

Если сотрудник увольняется не по причине уличения в промышленном шпионаже, то перечисленные меры не должны быть чрезмерно настойчивы, дабы не оказывать негативного воздействия на психологическое состояние человека. Необходимо внушить сотруднику, что таков общий порядок, и он лично ни в чем не подозревается.

Если сотрудники увидят, что увольнение каждого пользователя ПК неразрывно связано с моральным ущербом, то пострадает общий социально-психологический климат: организация будет ассоциироваться с тюрьмой или сектой. Кроме того, нецелесообразно портить отношения со всеми увольняющимися сотрудниками: кто-то может вернуться, а кто-то — оказать помощь.

Если сотрудника увольняют, уличив в промышленном шпионаже, то процедура сопровождения остается на усмотрение службы безопасности. Задача службы управления персоналом: происходящее не должно нанести ущерб социально-психологическому климату в коллективе, а по возможности, напротив, консолидировать остальных сотрудников.

Меры по обеспечению информационной безопасности с позиций «человеческого фактора» можно рассматривать в качестве щита от воровства информации как специфического ресурса, имеющего значительную ценность.

Воровство и мошенничество как психологическая проблема имеют и свою идеологию: «в России воруют все». С некоторыми вариациями это суждение существует уже столетия. В чем же конкретно проявляется тяжелая наследственность российской ментальности?

Психологически человек не готов различать свое и чужое (детская установка: «поделись или ты жадина-говядина»).

В сознании людей закон не воспринимается как объективная реальность: (установка: «закон, что дышло, куда повернул — туда и вышло»).

Возможность заработать воспринимается людьми как возможность украсть (установка: «кто смел, тот и съел»).

Наличие отраслей, в которых воровство традиционно негласно входит в систему оплаты труда (установка: «работать на кухне и не воровать?»).

Различают такие формы воровства, как:

индивидуальное воровство, в основе генетический код и ощущение анонимности, самооправдание (все воруют);

коллективное воровство, в основе идеология восстановления социальной справедливости (экспроприация экспроприаторов).

Наиболее эффективно противодействовать этому можно, только учитывая такой фактор, как экономическое поведение работника.

Экономическое поведение — это поведение, связанное с перебором экономических альтернатив с целью рационального выбора, то есть выбора, при котором минимизируются издержки и максимизируется чистая выгода. В основе экономического поведения лежат ценностные ориентации людей (деньги, статус, роль, идеалы).

На экономическое поведение оказывают влияние различные факторы: технический уровень производства, организация, нормирование, оплата и условия труда, удовлетворенность трудом, морально-психологический климат в коллективе, образовательный и культурный уровень работника, характер общественно-политической активности в обществе и рабочей группе.

Различают четыре стратегии экономического поведения:

минимум труда — минимум дохода, минимум труда — максимум дохода, максимум труда — гарантированный доход, максимум труда — максимум дохода.

Поведение человека в рамках одной стратегии регулируется исключительно его мотивами. Переход от одной стратегии к другой регулируется системой стимулов. Исключение — стратегия «максимум труда — максимум дохода», где поведение человека определяется стимулами. Стратегия «минимум труда — минимум дохода», возникая, как вынужденная реакция человека на ситуацию, формирует у работника чувства «внутреннего увольнения», подавленности, способствует становлению терминаторного, то есть разрушительного поведения.

Рекомендации по профилактике воровства в организации.

Создать сильную корпоративную культуру организации (отношения, социальные приоритеты, мораль в организации). Если сформирована «критическая масса» работников, то новички попадают в систему самовоспроизводящегося общественного сознания.

Создать эффективную систему контроля, отвечающую следующим требованиям: регулярность и систематичность, персональная ответственность работников. Условие — контроль рассматривать, как помощь людям в борьбе с искушением украсть.

В качестве профилактических средств периодически вызывать у работников синдромы «чувства вины», «чувства благодарности», играя роль строгого начальника или начальника-спасителя.

Быть разборчивым в производственных связях. Утверждение «свои не украдут» достаточно спорно.

Могут быть сформулированы и общие правила стимулирования, обеспечивающие безопасное поведение персонала:

доступность (я тоже могу заработать не меньше!);

ощутимость (премия не менее 20% к окладу, оклад больше возможного ущерба от воровства);

минимальный разрыв между результатами и оплатой по времени (недостаток стимулирования восполняется воровством);

сочетание стимулов и мер наказания;

сочетание материальных, социальных и психологических стимулов.

Превентивные действия службы управления персоналом:

гибкая организационная структура «под задачи» организации: лишние подразделения следует ликвидировать, перераспределив и частично уволив сотрудников;

определение приоритетов в развитии персонала и реализация функций управления ими;

ежегодная аттестация персонала предприятия;

систематический пересмотр «Положений о подразделениях» и «Должностных инструкций» с целью их совершенствования в соответствии с изменениями в разделении и организации труда, а также в связи с изменениями уровня профессионализма самих работников;

разработка компенсационных пакетов (размера, структуры, соотношения различных форм вознаграждения работникам) с ориентацией на конечные результаты, значимые для организации (например, система сквозных показателей), и с учетом индикации;

разработка системы мер профилактики противоправного поведения сотрудников, в том числе и на случаи возникновения объективных причин к снижению уровня преданности фирме, например, при угрозе увольнения (здесь речь идет о защите конфиденциальной информации, включая соответствующие положения в трудовых соглашениях, и мерах против мошенничества, включая внутренний аудит);

постоянное информирование сотрудников о состоянии рынка товаров и услуг, на котором действует организация, формирование рыночного мышления, обеспечение причастности к проблемам организации.

Также могут быть приняты превентивные меры, начиная с момента поступления работника на работу, на случай снижения деловой активности фирмы и необходимости проводить сокращение работников, хотя эти меры не способствуют формированию у работника преданности фирме и увязке его жизненных целей с целями фирмы. К таким мерам относятся: заключения срочного трудового договора, заключение договора о сохранении коммерческой тайны, конфиденциальной информации, служебной тайны, о материальной ответственности, ознакомление под расписку с должностной инструкцией (для руководителей подразделений — еще и с Положением о данном подразделении), Правилами трудового распорядка, Положением об оплате и стимулировании труда, Коллективным договором (если таковой имеется), специальные меры в случае необходимости увольнения.

Брендовые аспекты информационной безопасности

Результаты недавнего исследования Совета директоров по маркетингу (Chief Marketing Officer Council) США свидетельствуют о том, что в условиях цифрового информационного рынка специалисты в области маркетинга не в состоянии поспеть за развитием финансовых, потребительских и брендовых аспектов информационной безопасности (ИБ) По заключению аналитиков Совета директоров по маркетингу, в условиях повышенной потребительской «чувствительности», контроля со стороны СМИ и общественной осведомленности о повышении роли обеспечения безопасности во всех секторах экономики компании должны прилагать все больше усилий по развитию плана аварийных мероприятий, а также стратегий развития брендов для управления и рисками и возможностями в области безопасности.

Исследование «Безопасность как уровень доверия к бренду: обеспечение безопасности и целостности информации влияет на корпоративные бренды» показало, что вопросы информационной безопасности (особенно нарушение защиты информации и потеря клиентских данных) оказывают ощутимое воздействие на изменение уровня рыночной стоимости активов компании, производственной деятельности, доверия и лояльности заказчика и репутации бренда. Аналитики делают вывод о том, что специалисты по маркетингу и бренд-менеджеры должны усилить свою роль в области обеспечения безопасности в своих компаниях. Однако многие организации не спешат приступать к внедрению планов на случай возникновения риска, а также использованию новых средств маркетинговой подачи компании и бренда, имеющих отношение к вопросам безопасности.

Рассмотрим некоторые результаты исследования.

1. Большинство специалистов по маркетингу и руководителей компаний подчеркивают, что вопросы безопасности приобретают приоритетное значение как для самих организаций, так и для их клиентов. Тем не менее, лишь 29% маркетологов сообщают о том, что в их компаниях имеется четкий план по восстановлению работоспособности информационной инфраструктуры предприятия после сбоя ИБ. Налицо противоречие: хотя 60% специалистов по маркетингу считают, что должная защита корпоративной информации позволяет оградить бренд от возможных угроз его развитию, 60% также говорят, что обеспечение безопасности до сих пор не приобрело достаточного значения в маркетинговых коммуникациях.

* 65% клиентов признались, что когда-то сталкивались с проблемами компьютерной безопасности. Более половины респондентов уверены, что, скорее всего, в случае утечки личных данных прекратят отношения с компанией, услугами которой они пользуются.

*Происшествия, связанные с нарушением ИБ, напрямую воздействуют на состояние курса акций компаний. В случае сообщения о нарушении защиты корпоративной базы данных стоимость акций компании падает в среднем от 0,63 до 2,1%, что равноценно падению рыночной стоимости компании от 860 млн до 1,65 млрд долларов при каждом инциденте.

*27% маркетологов не знают о наличии в компании плана действий на случай нарушении ИБ. Напротив, 49% руководителей компаний осведомлены о наличии подобного плана, что свидетельствует о возможной разобщенности сотрудников компании на разных уровнях. Чуть более половины опрошенных маркетологов считают, что связь между ИБ и доверием к бренду в будущем будет только крепнуть. Тем не менее, согласно результатам исследования, в то время как ряд компаний учитывают вопросы безопасности ИБ в своей деятельности, слишком многие пускают ситуацию на самотек, подвергая тем самым риску доверие к бренду и стоимость бизнеса.

Выделяют три важных действия по сохранению и развитию доверия к бренду:

1)профилактика — использование надлежащих технологий и мер безопасности для предотвращения нарушения ИБ;

2)локализация кризиса — в случае нарушения ИБ компания должна быть готова честно и открыто проинформировать об этом своих клиентов, бизнес-партнеров, акционеров, а также СМИ, тем самым смягчив удар собственномубренду;

3)возмещение убытков — компания должна иметь план помощи жертвам инцидента (своим клиентам и партнерам) — финансовой или в виде оказания бесплатных услуг.

Наиболее ценные активы компании — это ее репутация и способность поддерживать лояльность клиентов. А нарушение ИБ компании и огласка произошедшего в СМИ может поставить это доверие под угрозу. Те компании, которые способны эффективно поддерживать свою репутацию, имеют больше шансов привлекать новых клиентов и сохранять имеющихся.

Заключение

Информация становится одним из главных активов современных компаний, влияние информационных технологий на текущие бизнес-процессы постоянно растет, растут и требования к уровню защищенности информационных систем, сохранности и доступности данных.

Значение защиты информации определяется не только в системе информационной безопасности, но и в системе национальной безопасности. Цели защиты информации для государства, общества и отдельных личностей различна. Они в конечном итоге дополняют друг друга и каждый из субъектов объективно заинтересован в защите информации других субъектов. В различных сферах деятельности политической, экономической, военной, социальной интересы всех субъектов должны или совпадать или дополнять друг друга. С учетом этого значения защиту информации следует рассматривать с привязкой не к субъектам, а к сферам деятельности независимо от того ко всем или одному субъекту относится эти сферы деятельности.

Меры обеспечения сохранности и защиты информации в государственной организации, на предприятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы, от количества охраняемых на нем секретов и их значимости. При этом выбор таких мер необходимо осуществлять по принципу экономической целесообразности, придерживаясь в финансовых расчетах «золотой середины», поскольку чрезмерное закрытие информации, так же как и халатное отношение к ее сохранению, могут вызвать потерю определенной доли прибыли или привести к непоправимым убыткам. Отсутствие у руководителей предприятий четкого представления об условиях, способствующих утечке конфиденциальной информации, приводят к ее несанкционированному распространению.

Поэтому, чтобы быть уверенным в своей безопасности, необходимо найти серьезную фирму с хорошей репутацией и платить ей столько, сколько действительно стоит такая работа. Безопасность — это продукт тяжелой работы, хорошего планирования и здравомыслия.

Список литературы

Дейнека О. С. Экономическая психология: Учебное пособие. — СПб.: Изд-во С.-Пб. ун-та, 2005.

Дубейковская Я. С. Стоп. Кадры! Управление персоналом для умных. — Екатеринбург: Изд-во Уральского ун-та, 2005.

Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с.

Ушанков В. А. Становление информационной системы: ценностные характеристики / Проблемы современной экономики, № ¾, 2002.

Черкасов В. Н. Бизнес и безопасность. Комплексный подход. М.: Армада-пресс, 2001.

Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с.

Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.

Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с.

Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.

Дейнека О. С. Экономическая психология: Учебное пособие. — СПб.: Изд-во С.-Пб. ун-та, 2005.

Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с.

Дубейковская Я. С. Стоп. Кадры! Управление персоналом для умных. — Екатеринбург: Изд-во Уральского ун-та, 2005.

Черкасов В. Н. Бизнес и безопасность. Комплексный подход. М.: Армада-пресс, 2001.

Ушанков В. А. Становление информационной системы: ценностные характеристики / Проблемы современной экономики, № ¾, 2002.