Ключ без права передачи О. В. Генне, научный редактор журнала «Защита информации. Конфидент» - shikardos.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Ключ без права передачи О. В. Генне, научный редактор журнала «Защита информации. - страница №1/1

Ключ без права передачи

О. В. Генне,

научный редактор журнала

«Защита информации. Конфидент»
Люди – это ключ к эффективной работе любой организации.

Дж. Волкер

Уж сколько раз твердили миру: кадры решают все! Ну, все не все, а вот в деле обеспечения стабильного функционирования предприятия кадры могут играть далеко не последнюю роль. Это не пустые слова: экономическая безопасность предпринимательской деятельности во многом зависит от степени лояльности наемных работников. Поскольку сотрудники предприятия могут выступать как объектом, так и субъектом угроз, направленных на нарушение его экономической стабильности, ведение постоянной работы с персоналом приобретает первостепенную значимость. Вряд ли кто-то возьмется оспаривать тот факт, что намерению сотрудника поделиться с посторонними известными ему секретами не смогут воспрепятствовать никакие, даже самые дорогостоящие средства защиты.

Угрозы экономической безопасности фирмы со стороны, например, конкурентов, реализуемые через ее персонал, могут принимать такие формы, как:


  • переманивание сотрудников, владеющих конфиденциальной информацией;

  • ложные предложения работы сотрудникам конкурентов с целью выведывания информации;

  • выведывание конфиденциальных сведений в процессе беседы с сотрудниками компании-конкурента, которая ведется в такой форме, что последние не догадываются о цели беседы и задаваемых в ней вопросов;

  • прямой подкуп сотрудников фирм-конкурентов;

  • засылка агентов к конкурентам;

  • получение сведений при оказании прямого давления на сотрудников или их близких;

  • получение сведений через родственников сотрудников;

  • тайное наблюдение за сотрудниками конкурентов.

Для более точного определения угроз можно составить план защиты, в котором будут подробно определены объекты угроз, место и время их возникновения и т. д. В данной статье мы не станем подробно останавливаться на отдельных видах угроз, а постараемся обратить внимание на некоторые аспекты работы службы персонала (совместно со службой экономической безопасности или службой безопасности), направленные на предотвращение негативных действий сотрудников, влияющих на экономическую безопасность предприятия, которые могут иметь место на различных стадиях взаимодействия работника и организации:

  • предварительной (период приема на работу);

  • текущей (время работы сотрудника);

  • заключительной (процесс увольнения).


Прием на работу

Нельзя судить о человеке с первого взгляда. Достоинства обычно окутаны покровом скромности, недостатки прикрыты маской лицемерия.

Ж. Лабрюйер
Период приема на работу является наиболее сложным и трудоемким, включая в себя несколько этапов, подробнее о которых будет рассказано чуть ниже.

Прежде всего необходимо понять, кого именно мы хотим принять на работу, и на основании должностной инструкции и особенностей деятельности организации разработать требования, включающие не только формальные положения, такие как пол, возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Затем производится подбор кандидатов на вакантную должность. Следует учитывать, что используемые методы подбора должны минимизировать возможность проникновения в штат недобросовестных людей (или агентов конкурентов). К этим методам относятся:



  • подбор кандидатов силами собственной службы персонала;

  • обращение в рекрутинговые агентства и прочие аналогичные организации;

  • поиск кандидатов среди студентов и выпускников высших учебных заведений;

  • подбор кандидатов по рекомендациям надежных сотрудников организации.

М., директор не очень крупной, но перспективной компании, по рекомендации тещи принял на работу секретаря. После развода с женой и разрыва с тещей М стал замечать, что проблемы в деятельности компании стали возникать значительно чаще, нежели ранее. Проанализировав сопутствующие им обстоятельства, М. пришел к выводу, что первопричиной неприятностей может быть только утечка определенных сведений из стен компании.

Впоследствии выяснилось следующее: новая секретарша (дочь лучшей подруги тещи) имела обыкновение делиться вынесенными с работы впечатлениями со своей матерью. Та, в свою очередь, не упускала случая посудачить на эту тему с подругой, которая, обладая широкими связями в деловых кругах, использовала почерпнутую из этих бесед информацию, дабы насолить бывшему зятю.
Этапы отбора персонала

Выделяют семь этапов отбора персонала. Разумеется, не все из них необходимо пройти каждому вновь нанимаемому сотруднику. Эти вопросы могут быть регламентированы специальным положением либо решаться индивидуально в каждом конкретном случае.



Отбор кандидатов. Этап начинается с предварительной отборочной беседы, целью которой является первичное знакомство с претендентом, выяснение его образования, оценка личных качеств. На основе отборочной беседы происходит «отсев» явно неподходящих кандидатов.

Анкетирование. Прошедшие первый этап должны заполнить анкету, данные которой анализируются не только сотрудником службы персонала, но и представителем службы экономической безопасности, а в отсутствие такой службы – сотрудником службы безопасности (СБ). Анализ анкетных данных позволяет выявить не только соответствие образования заявителя минимальным квалификационным требованиям, соответствие практического опыта характеру деятельности, наличие ограничений любого рода на выполнение должностных обязанностей, но и некоторые психологические особенности претендента.

Беседа по найму, в ходе которой могут быть выявлены некоторые особенности личности претендента, такие как коммуникабельность, конфликтность и т. д.

Тестирование. Претендентам можно предложить пройти тесты как на профессиональную пригодность, так и психологические. В этом случае психологический отбор позволит не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и возможные преступные наклонности, умение хранить секреты.

Наведение справок у руководителя по предыдущей работе и у других лиц, хорошо знающих претендента. На этом этапе проверяется достоверность данных, заявленных претендентом, или выявляются те сведения, о которых устраивающийся на работу человек предпочел по каким-либо причинам умолчать.

Проверка отзывов и рекомендаций. Кроме традиционных шагов для более полного ознакомления с личностью кандидата можно также воспользоваться услугами органов внутренних дел: узнать о наличии (отсутствии) судимости кандидата и о лицах, находящихся в розыске.

Проверка на полиграфе. Проведение такого тестирования сопряжено с определенными сложностями.

Применение полиграфа в России не узаконено. Однако что не запрещено, то разрешено. Небезосновательно руководствуясь данным принципом, люди, стоящие во главе многих организаций и ведомств, считают применение полиграфа вполне оправданным и полезным.

Специалисты говорят, что этот прибор обмануть нельзя – обмануть можно оператора, если он не обладает достаточной квалификацией. Проверка на полиграфе сравнима со стрессовой ситуацией, поэтому если оператор неопытен (а профессионалов в этой области не слишком много), анализ результатов может содержать ошибки. Так стоит ли подвергать человека, которого вы хотите принять на работу, таким испытаниям без очень веских на то оснований? Наверное, нет.
Работа сотрудника в компании

Когда принимаешь на работу, то берешь не только «умелые руки» или «умную голову», но еще и «человека», с его характером, привычками и судьбой.

П. С. Таранов

Но вот все этапы предварительного отбора пройдены, и теперь уже бывший кандидат приступил к работе. Как правило, в коммерческих организациях только что принятый сотрудник проходит испытательный срок. В этот период лучше избегать производственных ситуаций, при которых новый человек мог бы получить доступ к конфиденциальной информации. В случае успешного прохождения испытательного срока и признания его соответствующим должности, осуществляется подписание двух документов:



  • трудового контракта;

  • документа о неразглашении конфиденциальной (коммерческой) информации, в котором сотрудник дает обещание не разглашать те сведения, которые ему станут известны в период его работы в данной организации, а также об ответственности за их разглашение.

Если специфика производственных обязанностей заполнившего свободную вакансию человека требует его знакомства с конфиденциальной информацией с первых дней работы, заключение обязательства о ее неразглашении осуществляется сразу же после его приема. Непосредственная деятельность вновь принятого работника и далее должна время от времени проверяться сотрудниками СБ: производиться проверка соблюдения правил работы с конфиденциальной информацией и т. п.

Должностная инструкция

Должностная инструкция – документ, который определяет весь круг вопросов, связанных с его трудовой деятельностью в данной организации. Грамотно составленная инструкция позволяет определить обязанности, права и ответственность персонала и оберегает его от выполнения несвойственных функций, подчеркивает систему взаимоотношений между менеджерами и подчиненными им работниками.

Должностная инструкция, как правило, содержит:


  • полное наименование должности;

  • кому должность подчинена;

  • кому должность дает распоряжения;

  • требования к работнику на данной должности (образование, специальность, опыт работы);

  • цели, которые руководство предприятия выдвигает для данной должности;

  • функции, которые работник должен выполнять на данной должности;

  • ответственность, которую несет работник на данной должности;

  • порядок оценки труда работника.

В должностной инструкции также может быть определен порядок доступа сотрудников к конфиденциальной информации: для каждого из них определяется перечень сведений, с которым они имеют право знакомиться в рамках их должностных обязанностей. Выход за определенный инструкцией объем считается нарушением и представляет определенную угрозу безопасности фирмы. Перечень сведений, составляющих коммерческую тайну предприятия, определяется его руководителем, либо специально созданной для этой цели комиссией.

Кроме того, во многих случаях имеет смысл ограничение физического доступа (перемещения) персонала в помещения и зоны, не связанные с функциональными обязанностями работников. Посещение «закрытых» территорий может производиться только с разрешения руководства.

Еще одним способом разграничения доступа к информации является разбиение однородной информации на отдельные самостоятельные фрагменты и ознакомление сотрудников только с одним из них, что не позволяет последним составить целостную картину о положении дел в данной сфере.

В одной достаточно известной в своих кругах компании, работающей в области IT-технологий, несмотря на существование должностных инструкций, выполнение многих работ, в том числе связанных с доступом к документам конфиденциального характера, поручалось работникам исходя из сиюминутных решений руководства. Подобное «хождение по рукам» конфиденциальных сведений неминуемо должно было привести к их утечке. Когда же это случилось, выявить источник утечки оказалось невозможно в принципе – столь большое количество людей было знакомо с «убежавшей» информацией. Срочно принятые меры по наведению порядка в процессе конфиденциального документооборота принесли свои плоды: случаи утечки информации прекратились, однако за период хаоса, царившего в этом вопросе, компания расплатилась значительными убытками.

Корпоративная культура

Корпоративная культура – понятие хотя и новомодное, перенесенное в нашу жизнь с Запада, как оказалось, является центральным фактором, влияющим на поведение сотрудников предприятия. И в ряде случаев именно от того, какая корпоративная культура сложилась на предприятии или культивируется руководством, зависят действия сотрудников по сохранению конфиденциальной информации.

Корпоративная культура, как свод правил и норм поведения, может быть задокументирована и представлять собой описание действий персонала в тех или иных ситуациях. В описание корпоративной культуры могут быть внесены пункты, прямо определяющие поведение сотрудников при столкновении с конкурентами (склонении к сотрудничеству, переманивании или выведывании информации). Например, соответствующий документ одной коммерческой организации содержит следующий пункт: «При контакте с любым человеком, делающим Вам предложение о смене работы или попытке узнать сведения конфиденциального характера, оповестите руководство».

Строительная корпорация (СК), уступив в оперативности дочерней компании (ДК) своего прямого конкурента, казалось бы, упустила возможность получить выгодный участок под застройку. Не смирившись с поражением, СК сумела переманить к себе генерального директора ДК, посулив ему место в высшем руководстве корпорации. Использовав полученную от «перебежчика» информацию, СК смогла перехватить у конкурента спорный участок, прибыль от развития которого оценивалась в сумму порядка 50 млн долларов.

Еще одним способом «обороны» от конкурентов служит максимальное «сужение» каналов информации о сотрудниках компании в публичных источниках (в прессе, Интернете и т. д.). Например, ряд компаний прямо запрещают (это также может быть отражено в описании корпоративной культуры) своим сотрудникам публиковать свои телефоны и другую контактную информацию, давать интервью, публиковать статьи, посещать семинары, конференции, профессиональные клубы без согласования с руководством компании и СБ.



В годы «холодной войны» на инструктаже в преддверии одной из международных конференций по ядерной физике куратор из КГБ запретил советским ученым выступать на ней с докладами и вступать в кулуарные дискуссии с западными учеными, но разрешил задавать вопросы по выступлениям зарубежных коллег, очевидно, рассчитывая почерпнуть таким образом дополнительные сведения из области их научных исследований. Однако результат оказался прямо противоположен планируемому: по характеру задаваемых нашими учеными вопросов аналитический отдел ЦРУ смог сделать близкие к реальности выводы относительно уровня развития советской научной мысли по определенной проблематике.

Однако на какой бы высокий уровень не была поднята корпоративная культура организации, не следует забывать и о системе мотивации сотрудников, которая играет значительную роль в формировании лояльного отношения сотрудника к своему работодателю.



Мотивация и безопасность

О мотивации написан не один десяток специализированных статей и монографий, а потому мы не будем углубляться в дебри научных дискуссий, ведомых специалистами. В данном случае нас интересует стратегия построения такой системы, которая бы удерживала сотрудников от неожиданного перехода на другое место работы или от сознательной передачи коммерческой информации конкурентам. Конечно же, ситуация, когда ни один сотрудник не покидает стен своей компании, справедлива только для итальянской мафии или японской якудза. Рассмотрение вопросов, связанных с мотивацией сотрудников этих организаций, в наши планы не входит. Между тем, создание условий для превращения бурного потока приходящих/уходящих, постепенно вымывающего из организации все наиболее ценное, что в ней «откладывалось» годами, в тоненький ручеек и тем самым сохранить ресурсы предприятия – вполне реальная, хотя и непростая задача.

Когда руководитель слышит слова «система мотивации», в его воображении моментально возникает внушительная стопка денежных купюр, с которыми он тут же мысленно расстается. Однако при правильном подходе к делу можно обойтись и без существенных финансовых затрат. Секрет успешного построения системы мотивации в сбалансированном сочетании материальной и моральной составляющих. Один из вариантов представлен в таблице.

Одной из проблем, которой руководители зачастую уделяют мало внимания, является информирование сотрудников о различных аспектах деятельности компании: ее успехах, планах развития, изменениях в структуре организации и системе оплаты труда, перестановках в руководящем составе и т. д. Как известно, неизвестность пугает больше, чем реальная опасность. Когда человек имеет ясное представление о причинах тех или иных событий, происходящих на работе, знает, из чего складывается его материальное благополучие, он чувствует себя не в пример спокойнее. В противном случае им овладевает подспудное чувство, что от него что-то скрывают, а раз скрывают – скорее всего, дела обстоят не блестяще.



В акционерном обществе, занимавшем на определенном этапе лидирующие позиции в своем сегменте рынка, регулярно, причем без объяснения причин, изменялись критерии оплаты труда. В результате сотрудники не могли прогнозировать на длительный срок уровень материального благосостояния, что порождало у них неуверенность в своем будущем. Практически полностью отсутствовавшая достоверная информация о положении компании, ее финансовом состоянии и планах развития лишь усугубляла ситуацию. В довершение всему, многие поступки руководства демонстрировали пренебрежение к профессиональным знаниям сотрудников, лишали их возможности и желания проявлять творческую инициативу. Неудивительно, что текучесть кадров приобрела в компании вид стихийного бедствия: увольнялись и рядовые сотрудники, и руководители среднего звена, и специалисты-разработчики. Нанимаемые на место ушедших, едва успев войти в курс дела, проникались царящим в компании духом неуверенности, и вслед за своими предшественниками спешили найти себе новое место работы. Непременные спутники кадровой текучки – вымывание научно-технического потенциала организации и проистекающее отсюда замедление темпов ее развития привели к постепенному сползанию компании в стан аутсайдеров.

Действительно, отсутствие информации порождает догадки, слухи, не всегда оправданные сравнения, что со временем становится катализатором недовольства сотрудников. Все это играет на руку конкурентам: порой сотрудники становятся болтливыми, обсуждают работу дома, со знакомыми и становятся легкой добычей охотников за информацией. Впрочем, в корне неверно свести проблему только к оплате труда и возможному недовольству ее размером. Человеческие потребности безграничны, и любой уровень заработной платы со временем будет казаться недостаточно высоким. Ресурсы, которые могут использоваться для выплат работникам, ограничены, и руководителям волей-неволей приходится искать нематериальные способы мотивации и стимулирования персонала. Сейчас в системе стимулирования переживают второе рождение уже подзабытые атрибуты советской эпохи: грамоты, «Доски почета», соревнования между отделами, рабочими группами и т. п. Критерий «оцененности труда» при росте профессиональной компетенции достаточно быстро становится определяющим. Человеку просто необходимо, чтобы его труд ценили и хвалили, важно осознавать собственную значимость. Не требуя никаких материальных затрат, этот способ мотивации при умелом применении вполне может потягаться по достигаемым с его помощью результатам с материальным поощрением. Другими, уже современными инструментами мотивации являются тренинги, например, по коммуникативному общению, психологической совместимости, продажам и т. д., позволяющие объединить сотрудников в команду, повысить эффективность продаж или производительность труда. Каждый тренинг должен сопровождаться отчетом, который затем анализируется: рассматриваются ситуации, происходившие на семинаре, даются развернутые характеристики участников, анализ сильных и слабых сторон каждого участника по тематике тренинга. Этот анализ позволит как руководителю, так и службе персонала и сотрудникам СБ, не только выявить слабые и сильные стороны сотрудников, но и оценить их поведение в различных ситуациях, в том числе и экстремальных. Однако наилучшим способом мотивации персонала является отождествление сотрудника и компании. «Мои цели – это цели компании. Мои интересы – это ее интересы». Если сотрудники рассуждают подобным образом, разделяют цели и миссию компании, то сманить их на сторону или выведать у них конфиденциальную информацию будет практически невозможно. Однако это возможно лишь в том случае, если люди будут уверены, что их карьера будет развиваться наилучшим образом именно в данной компании. Причем ее развитие будет зависеть не от прихотей вышестоящего начальства, а подчиняться долгосрочному плану, предусматривающему и материальную заинтересованность, и профессиональный рост сотрудника.



Увольнение

Действия людей – лучшие переводчики их мыслей.

Д. Локк

Допустим, все усилия оказались тщетны и специалист решил покинуть компанию или руководитель был вынужден уволить нерадивого работника. Как правильно расстаться с сотрудником, не нанеся вреда компании? Ведь увольнение человека, работавшего с конфиденциальной информацией, да и просто имевшего доступ к важным информационным ресурсам, представляет угрозу экономической безопасности, так как никому не известно, куда уволившийся сотрудник направит далее свои стопы. Может он оказаться и в стане ближайшего конкурента, где, не имея обязательств перед бывшим работодателем, скорее всего, не преминет поделиться накопленным багажом знаний или использует их в своих корыстных целях.



Бывший работник регионального отделения крупного банка Ч. похитил у «родной» конторы крупную сумму денежных средств. Ч. проработал в банке около года в должности старшего инженера с функциями администратора безопасности системы расчетов по пластиковым картам и неожиданно уволился, заблокировав перед этим пароль базы данных. Затем с помощью специальной программы, позволявшей делать так называемое безадресное зачисление средств, Ч. перечислил около 2 млрд. неденоминированных рублей на счета своих подельников. Понадобились длительные усилия правоохранительных органов для задержания злоумышленников, причем значительная часть похищенного так и не была возвращена.

При увольнении сотрудника, располагающего какими-либо сведениями, попадание коих на сторону представляется нежелательным, по инициативе работодателя не следует поспешно реализовывать принятое решение. В этом случае необходимо или предварительно и под соответствующим предлогом перевести сотрудника на другой участок работы, где отсутствуют сведения конфиденциального характера, либо сохранить его в структуре компании до тех пор, пока не будут приняты меры к снижению возможного ущерба от разглашения сведений или найдены адекватные средства защиты. Если сотрудник увольняется по собственному желанию, необходимо попытаться определить истинную причину его решения (иногда причины, на которые ссылается сотрудник при увольнении, и подлинные мотивы, побудившие его к такому шагу, существенно отличаются друг от друга), правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать попытки к искусственному удержанию данного лица в коллективе. При отрицательном ответе отработать и реализовать процедуру его бесконфликтного увольнения. Но каковы бы ни были причины увольнения сотрудника, он должен покидать организацию без чувства обиды, раздражения и мести, так как обиженный человек способен на любые действия, которые могут привести к дестабилизации работы предприятия.



Сотрудник С., работавший системным программистом в крупной компании, был так обижен на несправедливое, по его мнению, к себе отношение со стороны руководства, что, увольняясь, оставил «логическую бомбу» в программном обеспечении сервера. Сработавшая закладка привела к нарушению его работы и полной потере важной финансовой документации.

Процесс увольнения должен содержать следующие этапы:



  • написание сотрудником заявления об увольнении, в котором будут подробно раскрыты причины такого решения, а также (желательно) место предполагаемой работы;

  • передача ответственному лицу всех числящихся за ним документов, баз данных, носителей информации, изделий, материалов, проверка их комплектности, полноты и оформление приема в описи исполнителя или актом;

  • сдача сотрудником пропуска (идентификатора) для входа в рабочую зону, всех ключей и печатей, запрещение сотруднику входа в рабочие помещения с использованием знания шифра кодового замка (в случае необходимости – замена шифра);

  • проведение беседы с увольняющимся сотрудником с целью напоминания ему об обязательстве сохранения в тайне конфиденциальных сведений и подписания сотрудником обязательства о неразглашении им конфиденциальных сведений после увольнения;

  • документальное оформление увольнения в соответствии с общими правилами.

В заключение хотелось бы отметить, что для предотвращения большинства угроз, которые могут исходить со стороны наемных работников, достаточно правильно организованной работы службы персонала. Вопреки распространенному мнению, функции этого подразделения отнюдь не исчерпываются набором сотрудников: это еще и действенный инструмент по определению настроений, царящих в организации, по формированию корпоративной культуры и построению системы мотиваций. Тесное взаимодействие службы персонала с СБ позволит предотвратить действия работников, которые могут таить в себе потенциальную опасность для деятельности компании. Резюмируя изложенное выше, позволим себе дать совет тем, от кого зависит благополучие организации: если вы хотите избежать проблем, связанных с действиями собственного персонала, руководствуйтесь в своих решениях следующим нехитрым принципом: как компания будет относиться к своим сотрудникам, так и они будут относиться к ней.
ЛИТЕРАТУРА

1. Лифшиц А. С. Основы управления персоналом. – Иваново, 1995.

2. Несмеева А. Тактика и стратегия защиты, JobCenter.

3. Старобинский Э. Е. Менеджер и его время/Управление персоналом, № 4, 1997.

4. Степанов Е. Персонал и конфиденциальная информация / Управление персоналом, № 11, 1999.

5. Тарелкина Т., Рыжкова Т. Мотивация в стиле ретро, www.km.ru.