АННА ФИЛИППОВА |
Что такое информационные риски Использование новых технологий, вхождение в сферу облачных вычислений, проникновение мобильных устройств и социальных ресурсов в бизнес-процессы – все это несет в себе новые информационные риски. На самом деле, любой способ передачи информации – это потенциальный канал утечки данных. Самые распространенные – электронная почта, Skype и другие интернет-мессенджеры, внешние устройства (USB/CD/DVD), документы, отправляемые на печать, ноутбуки, личные мобильные телефоны (последние сегодня являются одной из самых актуальных угроз) и др. Например, сотрудник уходит в конкурирующую компанию и желает унести с собой наработки, идеи или уже готовый проект. Достаточно высокий риск утечки информации о планах компании, данных о поставщиках, клиентах, сотрудниках. Все это серьезные угрозы ИБ предприятия. Уязвимость компании с точки зрения защиты информации портит ее имидж как надежного бизнес-партнера. А «недовольные» посты сотрудника на профильном ресурсе в Интернете могут «отпугнуть» от предприятия потенциальных работников. Конечно, это далеко не все риски, связанные с информацией, тут многое зависит от профиля и специфики организации. Где проходит граница Юридический отдел совместно со службой безопасности (далее – СБ) разрабатывает нормативные акты, регламентирующие работу с документами, которые являются коммерческой тайной, содержит персональные данные и т.д., в том числе и положение о СБ, ее правах и обязанностях, о формах и методах проведения СБ служебных расследований в рамках действующего законодательства. Далее отдел IT совместно с СБ создают технические регламенты исполнения данных документов при электронном документообороте и ведении различных баз данных. Отдел по работе с персоналом совместно с СБ организует обучение сотрудников по данной проблематике, а также знакомство новых сотрудников при трудоустройстве с нормативной базой по защите информации. Руководители структурных подразделений, опять же в сотрудничестве с СБ, организуют контроль исполнения нормативных документов и технических регламентов сотрудниками организации. И, наконец, СБ осуществляет регулярные проверки режима защиты информации и в случае необходимости проводит служебные расследования с подготовкой аналитических отчетов по данным мероприятиям. В общем, при грамотной организации работа найдется всем». Хочется подробнее остановиться на роли HR-службы в обеспечении инфобезопасности. Помимо обучения и донесения политики до сотрудников, менеджер по персоналу еще на этапе найма работника способен вычислить «подозрительного». Подробнее об этом рассказала Ольга Молочко, специалист по подбору персонала, сотрудник хэдхантингового агентства: «Сегодня к психологическому тестированию компании прибегают достаточно часто. Фактически видов тестирования, используемых при приеме на работу, всего два: личностные тесты, а также интеллектуальные тесты и тесты способностей. Самих методик, конечно же, больше. Понять, насколько надежен будет сотрудник, имеющий дело с ценной информацией, скорее возможно с помощью личностных тестов (например, опросника Кеттела, MMPI и др.). Именно они содержат в себе шкалы, показывающие, насколько потенциальный работник открыт и честен (как минимум в ответах на вопросы методики). Затем надо перенести результаты на поведение в будущем. Тем не менее o достоверности таких прогнозов можно спорить, поэтому лучше опираться на тесты как на дополнительное средство, позволяющее составить полную картину. Кроме того, особую популярность в рекрутменте завоевала проверка рекомендаций – получение отзыва о работнике от бывших коллег, руководителей, подчиненных». Однако в первую очередь именно руководство компании формирует и несет ответственность за политику информационной безопасности. Оно должно быть в курсе всех проводимых мер и их возможных последствий. Так, если директор компании несерьезно относится к этому вопросу, то такого же отношения стоит ожидать и от сотрудников компании. Лояльность коллектива и отдельно взятого работника также зависит от менеджмента. Михаил Молоканов, президент профессиональной ассоциации «Клуб бизнес-тренеров», считает, что настроение сотрудников – забота не HR, а непосредственных руководителей этих конкретных сотрудников. «О расположении духа сотрудников нужно спрашивать у их начальников. А если те ничего об этом не знают, значит, не выполняют свои управленческие обязанности. И на самом деле, даже спрашивать не нужно, так как нормальный руководитель должен или сам корректировать настроение подчиненных, или по своей инициативе сообщать, если что-то с настроением не в порядке. Но для этого нужно периодически разговаривать с сотрудниками, быть с ними в диалоге, что многие руководители не хотят и/или не умеют делать», – рассказал эксперт. Как бы ни развивались технологии, человеческий фактор попрежнему решает если не все, то многое. И в политике инфобезопасности важно минимизировать его влияние, тем более что для этого есть специальные инструменты. Не будем переходить на личности Итоги Следует так построить работу с персоналом, чтобы каждый понимал свою ответственность. Вместе с тем нужно прописать права и полномочия для отделов компании и для конкретных специалистов. Разграничить ответственность за информационные риски и минимизировать человеческий фактор поможет программное обеспечение (например, DLP-системы). «Законодатель моды» в этом вопросе – руководитель, именно он должен быть инициатором политики информационной безопасности. |
©2008-2024 Журнал «Директор по безопасности»
Все права защищены
Копирование информации данного сайта допускается только при условии установки ссылки на оригинальный материал.
Проекты ИД «Отраслевые ведомости»: