информационная безопасность - Узнайте все об инсайдерской

реклама
__________________________________________________________________
ФАКУЛЬТЕТ
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
__________________________________________________________________
РЕФЕРАТ
«Безопасное увольнение сотрудников»
Исполнитель:
студент гр. _Б9-03_ __________________ Синельников А.А.
(подпись, дата)
Принял доц. каф. 41 Журин С.И.
__________________________________________________________________
Москва – 2009
__________________________________________________________________
Содержание:
Введение……………..………………………………………………………………...................3
1.
Общие сведения о безопасности бизнеса………….……………………………...…...…4
1.1 Принципы обеспечения безопасности организации……..…………………...………6
2.
Безопасное увольнение сотрудников……………………………………………………11
3.
Угроза бизнесу – инсайдеры…...………………………………………………………...17
3.1 Увольнение сотрудника, подозреваемого в инсайдинге…………………………..…20
Заключение…………………………………………………………………………………...…24
Список использованной литературы………………………………………………………….25
2
Введение
Трудно переоценить значение организации процесса увольнения сотрудника,
который включает в себя учет всех законодательных норм и психологических
особенностей личности. Профессиональная работа Служб безопасности предотвратит
нанесение экономического ущерба организации и утечку информации при таком сложном
процессе, требуещем знаний психологии, практических навыхов и опыта, как расторжение
трудового контракта-увольнение.
Совместно с отделом кадров и руководителями структурных подразделений СБ
должна принимать участие в выработке регламента увольнения с учетом законодательства
Российской Федерации. Разработка такой процедуры и выполнение всех ее требований
позволит обеспечить безопасность коммерческих структур от недобросовестных действий
со стороны сотрудников, решивших по тем или иным причинам прекратить трудовые
отношения с компанией, а также тех, чья деятельность перестала соответствовать
требованиям рабочего места.
3
1. Общие сведения о безопасности бизнеса
Понятие "информация" (от лат. information) в прямом смысле означает
осведомление, придание формы тому, что было ранее неизвестно. Информация является
базовой составляющей знания. Знание, в свою очередь, накапливается и передается в
форме интеллектуального продукта. Иными словами, знание в отличие от информации
представляет собой увеличивающийся, самовозрастающий ресурс, в том числе и в
результате информационных процессов [3].
На всех стадиях информационного процесса ведущая роль принадлежит человеку носителю, пользователю информации и знания. От того, как будут учтены в
информационных процессах интересы, психологические установки, свойства личности,
зависит эффективность использования информации.
Если учесть определяющую роль информации в системе ресурсного обеспечения
бизнеса (кто владеет информацией - тот владеет всем), то становится понятна та роль,
которая отводится информационной безопасности любого предприятия.
Основные направления обеспечения информационной безопасности бизнеса:
защита информации о состоянии и движении материальных активов, чаще понимаемая
как экономическая безопасность;
защита информации о состоянии нематериальных активов и их носителях (персонале),
определяемая как собственно информационная безопасность;
защита средств хранения, обработки и передачи информации.
Здесь используются экономико-психологические методы обеспечения
безопасности бизнеса и технико-технологические методы защиты информационных сетей.
Условия формирования системы экономической безопасности фирмы:
Четкое определение понятия "система экономической безопасности" (что делать?).
Обеспечивать экономическую безопасность - значит осуществлять постоянную
деятельность по выявлению, предупреждению, локализации и нейтрализации угроз и
сведению к минимуму ущерба от реализации угроз различного характера.
Учет мнений и позиций собственника, акционеров, топ-менеджмента (для кого делать?).
Мнения этих категорий лиц далеко не всегда совпадают.
Соблюдение принципов и алгоритма формирования системы экономической
безопасности фирмы (как это делать?). В основе суждение: любое действие, нарушающее
нормальное функционирование организации, понимается как угроза экономической
безопасности фирмы.
Как на практике реализуются меры информационной безопасности с учетом
конкретных ситуаций? Приведем ряд примеров [1].
4
Отмечено, что причина утечки информации чаще всего происходит в результате
небрежности первых лиц организации. Например, в частных фирмах более 75 %
ответственных сотрудников, принимая посетителей, не считают необходимым убирать
конфиденциальные документы со стола или же выключать компьютер. Это приводит к
потере до 30 % оперативной информации.
По данным опроса, 75 % руководителей крупных предприятий хорошо знают об
увеличении возможности утечки информации при использовании современных
множительных средств типа ксерокса. Тем не менее копирование материала в 53,6 %
случаев происходит в режиме самообслуживания, в 32,7 % - оператором по устной
просьбе служащего и только в 13,5 % случаев оператор делает копии под расписку или по
письменному заказу.
По данным исследования, проведенного итальянскими психологами, только 25 %
служащих фирмы - действительно надежные люди, еще столько же ожидают удобного
случая для разглашения секретов, а 50 % будут действовать в зависимости от
обстоятельств.
В США компьютерные преступления совершаются, как правило, служащими,
допущенными к работе с информационными системами. Клерки, администраторы и
управляющие виновны в них чаще, чем профессиональные программисты [4].
Зафиксирован ряд случаев, когда программисты закладывали в информационную систему
"логическую бомбу" на случай форс-мажорных обстоятельств, значимых для них. При
наступлении указанных обстоятельств "бомба" стирает весь массив информации и
самоликвидируется. Доказать вину в суде практически невозможно.
В таблице сознательно оставлен без внимания несанкционированный доступ
злоумышленников в информационные системы организации - "атака хакеров". Сама атака,
как правило, осуществляется не сотрудниками организации. Содействие сотрудников
хакерам может осуществляться в рамках перечисленных манипуляций.
По мнению исследователей, для создания атмосферы информационной безопасности
наиболее эффективны меры, связанные с повышением информационной культуры на
предприятии.
5
1.1. Принципы обеспечения безопасности организации
Необходимо формировать четкую целевую установку на повышение надежности и
ответственности в вопросах защиты информации. Так, во многих американских фирмах
действует двухуровневая система защиты информации. Первый уровень.- обеспечение
информационной безопасности силами спецслужб, второй -культивирование атмосферы
бдительности и ответственности с помощью так называемых координаторов, назначаемых
из служащих среднего звена.
Целесообразно разбить технологический процесс на ряд самостоятельных этапов,
чтобы служащие знали только часть секретов, а цельным знанием владело лишь
руководство или узкий круг лиц. Необходим постоянный мониторинг отношений между
людьми, владеющими информацией, учет их морального и психологического состояния.
Основаниями для беспокойства являются: проявления эмоциональной
неуравновешенности, недовольства, хитрости, разочарования служащих, идеи которых
отвергнуты. Предлагается создать систему внутрифирменной коммуникации, не
допускающей полной автономности отдельных работников [ 1]. В целом, психологическое
обеспечение коммерческой тайны в процессе отбора, подготовки, выдвижения и
увольнения кадров эффективнее и дешевле, чем при обычном засекречивании
информации. Весьма эффективны организационно-психологические меры защиты
информации [4]:

дробление, распределение информации между сотрудниками;

ведение учета ознакомления сотрудников с особо важной информацией;

распространение информации только через контролируемые каналы;

назначение лиц, ответственных за контроль документации;

обязательное уничтожение неиспользованных копий документов и записей;

четкое определение коммерческой тайны для персонала;

составление, регулярная оценка и обновление перечня информации,
представляющей коммерческую тайну;

включение пункта о неразглашении коммерческой тайны в трудовой договор,
правила внутреннего распорядка и должностные инструкции;

включение положений о неразглашении тайны в соглашения и договоры с
партнерами.
Особо остановимся на мерах по обеспечению информационной безопасности при
увольнении сотрудника. О намерениях сотрудника уволиться косвенно свидетельствует
посещение соответствующих сайтов в Интернете, рассылка резюме. С этого момента вся
6
переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под
негласный контроль. Как можно скорее в отсутствие данного пользователя необходимо
сделать резервную копию всех его файлов. Принимая во внимание, что сотрудник может
изменить свои намерения и остаться, а также допуская, что просмотр вакансий мог
осуществляться по просьбе знакомых, ищущих работу, нет необходимости принимать
сразу явные меры безопасности.
Если сотрудник объявил о своем увольнении, можно принять следующие меры:

проинформировать всех сотрудников о предстоящем увольнении и запретить
передавать ему любую или какую-то конкретную информацию, имеющую
отношение к работе;

сделать резервную копию файлов пользователя;

организовать передачу дел;

постепенно, по мере передачи дел, сокращать права доступа к информации;

по необходимости организовать сопровождение увольнения специалистом по
информационной безопасности.
Если сотрудник уличен в промышленном шпионаже необходимо:

немедленно лишить его всех прав доступа к ИТ;

немедленно скорректировать права доступа к общим информационным
ресурсам (базам данных, принтерам, факсам), перекрыть входы во внешние сети или
изменить правила доступа к ним;

все сотрудники должны сменить личные пароли, при этом до их сведения
доводится следующая информация: "Сотрудник N с (дата) не работает. При любых
попытках контакта с его стороны немедленно сообщать в службу безопасности";
некоторое время контроль ИС осуществляется в усиленном режиме.
Если сотрудник увольняется не по причине уличения в промышленном шпионаже,
то перечисленные меры не должны быть чрезмерно настойчивы, дабы не оказывать
негативного воздействия на психологическое состояние человека. Необходимо внушить
сотруднику, что таков общий порядок и он лично ни в чем не подозревается.
Если сотрудники увидят, что увольнение каждого пользователя ПК неразрывно
связано с моральным ущербом, то пострадает общий социально-психологический климат:
организация будет ассоциироваться с тюрьмой или сектой. Кроме того, нецелесообразно
портить отношения со всеми увольняющимися сотрудниками: кто-то может вернуться, а
кто-то - оказать помощь.
Если сотрудника увольняют, уличив в промышленном шпионаже, то процедура
сопровождения остается на усмотрение службы безопасности. Задача службы управления
7
персоналом: происходящее не должно нанести ущерб социально-психологическому
климату в коллективе, а по возможности, напротив, консолидировать остальных
сотрудников.
Меры по обеспечению информационной безопасности с позиций "человеческого
фактора" можно рассматривать в качестве щита от воровства информации как
специфического ресурса, имеющего значительную ценность.
Воровство и мошенничество как психологическая проблема имеют и свою
идеологию: "в России воруют все". С некоторыми вариациями это суждение существует
уже столетия. В чем же конкретно проявляется тяжелая наследственность российской
ментальности [2]?

Психологически человек не готов различать свое и чужое (детская
установка: "поделись или ты жадина-говядина").

В сознании людей закон не воспринимается как объективная реальность:
(установка: "закон, что дышло, куда повернул - туда и вышло").

Возможность заработать воспринимается людьми как возможность украсть
(установка: "кто смел, тот и съел").

Наличие отраслей, в которых воровство традиционно негласно входит в
систему оплаты труда (установка: "работать на кухне и не воровать?").
Различают такие формы воровства, как:

индивидуальное воровство, в основе генетический код и ощущение
анонимности, самооправдание (все воруют);

коллективное воровство, в основе идеология восстановления социальной
справедливости (экспроприация экспроприаторов).
Наиболее эффективно противодействовать этому можно, только учитывая такой
фактор, как экономическое поведение работника.
Экономическое поведение - это поведение, связанное с перебором экономических
альтернатив с целью рационального выбора, то есть выбора, при котором
минимизируются издержки и максимизируется чистая выгода. В основе экономического
поведения лежат ценностные ориентации людей (деньги, статус, роль, идеалы).
На экономическое поведение оказывают влияние различные факторы:
технический уровень производства, организация, нормирование, оплата и условия труда,
удовлетворенность трудом, морально-психологический климат в коллективе,
образовательный и культурный уровень работника, характер общественно-политической
активности в обществе и рабочей группе.
Различают четыре стратегии экономического поведения:
8

минимум труда - минимум дохода,

минимум труда - максимум дохода,

максимум труда - гарантированный доход,

максимум труда - максимум дохода.
Поведение человека в рамках одной стратегии регулируется исключительно его
мотивами. Переход от одной стратегии к другой регулируется системой стимулов.
Исключение - стратегия "максимум труда - максимум дохода", где поведение
человека определяется стимулами. Стратегия "минимум труда - минимум дохода",
возникая, как вынужденная реакция человека на ситуацию, формирует у работника
чувства "внутреннего увольнения", подавленности, способствует становлению
терминаторного, то есть разрушительного поведения.
Рекомендации по профилактике воровства в организации.
Создать сильную корпоративную культуру организации (отношения, социальные
приоритеты, мораль в организации). Если сформирована "критическая масса" работников,
то новички попадают в систему самовоспроизводящегося общественного сознания.
Создать эффективную систему контроля, отвечающую следующим требованиям:
регулярность и систематичность, персональная ответственность работников. Условие контроль рассматривать как помощь людям в борьбе с искушением украсть.
В качестве профилактических средств периодически вызывать у работников синдромы
"чувства вины", "чувства благодарности", играя роль строгого начальника или
начальника-спасителя.
Быть разборчивым в производственных связях. Утверждение "свои не украдут"
достаточно спорно.
Могут быть сформулированы и общие правила стимулирования, обеспечивающие
безопасное поведение персонала:
доступность (я тоже могу заработать не меньше!);
ощутимость (премия не менее 20 % к окладу, оклад больше возможного ущерба от
воровства);
минимальный разрыв между результатами и оплатой по времени (недостаток
стимулирования восполняется воровством);
сочетание стимулов и мер наказания;
сочетание материальных, социальных и психологических стимулов.
Превентивные действия службы управления персоналом:

гибкая организационная структура "под задачи" организации: лишние
подразделения следует ликвидировать, перераспределив и частично уволив сотрудников;
9

определение приоритетов в развитии персонала и реализация функций
управления ими;

ежегодная аттестация персонала предприятия;

систематический пересмотр "Положений о подразделениях" и
"Должностных инструкций" с целью их совершенствования в соответствии с изменениями
в разделении и организации труда, а также в связи с изменениями уровня
профессионализма самих работников;

разработка компенсационных пакетов (размера, структуры, соотношения
различных форм вознаграждения работникам) с ориентацией на конечные результаты,
значимые для организации (например, система сквозных показателей), и с учетом
индикации;

разработка системы мер профилактики противоправного поведения
сотрудников, в том числе и на случаи возникновения объективных причин к снижению
уровня преданности фирме, например, при угрозе увольнения (здесь речь идет о защите
конфиденциальной информации, включая соответствующие положения в трудовых
соглашениях, и мерах против мошенничества, включая внутренний аудит);

постоянное информирование сотрудников о состоянии рынка товаров и
услуг, на котором действует организация, формирование рыночного мышления,
обеспечение причастности к проблемам организации.
Также могут быть приняты превентивные меры, начиная с момента поступления
работника на работу, на случай снижения деловой активности фирмы и необходимости
проводить сокращение работников, хотя эти меры не способствуют формированию у
работника преданности фирме и увязке его жизненных целей с целями фирмы. К таким
мерам относятся: заключения срочного трудового договора, заключение договора о
сохранении коммерческой тайны, конфиденциальной информации, служебной тайны, о
материальной ответственности, ознакомление под расписку с должностной инструкцией
(для руководителей подразделений -еще и с Положением о данном подразделении),
Правилами трудового распорядка, Положением об оплате и стимулировании труда,
Коллективным договором (если таковой имеется), специальные меры в случае
необходимости увольнения.
10
2. Безопасное увольнение сотрудников
Процедура увольнения работников должна проводиться таким образом, чтобы
человек, прекращающий трудовые отношения с компанией, не оказался источником
угрозы для ее безопасности. Расставаться с бывшим сотрудником «без обид» нужно
уметь. Одна из составляющих этого умения — деятельность службы безопасности (СБ)
компании.
Трудно переоценить значение организации процесса увольнения сотрудника,
который включает в себя учет всех законодательных норм и психологических
особенностей личности. Профессиональная работа СБ предотвратит нанесение
экономического ущерба организации и утечку информации.
Совместно с отделом кадров и руководителями структурных подразделений СБ
должна принимать участие в выработке регламента увольнения с учетом законодательства
Российской Федерации. Разработка такой процедуры и выполнение всех ее требований
позволит обеспечить безопасность коммерческих структур от недобросовестных действий
со стороны сотрудников, решивших по тем или иным причинам прекратить трудовые
отношения с компанией, а также тех, чья деятельность перестала соответствовать
требованиям рабочего места.
Как показывает практика, умение понимать любого сотрудника компании —
важная составляющая профессионализма руководителя, особенно высшего уровня. К
сожалению, некоторые ответственные лица порой не придают значения чувствам и
переживаниям увольняющихся или попадающих под сокращение работников.
Невнимание к их потребностям, незнание психологических особенностей членов
коллектива зачастую влекут за собой серьезные проблемы, такие как нанесение
экономического и материального ущерба, потеря имиджа компании, утечка информации,
составляющей коммерческую тайну.
Очень важно задействовать в процессе увольнения возможности СБ. Работники
этой службы, зная организационную структуру компании, ключевые подразделения, в
которых сосредоточены материальные ценности и сведения, составляющие коммерческую
тайну, обязаны предусмотреть, что можно ожидать от того или иного сотрудника в любой
ситуации, в том числе и при увольнении.
Согласно нормам ТК РФ причиной увольнения может быть:

собственное желание сотрудника;

инициатива (вследствие различных причин) руководства компании;

сокращение штатов и др.
11
Если сотрудники не удовлетворены оплатой или условиями труда, они могут
начать поиски нового места работы, что заметно по ряду признаков, на которые
сотрудники СБ, работая с персоналом, должны обратить внимание:

сотрудники чаще отпрашиваются под предлогом решения каких-либо
личных проблем;

проявляют меньшую заинтересованность в работе, небрежны при
выполнении профессиональных обязанностей (чего ранее не отмечалось);

в общении с коллегами становятся менее откровенными, чем обычно, или
наоборот — начинают резко негативно и открыто высказываться о неудовлетворительной
организации работы в компании, о руководстве и т. д.;

проявляют неестественность при разговоре по телефону, т. е. при
нахождении в кабинете других сотрудников испытывают неловкость;

после получения сигнала на мобильный телефон выходят из кабинета для
продолжения разговора и т. д.
Такое поведение должно отмечаться сотрудниками СБ. Получив подтверждение
через доверенных лиц и в личных беседах, что работник собирается уволиться, СБ обязана
усилить контроль за его работой по договорам, конфиденциальной и коммерческой
информацией, с материальными ценностями. При этом необходимо:

изучить текущую дебиторскую задолженность в бухгалтерии по договорам,
с которыми работает сотрудник, убедиться, что условия договоров выполняются;

в секретариате, канцелярии проверить наличие конфиденциальных и других
документов, с которыми он работал или работает;

в бухгалтерии получить сведения о числящихся за ним материальных
ценностях и, используя легенду, выборочно проверить их наличие.
В случае, если сотрудник подал заявление об увольнении, СБ обязана через
руководителя структурного подразделения, доверенных лиц проконтролировать
выполнение процедуры передачи дел и документов, а главное — не допустить нанесения
материального ущерба, уничтожения рабочих документов и информационных
материалов.
Порядок сдачи дел и увольнения сотрудника в компании регламентируется
соответствующими нормативными документами. Руководитель структурного
подразделения своим распоряжением назначает ответственных за прием документов и
материальных ценностей. При увольнении сотрудник должен в обязательном порядке:

передать или сдать документы, находящиеся в работе (договора, документы,
содержащие конфиденциальную, коммерческую информацию и др.);
12

сдать материальные ценности;

привести в порядок и передать рабочие документы и информационные
материалы;

сдать удостоверение, пропуск и т. п.
Как показывает практика, наиболее травмирующая сотрудника ситуация — увольнение по
инициативе руководства или в связи с сокращением штатов.
Специалисты по управлению персоналом рекомендуют: каковы бы ни были причины
увольнения, человек должен покидать компанию без чувства обиды, раздражения и
жажды мести. В этом случае можно рассчитывать на то, что увольняемый сотрудник не
предпримет действий, направленных против компании, останется к ней лояльным. В
частности, не будет оспаривать решение руководства компании в суде; публиковать или
распространять негативную информацию о деятельности компании; готовить физическую
расправу над лицами, которых он считает виновными в своих проблемах; уничтожать
документы, необходимые для продолжения работы компании; передавать важную
информацию конкурентам и т. п.
Регламентом определены службы, которые фиксируют свое согласие на
увольнение сотрудника в «обходном листе».
Руководитель структурного подразделения обязан проверить прием-передачу
документов, материальных ценностей и др. и оформить это соответствующим актом.
Работники технических служб должны проконтролировать изменение (в случае
необходимости и наличия технических возможностей) паролей, кодов доступа и пр.
В срок, предусмотренный законодательством РФ для оформления увольнения, СБ обязана
проанализировать все имеющиеся у нее материалы об этом сотруднике и сделать вывод:
может ли он нанести ущерб компании или нет. В случае обнаружения каких-либо
негативных моментов необходимо принять меры, чтобы минимизировать ущерб.
Некоторые увольняющиеся сотрудники могут нанести ущерб компании:
уничтожить/испортить материальные ценности, скопировать или уничтожить ценную
информацию, индивидуальные или коллективные профессиональные наработки, похитить
важные документы для дальнейшего личного использования или для передачи
конкурентам. СБ должна предвидеть эту потенциальную опасность.
При увольнении сотрудника, который имел доступ к сведениям, содержащим
конфиденциальную информацию или коммерческую тайну, СБ должна оценить,
информация какого уровня была ему доступна и в каком объеме, а также каковы
возможные последствия от утечки этой информации.
13
В случае, если работник уже подал письменное заявление об увольнении, или
планируется сокращение его должности, сотруднику СБ рекомендуется провести с ним
беседу — индивидуально или совместно с непосредственным руководителем. До беседы
целесообразно тщательно изучить имеющиеся данные об увольняющемся (увольняемом),
а также выяснить мотивы увольнения. При этом важно учитывать:

характер взаимоотношений сотрудника с коллегами;

отношение к работе;

уровень профессиональной подготовки;

наличие конфликтов личного или служебного характера;

высказывавшиеся ранее пожелания перейти на другую работу;

уровень доступа к информации, в том числе содержащей коммерческую тайну;

предполагаемое в будущем место работы увольняющегося (увольняемого) и др.
Для проведения беседы нужно создать располагающую обстановку. Во время
разговора с увольняющимся необходимо выяснить следующие вопросы:

как человек относится к деятельности компании в целом и к конкретным
руководителям, сотрудникам;

что он приобрел за время работы в компании (в профессиональном,
материальном, моральном отношении), чего он не смог достичь и почему;

что он может порекомендовать компании в организации ее работы, в
создании необходимых условий труда, адекватного уровня заработной платы, в решении
социальных вопросов, оптимизации взаимоотношений в коллективе;

какова истинная причина (причины) его увольнения.
Во время беседы с увольняющимся сотрудником рекомендуется выслушать его
замечания в отношении характера работы, стиля руководства и т. п. Обычно увольняемый
весьма критично, остро и правдиво освещает ситуацию в компании. В дальнейшем эта
информация может быть использована для улучшения организации и управления
компанией.
Если увольнение работника проводится по инициативе администрации (но не
связано с нарушением дисциплины), то необходимо:

предусмотреть возможность решать вопрос об увольнении сотрудника
постепенно, используя для увольняемого «легенду»;

назначить дублера, которому увольняемый постепенно будет передавать
дела и документы;
14

найти компромиссное взаимовыгодное решение (выплатить денежные
компенсации, помочь с трудоустройством, приобретением другой профессии).
Рекомендуется приглашать сотрудника на собеседование и объявлять ему причины,
по которым компания отказывается от его услуг, только после того, как приняты все меры
для уменьшения возможного материального ущерба, неразглашения сведений,
составляющих коммерческую тайну. Желательно, чтобы причины увольнения были
аргументированы, объективны, достоверны и проверяемы (перепрофилирование
деятельности, сокращение персонала, ухудшение финансового положения, отсутствие
заказов и пр.). Важно сохранить с человеком хорошие отношения, поблагодарить его за
работу в компании, пожелать успехов на новом месте.
Те же рекомендации можно дать и в том случае, когда новый руководитель
компании приходит со своей командой.
В случаях увольнения сотрудников по сокращению штатов необходимо:

выполнить все предусмотренные законодательством РФ процедуры
(предупредить о сокращении за два месяца, выплатить денежную компенсацию и др.);

предложить различные варианты трудоустройства на другом рабочем месте
в компании;

хотя бы частично решить личные проблемы человека (дать возможность
закончить курс лечения, сохранить очередь на жилье, помочь погасить кредит и др.);

предоставить рекомендательные документы или помощь в трудоустройстве.
Рассмотрим в качестве примера использование «легенды» для замены одной
команды сотрудников другой (в практике работы отечественных компаний это нередко
становится нормой, с которой приходится считаться).
В компании А произошла смена руководства. Для проведения ротации высшего
управленческого звена был выбран вариант сокращения штатов в связи со сменой курса
деятельности компании. Отдел кадров должен был оформить увольнения должным
образом. На СБ возлагались обязанности контролировать ситуацию в коммерческой,
производственной и социальной сферах, изучение поведения сотрудников и контроль за
ними. Было объявлено о 70% сокращении управленческого аппарата компании, причем в
число сокращаемых попали все должности, занимаемые людьми из «старой команды». В
предусмотренные ТК РФ сроки началась процедура сокращения. Часть руководителей
была оставлена в измененной организационной структуре, остальным, которые не
удовлетворяли новую команду, были предложены рабочие места, не отвечавшие их
уровню квалификации, с меньшей заработной платой. Многие уволившиеся сотрудники
ушли с обидой на компанию, некоторые из них обратились в суд, требуя восстановления.
15
Обновленная СБ в данной ситуации отвечала за предотвращение нанесения
ущерба: Работа «старой команды» во всех сферах деятельности компании тщательно
проверялась и контролировалась. Сотрудники СБ следили за тем, чтобы не допустить
уничтожения документов и информации, необходимых для дальнейшей работы. В то же
время они старались установить психологический контакт с людьми, попавшими под
сокращение, стремились снять эмоциональное напряжение в коллективе.
16
3. Угроза бизнесу - инсайдеры
Антивирусы, межсетевые экраны, системы контроля доступа позволяют
справляться с вирусами и хакерами. Однако они не спасают от кражи информации
инсайдерами и потери ее по причине халатности сотрудников. Основными инструментами
злоумышленников стали мобильные накопители и электронная почта.Ситуация с
внутренней безопасностью в российских компаниях и учреждениях близка к критической.
Именно такой вывод позволяет сделать исследование инсайдерских угроз,
проведенное компанией. По данным опроса, в 2007 году лишь 5% компаний избежали
утечек. 19% респондентов лишались информации от 6 до 25 раз, а 7% - более 25.
Специалисты и руководители отделов ИТ и ИБ называют утечки самой большой (76%)
угрозой электронной безопасности.Основная причина заключается в том, что лишь
немногие организации (24%) используют системы защиты от утечек. А те, что
используют, применяют в основном устаревшие малоэффективные комплексы, которые
основываются на методах контентной фильтрации. Недооцененными остаются такие
технологии как шифрование хранимых данных и классификация информации. Кто и что
крадет?По данным опроса, наибольшие опасения вызывают утечки данных (76%) и
халатность пользователей (67%). Оба пункта достаточно тесно связаны. Ведь большое
количество информации "уходит" не только по злому умыслу работников, но и из-за
обычной невнимательности или халатности служащих. Нередко конфиденциальные
данные пропадают вместе с забытыми ноутбуками, потерянными USB-накопителями и
прочими мобильными носителямиПосле "утечки данных" и "халатности служащих" идут
вирусы (59%) и хакеры (47%). Опережение внешних угроз внутренними вызвано
несколькими причинами. Во-первых, средний ущерб от одной утечки по статистике
оказывается заметно выше, чем урон, причиненный хакером или вирусами. Во-вторых,
проблемы внешних атак стали актуальными еще в середине девяностых. За прошедшее с
тех пор время компании научились с ними бороться, и сегодня большинство организаций
имеют достаточно эффективные барьеры для противодействия внешним угрозам.
Инсайдеры же – явление относительно новое, изученное не всеми специалистами ИБ, а
потому опасное вдвойне.Наиболее опасные угрозы ИБ Далее в рейтинге угроз ИБ с 46%
следует нежелательная корреспонденция, отравляющая жизнь не только компаниям всех
рангов, но и обычным пользователям интернета. 32% респондентов высказались за
программные и аппаратные сбои. Эта достаточно большая цифра говорит о том, что
требование непрерывности бизнеса является одним из ключевых в современном деловом
мире.
17
Остановка операций на долгий срок (а в некоторых областях и несколько часов –
целая вечность) может повлечь огромные убытки. Саботажники получили 29% голосов, а
кража оборудования набрала всего 25%. Очевидно, обеспечить физическую безопасность
оборудования значительно легче, чем уберечь от кражи нематериальный ресурс –
информацию. Самые опасные угрозы внутренней ИБ Наиболее опасной внутренней
угрозой оказалась утечка данных – ее выбрали почти половина респондентов (46%).
Близкие по смыслу искажение документации и утрата информации набрали
соответственно 37% и 31%. Чуть менее опасны сбои в работе информационных систем
(26%) и саботаж (22%). По данным исследования, чаще всего крадут персональные
данные. Этот пункт выбрали 57% опрошенных специалистов. Информация, наиболее
подверженная утечкеВслед за личной информацией идут детали конкретных сделок
(47%), финансовые отчеты (38%) и интеллектуальная собственность (25%). Как крадут?
Самым популярным способом кражи информации является ее похищение при помощи
мобильных накопителей. Этот способ выбрали 74% респондентов. Действительно, с
развитием данной области миниатюрные накопители большой емкости на основе флэшпамяти или магнитных пластин стали общедоступными. Легкое подключение к
компьютеру, большая пропускная способность интерфейса, высокая емкость, размер со
спичечный коробок – современные носители обладают всеми необходимыми для
инсайдера качествами.На втором месте среди каналов утечек находится электронная
почта (58%). Доступ к ней имеет практически каждый сотрудник, работающий на
компьютере с выходом в интернет (а иногда и без выхода в глобальную сеть). Кроме того,
пользоваться почтой удобно, а информация доставляется практически мгновенно. В то же
время далеко не все фирмы фильтруют почтовый трафик на предмет конфиденциальных
данных, а те компании, которые все же используют контентную фильтрацию, страдают от
низкого уровня ее эффективности.Самые популярные каналы утечки Заметно реже
информация "уходит" через вeб-почту, онлайн-форумы и других интернет-ресурсы (26%).
Это объясняется ограничениями на доступ в сеть, которые имеются в большинстве
организаций. Даже если руководители компаний не беспокоятся об утечках, немногие
позволяют сотрудникам свободную навигацию в интернете. Что используют для
защиты?Как уже отмечалось, наибольшую угрозу представляют утечки и халатность
сотрудников, а атаки и вирусная активность заметно отстают от них. Результаты
исследования позволяют объяснить это следующим образом. Все опрошенные
организации используют антивирусы и межсетевые экраны. Значит, в большей или
меньшей степени все защищены и от вирусов, и от хакеров. Отличия заключаются лишь в
реализации программных средств. Кроме того, 98% компаний применяют контроль
18
доступа, 74% - системы обнаружения/предотвращения вторжений (IDS/IPS) и 53% - VPNсоединения. Данные меры также снижают шансы хакеров и вредоносного кода на успех.
Получается, от внешних угроз защищают сразу несколько различных технологий.
И в то же время организации оказываются беззащитными перед столь актуальными
внутренними угрозами. Ведь только 36% компаний шифрует данные при хранении, а
системами защиты от утечек оснащены и того меньше - 24% фирм. Самым популярным
(89%) и при этом и самым неэффективным средством защиты от утечек стала контентная
фильтрация. Действительно, один из самых старых методов достаточно легко реализовать.
Но никуда не деться и от недостатков. Машина элементарно не сможет распознать не
только зашифрованный текст, но и написанный на смеси русских, латинских букв и
специальных символов. Но и это не самая главная проблема. В целом, эффективность
систем контентной фильтрации составляет не более 80%. Это означает, что в 20% случаев
утечка произойдет незамеченной. Кроме того, каждое пятое предупреждение об
инциденте будет ложным. Самые популярные средства защиты от утечекДалее, система
контентной фильтрации, установленная на каком-либо шлюзе, будет сканировать лишь
проходящий трафик. Данные же на рабочей станции остаются беззащитными. Достаточно
воткнуть USB-носитель и скачать все нужные документы. Ну и, наконец, контентная
фильтрация никак не поможет сохранить конфиденциальные сведения, которые остались
на потерянном ноутбуке или резервном носителе. А такие происшествия случаются
сплошь и рядом.Пассивный мониторинг (73%) и контроль над портами рабочих станций
(62%) также распространены, а их эффективность респонденты оценивают на среднем
уровне. Впрочем, именно мобильные носители, прежде всего USB-устройства, являются
из¬любленными инструментами инсайдеров. Поэтому и контроль над портами
компьютеров можно признать недостаточно используемым. Единственное средство,
которое специалисты назвали высокоэффективным – шифрование ноутбуков распространено слабо, всего в 24% компаний текущей выборки. Другими словами,
примерно в 6% организаций, принявших участие в исследовании.Почему же уровень
использования средств защиты от утечек столь низок? Специалисты называют множество
причин. Самый популярный ответ - неэффективность предлагаемых технологий (49%).
Далее идут "традиционные" бюджетные ограничения (26%) и трудности с
внедрением (11%).Представляется, что почти половина респондентов, упомянувшая
неэффективность, говорила об устаревших технологиях – контентной фильтрации или
электронных метках. Действительно, методы лингвистического анализа уже не отвечают
современным требованиям. Ведь с появлением карманных накопителей утечки
непосредственно с рабочей станции обогнали сетевые угрозы. А электронные метки в
19
чистом виде не предоставляют никакой гибкости. Все возможные действия системы
заранее предопределены. В результате ухудшается производительность труда служащих,
разрастается бюрократия, нарушается баланс между бизнесом и безопасностью. Тем не
менее, сегодня существуют и более прогрессивные технологии. Например, концепция
Secret Documents Lifecycle(SDL) подразумевает объединение лучших черт разработанных
ранее методик. Электронные метки используются для защиты уже классифицированных
файлов, а контентная фильтрация для входящих или новых документов. Таким образом,
SDL предлагает исключительно высокую эффективность: 100% при защите
классифицированных данных. Как же защититься?Если проанализировать ответы
специалистов, принявших участие в исследовании, станет ясно, ситуация в сфере ИБ
неудовлетворительная. Особенно в части утечек данных. Тем не менее, респонденты
решительно настроены укреплять электронную безопасность, но каждый по-своему.
Планы по наращиванию системы ИБ в ближайшие 3 года
Нет ничего удивительного, что большая часть респондентов (34%) рассчитывает укрепить
защиту от утечек. Это просто необходимо, ведь инсайдеры представляют наиболее
опасную угрозу. На втором месте с 22% идет шифрование данных – тоже весьма
эффективный способ избежать потери информации. Чуть меньше (19%) набрали
комплексные инструменты ИБ - IDS/IPS. В 15% компаний планируют улучшить системы
резервного копирования. А 10% опрошенных назвали другие компоненты. Организации
знают о существующих брешах в системах безопасности и намерены решительно с ними
бороться. Вышеперечисленные меры, такие как внедрение прогрессивных комплексов
защиты от утечек, шифрование данных и тп вкупе с уже используемыми компонентами
систем ИБ должны вывести безопасность на новый уровень и обеспечить всестороннюю
защиту конфиденциальных данных как от внешних, так и от внутренних нарушителей.
3.1 Увольнение инсайдеров
В практике имеют место случаи увольнения сотрудников по инициативе
администрации на основе информации, полученной от СБ. Так, руководитель
структурного подразделения П. компании Б, которое занималось материальнотехническим снабжением и организацией строительных работ, по сообщению доверенных
лиц, заключал договора на закупку оборудования и на проведение строительных работ с
ущербом для компании.
По данному факту СБ провела анализ деятельности структурного подразделения.
Работа по договорам показала, что компания несет убытки. Для подтверждения данных
СБ была проведена независимая экспертная оценка договоров, подтвердившая факт
20
использования П. служебного положения в корыстных целях. Руководитель
подразделения лично организовывал переговоры с контрагентами, им же визировались и
все необходимые документы. Анализ проведенных тендеров, конкурсов, открытых торгов
показал, что их результаты были подготовлены заранее, подбор участников давал право
стать победителем тендера, конкурса, торга той компании, с руководителями которой П.
устанавливал неофициальные отношения.
Компания несла убытки от такой «деятельности», при этом материальное
положение П. значительно улучшилось и не соответствовало доходам, получаемым в
компании (за короткое время он построил дорогие дома себе и родственникам, приобрел
престижные иномарки, пр.). В официальной беседе сотрудник СБ в присутствии
администрации предъявил П. доказательства того, что он злоупотреблял своим
служебным положением. Понимая, что в такой ситуации продолжать далее работать в
коллективе невозможно, П. написал заявление об увольнении по собственному желанию.
В случаях, когда увольнение связано с нарушениями дисциплины, все факты
должны быть задокументированы в соответствии с законодательством РФ.
СБ должна быть ориентирована на выяснение истинных причин и мотивов
увольнения всех категорий сотрудников. Причины, на которые ссылается сотрудник при
увольнении, и подлинные мотивы зачастую не совпадают.
Так, сотрудник Ш. написал заявление об увольнении по собственному желанию.
Негативных сведений на Ш. у СБ не было, по работе он характеризовался положительно и
отвечал всем требованиям. Доверенные лица отмечали, что среди сотрудников
компании Ш. считался высококвалифицированным специалистом и порядочным
человеком. Отношение его к работе не менялось, однако коллеги отмечали, что основной
причиной увольнения являются напряженные отношения между Ш. и руководителем
структурного подразделения, в основе которых лежало желание начальника принять на
данное место другого специалиста. О том, что отношения между руководителем и
подчиненным осложнились, свидетельствовал и тот факт, что в карточке оценки трудовой
деятельности Ш. за несколько месяцев до подачи заявления снизились коэффициенты за
инициативу и своевременность выполнения работы (что являлось основанием лишения
премии). Ш. стал выражать неудовольствие, пререкаться с руководителем, что еще
больше обострило ситуацию. После изучения всех материалов сотрудник СБ провел
беседу с Ш., во время которой тот сообщил, что увольняться не хотел, но вынужден был
это сделать под давлением обстоятельств, о которых откровенно рассказал. После этого
была проведена беседа с руководителем, признавшим свое намерение принять нового
человека и передать ему часть функций, которые в настоящее время выполнял Ш. СБ
21
совместно с отделом кадров изыскали возможность оставить Ш. работать в компании в
другом подразделении.
При увольнении сотрудника, который имел доступ к сведениям, содержащим
конфиденциальную информацию или коммерческую тайну, СБ должна оценить,
информация какого уровня была ему доступна и в каком объеме, а также, каковы
возможные последствия от утечки этой информации.
Если по материалам СБ увольняющийся (увольняемый) — законопослушный,
дисциплинированный, порядочный человек, то с ним достаточно провести беседу о
неразглашении коммерческих сведений, к которым он получил доступ в процессе работы.
Если же по материалам СБ увольняющийся (увольняемый) по своим личным
качествам и по характеру известной ему информации может представлять для компании
угрозу (в частности, передать сведения конкурентам), необходимо через доверенных лиц
убедить его в том, что эти сведения уже не актуальны или не соответствуют
действительному положению дел.
Если в компании статус охраняемых сведений определен внутренними
документами: издан приказ «о коммерческой тайне», утвержден перечень информации,
составляющей коммерческую тайну, сотрудник при приеме на работу давал подписку о ее
неразглашении, то при увольнении он должен дать подписку о неразглашении сведений,
составляющих коммерческую тайну. Правовой статус такой подписки с точки зрения ее
соответствия законодательству РФ необходимо оценивать в каждом конкретном случае
отдельно.
Сотрудники, работающие с базами данных бухгалтерии, стратегического
маркетинга, получают разный уровень доступа к отдельным блокам конфиденциальной и
коммерческой информации. Как правило, полный доступ к базам данных имеется у
ограниченного числа сотрудников: руководитель компании, главный бухгалтер и его
заместитель, начальник управления стратегического маркетинга и его заместитель,
системный администратор. При организации мероприятий по защите информации следует
исходить из критериев целесообразности, оценив значение этих данных и возможный
ущерб от их разглашения. Нужно помнить, что абсолютной защиты не может быть в
принципе, поэтому необходимо обеспечить целесообразный и достаточный уровень
программной защиты.
Рассмотрим пример неудачной работы СБ по защите баз данных в компании.
В функциональные обязанности сотрудника СБ К. входил контроль работы с базческого
маркетинга в компании Д. Проработав три года, К. уволился по собственному желанию.
Анализируя материалы о действиях конкурентов, СБ установила, что на рынке совсем
22
недавно появилась новая компания Ю. Формы и методы ее работы были аналогичны тем,
которые использовала компания Д. Было установлено, что учредителем компанииконкурента стал К. Он попросту присвоил себе наработки бывших коллег: готовясь к
увольнению и зная систему защиты базы данных стратегических маркетинговых
исследований, скопировал ее и вынес из офиса. Работая от имени своей компании,
К. устанавливал контакты с теми организациями, с которыми сотрудничал его бывший
работодатель, предлагая им услуги на более выгодных для них условиях. Этот случай
помог выявить, что защита баз данных в компании несовершенна и требует пересмотра.
Чтобы предупредить возможность нанесения экономического или иного ущерба
компании, после увольнения сотрудников целесообразно узнать о новом месте их работы,
отслеживать информацию о том, с кем в компании они продолжают поддерживать
отношения. Посещение бывшими сотрудниками компании возможно, однако оно не
должно оставаться без внимания СБ. Офис не следует превращать в место встреч
работающих и бывших сотрудников, поскольку это отвлекает людей от работы, кроме
того, такие посещения могут быть предлогом для сбора коммерческой или
конфиденциальной информации и др.
23
Заключение
Процедура увольнения работников должна проводиться таким образом, чтобы
человек, прекращающий трудовые отношения с компанией, не оказался источником
угрозы для ее безопасности.
Очень важно задействовать в процессе увольнения возможности СБ. Работники
этой службы, зная организационную структуру компании, ключевые подразделения, в
которых сосредоточены материальные ценности и сведения, составляющие коммерческую
тайну, обязаны предусмотреть, что можно ожидать от того или иного сотрудника в любой
ситуации, в том числе и при увольнении.
Анализ работы СБ с персоналом показывает, что в компании необходимо
выработать единую стратегию. При профессиональной работе можно своевременно
упредить возникновение значительной части проблем, связанных с «человеческим
фактором». Над совершенствованием деятельности СБ необходимо работать постоянно —
благополучие компании стоит затраченных усилий.
24
Список использованной литературы
1.
Дейнека О. С. Экономическая психология: Учебное пособие. - СПб.: Изд-во С.-Пб.
ун-та, 2000.
2.
Дубейковская Я. С. Стоп. Кадры! Управление персоналом для умных. -
Екатеринбург: Изд-во Уральского ун-та, 2000.
3.
Ушанков В. А. Становление информационной системы: ценностные
характеристики / Проблемы современной экономики, № 3/4, 2002.
4.
Черкасов В. Н. Бизнес и безопасность. Комплексный подход. М.: Армада-пресс,
2001
5.
Мартыненко И. Обеспечение безопасности компании в случае увольнения
сотрудника: статья, 2003.
6.
«Психологические аспекты информационной безопасности организации». – сайт
www.bre.ru
25
Скачать