`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Как сделать, чтобы политики безопасности работали?

+33
голоса

Сегодня многие компании обладают очень смутным представлением о методах, защищающих от внутренних угроз. Однако в большинстве из таких организаций предусмотрены политики информбезопасности, их должно быть достаточно для защиты от всего чего угодно. Единственная проблема – практическая реализация данных политик. Просто чтобы такие политики работали, необходима воля руководства компании к их соблюдению. Методы, которые должны применяться при этом, известны достаточно давно – это дисциплинарные взыскания, касающиеся тех, кто не хочет соблюдать требований по обеспечению безопасности, а также контроль профильных служб и проведение необходимого инструктажа среди сотрудников компании.

Если в вашей компании подобные меры ранее не практиковались, то не стоит ждать от их введения мгновенного эффекта. Вероятно, чтобы политики безопасности начали эффективно функционировать, прежде придётся уволить некоторых из самых злостных нарушителей правил.

Кадровая политика во многом определяет успешность защиты компании от утечек данных и от внутренних угроз в целом. Как говорится, «на жадину не нужен нож», и работника, который имеет доступ к важной информации, можно подкупить или запугать. Потому очень важно уделять повышенное внимание психологической составляющей обеспечения информбезопасности организации.

Однако далеко не все организации могут позволить себе штатного психолога. Но если такая возможность есть, ее также можно использовать для выявления сотрудников, которые находятся в слишком возбужденном или, наоборот, слишком подавленном состоянии. В итоге причиной данного психического состояния вполне могут быть или  возможность получения солидного вознаграждения, или угрозы, которыми сопровождается невыполнение сотрудника требований конкурентов по предоставлению засекреченной информации об организации, где он работает. На первый взгляд это может показаться паранойей, но, поверьте, такие случаи вовсе не редкость.

Во время приема новых сотрудников на работу и во время выдвижения на руководящие должности старых работников также нужно учитывать как их послужной список и навыки, так и их психологические особенности. Слишком пугливому или слишком жадному человеку не стоит доверять серьезные должности, которые обеспечивают доступ к конфиденциальным данным, потому что в итоге может серьезно пострадать вся организация. Всегда нужно помнить и о мотивации работников. Конечно, это не относится к ответственности отдела информбезопасности. Тем не менее, если сотрудник ощущает себя ненужным собственной компании, то тогда даже самые изощренные средства борьбы со шпионажем не заставят его отказаться от желания принести ей вред.

Как сделать, чтобы политики безопасности работали?

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+33
голоса

Напечатать Отправить другу

Читайте также

"если сотрудник ощущает себя ненужным собственной компании, то тогда даже самые изощренные средства борьбы со шпионажем не заставят его отказаться от желания принести ей вред" - а таких в любой компании всегда от 90% до 60%... Всегда можно найти уборщицу согласную за малую толику пронести и подвесить жучок на провод или обделенного повышением менагера...

Согласен. Такие люди есть в каждой компании. Но ведь можно и выявить их заранее. К примеру, по тематическому словарю. Само собой, "свежий" словарь будет давать сначала много ложноположительных срабатываний, но после доработки станет вполне пригодным. Заранее идеальный словарь составить вряд ли получится, т.к. в каждой организации есть свои нюансы и "словечки".

Мне вспоминается любопытный пример, когда попросили нас составить "гейский" словарь. С вершин своего гетеросексуального опыта мы этот словарь сделали и оказалось, что на всякие "милый" да "пупсик" фиг что словишь. Затем, когда удалось-таки найти "эксперта" по геям, оказалось, что люди эти общаются совсем по-другому. Например, "мусик" - правильное слово :)

Алексей, статья хорошая, но есть нюанс, ряд нюансов.
Один из них - работа "штатного психолога".
Так вот простите, но чаще всего в компаниях, где эта должность есть, там работают лица совершенно не компетентные. Абсолютно. Типа: "Племяннице генерального после ВУЗа нужна работа до декрета".
Я думаете Вы знаете лучше меня, что творят такие, с позволения сказать "кадры". Из личной практики, как раз такой кадр меня в свое время обвинил в "нелояльности" компании на основании как раз той самой "подавленности". А подавленность была вызвана тем, что на моих глазах топ-менеджер развернул прямую уголовщину, да еще и подводил под это рядовых сотрудников ... топ-менеджера снесли (вместе с его карманным "психологом"), но я лично ни разу не видел по настоящему знающих спецов. ... нахватаются по верхам и годят надутые, словно знают истину. К слову б-во, большие адепты лобового применения полиграфа.

Согласен. Как с этим явлением бороться, увы, не знаю. А по поводу полиграфа есть несколько нюансов. Главный, на мой взгляд, в том, что полиграф в умелых руках является универсальным инструментом для добычи нужного ответа. Задавая правильные вопросы можно, по сути, добиться желаемого (заранее) результата.

Кроме того, полиграф для руководителей более понятен и точен. Он позволяет им сразу применить понятия "лжёт/не лжёт" к испытуемому. В то же время, работа психолога и данная им оценка, хоть и является, на мой взгляд, более точной, однако требует больших знаний и навыков у руководителя. То есть директору сложнее понять "ярко выраженный ESTP-психотип со склонностью к риску", чем "на вопрос воровал ли он у компании испытуемый колебался с ответом и у него подскочил пульс и давление".

Так что, как по мне, в подковёрных играх полиграф - зло.

"Единственная проблема – практическая реализация данных политик. Просто чтобы такие политики работали, необходима воля руководства компании к их соблюдению."

Первая и часто главная проблема, которая должна быть преодолена/решена - ПОЛЕЗНОСТЬ политик должна быть очевидна для исполнителя/"заинтересованных лиц"...

И еще: иногда мы увлекаемся все написанное называть "политиками". Нельзя смешивать "Политики" и "Процедуры"/"Инструкции". Имплементация этих документов часто требует разных подходов

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT