Психологические аспекты информационной безопасности организации


Понятие "информация" (от лат. information) в прямом смысле означает осведомление, придание формы тому, что было ранее неизвестно. Информация является базовой составляющей знания. Знание, в свою очередь, накапливается и передается в форме интеллектуального продукта. Иными словами, знание в отличие от информации представляет собой увеличивающийся, самовозрастающий ресурс, в том числе и в результате информационных процессов [3].

На всех стадиях информационного процесса ведущая роль принадлежит человеку - носителю, пользователю информации и знания. От того, как будут учтены в информационных процессах интересы, психологические установки, свойства личности, зависит эффективность использования информации.

Если учесть определяющую роль информации в системе ресурсного обеспечения бизнеса (кто владеет информацией - тот владеет всем), то становится понятна та роль, которая отводится информационной безопасности любого предприятия.

Основные направления обеспечения информационной безопасности бизнеса:
защита информации о состоянии и движении материальных активов, чаще понимаемая как экономическая безопасность;
защита информации о состоянии нематериальных активов и их носителях (персонале), определяемая как собственно информационная безопасность;
защита средств хранения, обработки и передачи информации.

Здесь используются экономико-психологические методы обеспечения безопасности бизнеса и технико-технологические методы защиты информационных сетей.

Условия формирования системы экономической безопасности фирмы:
Четкое определение понятия "система экономической безопасности" (что делать?). Обеспечивать экономическую безопасность - значит осуществлять постоянную деятельность по выявлению, предупреждению, локализации и нейтрализации угроз и сведению к минимуму ущерба от реализации угроз различного характера.
Учет мнений и позиций собственника, акционеров, топ-менеджмента (для кого делать?). Мнения этих категорий лиц далеко не всегда совпадают.
Соблюдение принципов и алгоритма формирования системы экономической безопасности фирмы (как это делать?). В основе суждение: любое действие, нарушающее нормальное функционирование организации, понимается как угроза экономической безопасности фирмы.

Как на практике реализуются меры информационной безопасности с учетом конкретных ситуаций? Приведем ряд примеров [1].

Отмечено, что причина утечки информации чаще всего происходит в результате небрежности первых лиц организации. Например, в частных фирмах более 75 % ответственных сотрудников, принимая посетителей, не считают необходимым убирать конфиденциальные документы со стола или же выключать компьютер. Это приводит к потере до 30 % оперативной информации.

По данным опроса, 75 % руководителей крупных предприятий хорошо знают об увеличении возможности утечки информации при использовании современных множительных средств типа ксерокса. Тем не менее копирование материала в 53,6 % случаев происходит в режиме самообслуживания, в 32,7 % - оператором по устной просьбе служащего и только в 13,5 % случаев оператор делает копии под расписку или по письменному заказу.

По данным исследования, проведенного итальянскими психологами, только 25 % служащих фирмы - действительно надежные люди, еще столько же ожидают удобного случая для разглашения секретов, а 50 % будут действовать в зависимости от обстоятельств.

В США компьютерные преступления совершаются, как правило, служащими, допущенными к работе с информационными системами. Клерки, администраторы и управляющие виновны в них чаще, чем профессиональные программисты [4].

Зафиксирован ряд случаев, когда программисты закладывали в информационную систему "логическую бомбу" на случай форс-мажорных обстоятельств, значимых для них. При наступлении указанных обстоятельств "бомба" стирает весь массив информации и самоликвидируется. Доказать вину в суде практически невозможно.

В таблице сознательно оставлен без внимания несанкционированный доступ злоумышленников в информационные системы организации - "атака хакеров". Сама атака, как правило, осуществляется не сотрудниками организации. Содействие сотрудников хакерам может осуществляться в рамках перечисленных манипуляций.

По мнению исследователей, для создания атмосферы информационной безопасности наиболее эффективны меры, связанные с повышением информационной культуры на предприятии.

Необходимо формировать четкую целевую установку на повышение надежности и ответственности в вопросах защиты информации. Так, во многих американских фирмах действует двухуровневая система защиты информации. Первый уровень.- обеспечение информационной безопасности силами спецслужб, второй -культивирование атмосферы бдительности и ответственности с помощью так называемых координаторов, назначаемых из служащих среднего звена.

Целесообразно разбить технологический процесс на ряд самостоятельных этапов, чтобы служащие знали только часть секретов, а цельным знанием владело лишь руководство или узкий круг лиц. Необходим постоянный мониторинг отношений между людьми, владеющими информацией, учет их морального и психологического состояния. Основаниями для беспокойства являются: проявления эмоциональной неуравновешенности, недовольства, хитрости, разочарования служащих, идеи которых отвергнуты. Предлагается создать систему внутрифирменной коммуникации, не допускающей полной автономности отдельных работников [ 1]. В целом, психологическое обеспечение коммерческой тайны в процессе отбора, подготовки, выдвижения и увольнения кадров эффективнее и дешевле, чем при обычном засекречивании информации. Весьма эффективны организационно-психологические меры защиты информации [4]:
дробление, распределение информации между сотрудниками;
ведение учета ознакомления сотрудников с особо важной информацией;
распространение информации только через контролируемые каналы;
назначение лиц, ответственных за контроль документации;
обязательное уничтожение неиспользованных копий документов и записей;
четкое определение коммерческой тайны для персонала;
составление, регулярная оценка и обновление перечня информации, представляющей коммерческую тайну;
включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции;
включение положений о неразглашении тайны в соглашения и договоры с партнерами.

Особо остановимся на мерах по обеспечению информационной безопасности при увольнении сотрудника. О намерениях сотрудника уволиться косвенно свидетельствует посещение соответствующих сайтов в Интернете, рассылка резюме. С этого момента вся переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под негласный контроль. Как можно скорее в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов. Принимая во внимание, что сотрудник может изменить свои намерения и остаться, а также допуская, что просмотр вакансий мог осуществляться по просьбе знакомых, ищущих работу, нет необходимости принимать сразу явные меры безопасности.

Если сотрудник объявил о своем увольнении, можно принять следующие меры:
проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе;
сделать резервную копию файлов пользователя;
организовать передачу дел;
постепенно, по мере передачи дел, сокращать права доступа к информации;
по необходимости организовать сопровождение увольнения специалистом по информационной безопасности.

Если сотрудник уличен в промышленном шпионаже необходимо:
немедленно лишить его всех прав доступа к ИТ;
немедленно скорректировать права доступа к общим информационным ресурсам (базам данных, принтерам, факсам), перекрыть входы во внешние сети или изменить правила доступа к ним;
все сотрудники должны сменить личные пароли, при этом до их сведения доводится следующая информация: "Сотрудник N с (дата) не работает. При любых попытках контакта с его стороны немедленно сообщать в службу безопасности";
некоторое время контроль ИС осуществляется в усиленном режиме.

Если сотрудник увольняется не по причине уличения в промышленном шпионаже, то перечисленные меры не должны быть чрезмерно настойчивы, дабы не оказывать негативного воздействия на психологическое состояние человека. Необходимо внушить сотруднику, что таков общий порядок и он лично ни в чем не подозревается.

Если сотрудники увидят, что увольнение каждого пользователя ПК неразрывно связано с моральным ущербом, то пострадает общий социально-психологический климат: организация будет ассоциироваться с тюрьмой или сектой. Кроме того, нецелесообразно портить отношения со всеми увольняющимися сотрудниками: кто-то может вернуться, а кто-то - оказать помощь.

Если сотрудника увольняют, уличив в промышленном шпионаже, то процедура сопровождения остается на усмотрение службы безопасности. Задача службы управления персоналом: происходящее не должно нанести ущерб социально-психологическому климату в коллективе, а по возможности, напротив, консолидировать остальных сотрудников.

Меры по обеспечению информационной безопасности с позиций "человеческого фактора" можно рассматривать в качестве щита от воровства информации как специфического ресурса, имеющего значительную ценность.

Воровство и мошенничество как психологическая проблема имеют и свою идеологию: "в России воруют все". С некоторыми вариациями это суждение существует уже столетия. В чем же конкретно проявляется тяжелая наследственность российской ментальности [2]?
Психологически человек не готов различать свое и чужое (детская установка: "поделись или ты жадина-говядина").
В сознании людей закон не воспринимается как объективная реальность: (установка: "закон, что дышло, куда повернул - туда и вышло").
Возможность заработать воспринимается людьми как возможность украсть (установка: "кто смел, тот и съел").
Наличие отраслей, в которых воровство традиционно негласно входит в систему оплаты труда (установка: "работать на кухне и не воровать?").

Различают такие формы воровства, как:
индивидуальное воровство, в основе генетический код и ощущение анонимности, самооправдание (все воруют);
коллективное воровство, в основе идеология восстановления социальной справедливости (экспроприация экспроприаторов).

Наиболее эффективно противодействовать этому можно, только учитывая такой фактор, как экономическое поведение работника.

Экономическое поведение - это поведение, связанное с перебором экономических альтернатив с целью рационального выбора, то есть выбора, при котором минимизируются издержки и максимизируется чистая выгода. В основе экономического поведения лежат ценностные ориентации людей (деньги, статус, роль, идеалы).

На экономическое поведение оказывают влияние различные факторы: технический уровень производства, организация, нормирование, оплата и условия труда, удовлетворенность трудом, морально-психологический климат в коллективе, образовательный и культурный уровень работника, характер общественно-политической активности в обществе и рабочей группе.

Различают четыре стратегии экономического поведения:
минимум труда - минимум дохода,
минимум труда - максимум дохода,
максимум труда - гарантированный доход,
максимум труда - максимум дохода.

Поведение человека в рамках одной стратегии регулируется исключительно его мотивами. Переход от одной стратегии к другой регулируется системой стимулов. Исключение - стратегия "максимум труда - максимум дохода", где поведение человека определяется стимулами. Стратегия "минимум труда - минимум дохода", возникая, как вынужденная реакция человека на ситуацию, формирует у работника чувства "внутреннего увольнения", подавленности, способствует становлению терминаторного, то есть разрушительного поведения.

Рекомендации по профилактике воровства в организации.
Создать сильную корпоративную культуру организации (отношения, социальные приоритеты, мораль в организации). Если сформирована "критическая масса" работников, то новички попадают в систему самовоспроизводящегося общественного сознания.
Создать эффективную систему контроля, отвечающую следующим требованиям: регулярность и систематичность, персональная ответственность работников. Условие - контроль рассматривать как помощь людям в борьбе с искушением украсть.
В качестве профилактических средств периодически вызывать у работников синдромы "чувства вины", "чувства благодарности", играя роль строгого начальника или начальника-спасителя.
Быть разборчивым в производственных связях. Утверждение "свои не украдут" достаточно спорно.

Могут быть сформулированы и общие правила стимулирования, обеспечивающие безопасное поведение персонала:
доступность (я тоже могу заработать не меньше!);
ощутимость (премия не менее 20 % к окладу, оклад больше возможного ущерба от воровства);
минимальный разрыв между результатами и оплатой по времени (недостаток стимулирования восполняется воровством);
сочетание стимулов и мер наказания;
сочетание материальных, социальных и психологических стимулов.

Превентивные действия службы управления персоналом:
гибкая организационная структура "под задачи" организации: лишние подразделения следует ликвидировать, перераспределив и частично уволив сотрудников;
определение приоритетов в развитии персонала и реализация функций управления ими;
ежегодная аттестация персонала предприятия;
систематический пересмотр "Положений о подразделениях" и "Должностных инструкций" с целью их совершенствования в соответствии с изменениями в разделении и организации труда, а также в связи с изменениями уровня профессионализма самих работников;
разработка компенсационных пакетов (размера, структуры, соотношения различных форм вознаграждения работникам) с ориентацией на конечные результаты, значимые для организации (например, система сквозных показателей), и с учетом индикации;
разработка системы мер профилактики противоправного поведения сотрудников, в том числе и на случаи возникновения объективных причин к снижению уровня преданности фирме, например, при угрозе увольнения (здесь речь идет о защите конфиденциальной информации, включая соответствующие положения в трудовых соглашениях, и мерах против мошенничества, включая внутренний аудит);
постоянное информирование сотрудников о состоянии рынка товаров и услуг, на котором действует организация, формирование рыночного мышления, обеспечение причастности к проблемам организации.

Также могут быть приняты превентивные меры, начиная с момента поступления работника на работу, на случай снижения деловой активности фирмы и необходимости проводить сокращение работников, хотя эти меры не способствуют формированию у работника преданности фирме и увязке его жизненных целей с целями фирмы. К таким мерам относятся: заключения срочного трудового договора, заключение договора о сохранении коммерческой тайны, конфиденциальной информации, служебной тайны, о материальной ответственности, ознакомление под расписку с должностной инструкцией (для руководителей подразделений -еще и с Положением о данном подразделении), Правилами трудового распорядка, Положением об оплате и стимулировании труда, Коллективным договором (если таковой имеется), специальные меры в случае необходимости увольнения.

ЛИТЕРАТУРА
Дейнека О. С. Экономическая психология: Учебное пособие. - СПб.: Изд-во С.-Пб. ун-та, 2000.
Дубейковская Я. С. Стоп. Кадры! Управление персоналом для умных. - Екатеринбург: Изд-во Уральского ун-та, 2000.
Ушанков В. А. Становление информационной системы: ценностные характеристики / Проблемы современной экономики, № 3/4, 2002.
Черкасов В. Н. Бизнес и безопасность. Комплексный подход. М.: Армада-пресс, 2001

Обновлено: 11.03.2015