Информационная безопасность организации: психологические и моральные аспекты.

Понятие информации представляет собой придание формы и осведомление того, что ранее было неизвестным. Информация представляет собой базовую составляющую знания. В свою очередь, знания накапливаются и передаются в форме того или ного интеллектуального продукта. Иными словами, знания в отличие от информационных процессов, представляют собой самовозрастающие, увеличивающиеся ресурсы.

Ведущая роль информационного процесса на всех его стадиях принадлежит носителям информации и знания как субъективного предмета накопления информации. от того, каким образом будут учитываться в информационных процессах интересы, свойства личности и базовые психологические установки, зависит не только эффективность, но и результативность применения системных технологических процессов. с учетом возрастающей роли информации в системах ресурсного обеспечения бизнес- процессов становится максимально ясна роль информационной безопасности любого из предприятий. Основными направлениями информационной безопасности бизнеса являются:

  • Защита информации о состоянии и движении материальных активов, чаще понимаемая как экономическая безопасность;
  • Защита информации о состоянии нематериальных активов и их носителях (персонале), определяемая как собственно информационная безопасность;
  • Защита средств хранения, обработки и передачи информации.

Здесь используются экономико-психологические методы обеспечения безопасности бизнеса и технико-технологические методы защиты информационных сетей.

Условия формирования системы экономической безопасности фирмы: Четкое определение понятия система экономической безопасности. Обеспечивать экономическую безопасность - значит осуществлять постоянную деятельность по выявлению, предупреждению, локализации и нейтрализации угроз и сведению к минимуму ущерба от реализации угроз различного характера. Учет мнений и позиций собственника, акционеров, топ-менеджмента. Мнения этих категорий лиц далеко не всегда совпадают.

 

Соблюдение принципов и алгоритма формирования системы экономической безопасности фирмы. В основе суждение: любое действие, нарушающее нормальное функционирование организации, понимается как угроза экономической безопасности фирмы. Как на практике реализуются меры информационной безопасности с учетом конкретных ситуаций? Приведем ряд примеров. Отмечено, что причина утечки информации чаще всего происходит в результате небрежности первых лиц организации. Например, в частных фирмах более 75 % ответственных сотрудников, принимая посетителей, не считают необходимым убирать конфиденциальные документы со стола или же выключать компьютер. Это приводит к потере до 30 % оперативной информации. По данным опроса, 75 % руководителей крупных предприятий хорошо знают об увеличении возможности утечки информации при использовании современных множительных средств типа ксерокса. Тем не менее, копирование материала в 53,6 % случаев происходит в режиме самообслуживания, в 32,7 % - оператором по устной просьбе служащего и только в 13,5 % случаев оператор делает копии под расписку или по письменному заказу. По данным исследования, проведенного итальянскими психологами, только 25 % служащих фирмы - действительно надежные люди, еще столько же ожидают удобного случая для разглашения секретов, а 50 % будут действовать в зависимости от обстоятельств.

В США компьютерные преступления совершаются, как правило, служащими, допущенными к работе с информационными системами. Клерки, администраторы и управляющие виновны в них чаще, чем профессиональные программисты. Зафиксирован ряд случаев, когда программисты закладывали в информационную систему логическую бомбу на случай форс-мажорных обстоятельств, значимых для них. При наступлении указанных обстоятельств бомба стирает весь массив информации и самоликвидируется. Доказать вину в суде практически невозможно. По мнению исследователей, для создания атмосферы информационной безопасности наиболее эффективны меры, связанные с повышением информационной культуры на предприятии. Необходимо формировать четкую целевую установку на повышение надежности и ответственности в вопросах защиты информации. Так, во многих американских фирмах действует двухуровневая система защиты информации. Первый уровень - обеспечение информационной безопасности силами спецслужб, второй - культивирование атмосферы бдительности и ответственности с помощью так называемых координаторов, назначаемых из служащих среднего звена.

Целесообразно разбить технологический процесс на ряд самостоятельных этапов, чтобы служащие знали только часть секретов, а цельным знанием владело лишь руководство или узкий круг лиц. Необходим постоянный мониторинг отношений между людьми, владеющими информацией, учет их морального и психологического состояния. Основаниями для беспокойства являются: проявления эмоциональной неуравновешенности, недовольства, хитрости, разочарования служащих, идеи которых отвергнуты. Предлагается создать систему внутрифирменной коммуникации, не допускающей полной автономности отдельных работников. В целом, психологическое обеспечение коммерческой тайны в процессе отбора, подготовки, выдвижения и увольнения кадров эффективнее и дешевле, чем при обычном засекречивании информации.

  • Распространение информации только через контролируемые каналы; назначение лиц, ответственных за контроль документации;
  • обязательное уничтожение неиспользованных копий документов и записей;
  • четкое определение коммерческой тайны для персонала;
  • составление, регулярная оценка и обновление перечня информации, представляющей коммерческую тайну;
  • включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции;
  • включение положений о неразглашении тайны в соглашения и договоры с партнерами.

Особо остановимся на мерах по обеспечению информационной безопасности при увольнении сотрудника. О намерениях сотрудника уволиться косвенно свидетельствует посещение соответствующих сайтов в Интернете, рассылка резюме. С этого момента вся переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под негласный контроль. Как можно скорее в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов. Просмотр вакансий мог осуществляться по просьбе знакомых, ищущих работу, нет необходимости принимать сразу явные меры безопасности. Если сотрудник объявил о своем увольнении, можно принять следующие меры: проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе; сделать резервную копию файлов пользователя; организовать передачу дел; постепенно, по мере передачи дел, сокращать права доступа к информации; по необходимости организовать сопровождение увольнения специалистом по информационной безопасности.

Если сотрудник уличен в промышленном шпионаже необходимо: немедленно лишить его всех прав доступа к ИТ немедленно скорректировать права доступа к общим информационным ресурсам (базам данных, принтерам, факсам), перекрыть входы во внешние сети или изменить правила доступа к ним; все сотрудники должны сменить личные пароли, при этом до их сведения доводится следующая информация:  Сотрудник N не работает.

При любых попытках контакта с его стороны немедленно сообщать в службу безопасности некоторое время контроль ИС осуществляется в усиленном режиме. Если сотрудник увольняется не по причине уличения в промышленном шпионаже, то перечисленные меры не должны быть чрезмерно настойчивы, дабы не оказывать негативного воздействия на психологическое состояние человека. Необходимо внушить сотруднику, что таков общий порядок и он лично ни в чем не подозревается. Если сотрудники увидят, что увольнение каждого пользователя ПК неразрывно связано с моральным ущербом, то пострадает общий социально-психологический климат: организация будет ассоциироваться с тюрьмой или сектой. Кроме того, нецелесообразно портить отношения со всеми увольняющимися сотрудниками: кто-то может вернуться, а кто-то - оказать помощь. Если сотрудника увольняют, уличив в промышленном шпионаже, то процедура сопровождения остается на усмотрение службы безопасности. Задача службы управления персоналом: происходящее не должно нанести ущерб социально-психологическому климату в коллективе, а по возможности, напротив, консолидировать остальных сотрудников. Меры по обеспечению информационной безопасности с позиций человеческого фактора можно рассматривать в качестве щита от воровства информации как специфического ресурса, имеющего значительную ценность. Воровство и мошенничество как психологическая проблема имеют и свою идеологию: «в России воруют все». С некоторыми вариациями это суждение существует уже столетия. В чем же конкретно проявляется тяжелая наследственность российской ментальности?

  • Психологически человек не готов различать свое и чужое  (детская установка: поделись или ты жадина-говядина. В сознании людей закон не воспринимается как объективная реальность. Возможность заработать воспринимается людьми как возможность украсть Наличие отраслей, в которых воровство традиционно негласно входит в систему оплаты труда работать на кухне и не воровать? Различают такие формы воровства, как: индивидуальное воровство, в основе генетический код и ощущение анонимности, самооправдание коллективное воровство, в основе идеология восстановления социальной справедливости (экспроприация экспроприаторов). Наиболее эффективно противодействовать этому можно, только учитывая такой фактор, как экономическое поведение работника. Экономическое поведение - это поведение, связанное с перебором экономических альтернатив с целью рационального выбора, то есть выбора, при котором минимизируются издержки и максимизируется чистая выгода. В основе экономического поведения лежат ценностные ориентации людей. На экономическое поведение оказывают влияние различные факторы:
  • технический уровень производства,
  • организация, нормирование,
  • оплата и условия труда,
  • удовлетворенность трудом,
  • морально-психологический климат в коллективе,
  • образовательный и культурный уровень работника,
  • характер общественно-политической активности в обществе и рабочей группе.

Различают четыре стратегии экономического поведения: минимум труда - минимум дохода, минимум труда - максимум дохода, максимум труда - гарантированный доход, максимум труда - максимум дохода. Поведение человека в рамках одной стратегии регулируется исключительно его мотивами. Переход от одной стратегии к другой регулируется системой стимулов. Исключение - стратегия  максимум труда - максимум дохода, где поведение человека определяется стимулами. Стратегия минимум труда - минимум дохода, возникая, как вынужденная реакция человека на ситуацию, формирует у работника чувства внутреннего увольнения, подавленности, способствует становлению терминаторного, то есть разрушительного поведения.

Рекомендации по профилактике воровства в организации.

Создать сильную корпоративную культуру организации (отношения, социальные приоритеты, мораль в организации). Если сформирована критическая масса работников, то новички попадают в систему самовоспроизводящегося общественного сознания. Создать эффективную систему контроля, отвечающую следующим требованиям: регулярность и систематичность, персональная ответственность работников. Условие - контроль рассматривать, как помощь людям в борьбе с искушением украсть. В качестве профилактических средств периодически вызывать у работников синдромы  чувства вины, чувства благодарности, играя роль строгого начальника или начальника-спасителя. Быть разборчивым в производственных связях. Утверждение «свои не украдут» достаточно спорно. Могут быть сформулированы и общие правила стимулирования, обеспечивающие безопасное поведение персонала:

  • доступность  ощутимость;
  • минимальный разрыв между результатами и оплатой по времени;
  • сочетание стимулов и мер наказания;
  • сочетание материальных, социальных и психологических стимулов.

Превентивные действия службы управления персоналом:

гибкая организационная структура под задачи  организации. Лишние подразделения следует ликвидировать, перераспределив и частично уволив сотрудников; определение приоритетов в развитии персонала и реализация функций управления ими;

ежегодная аттестация персонала предприятия; систематический пересмотр Положений о подразделениях и Должностных инструкций  с целью их совершенствования в соответствии с изменениями в разделении и организации труда, а также в связи с изменениями уровня профессионализма самих работников;

разработка компенсационных пакетов с ориентацией на конечные результаты, значимые для организации (например, система сквозных показателей), и с учетом индикации; разработка системы мер профилактики противоправного поведения сотрудников, в том числе и на случаи возникновения объективных причин к снижению уровня преданности фирме, например, при угрозе увольнения (здесь речь идет о защите конфиденциальной информации, включая соответствующие положения в трудовых соглашениях, и мерах против мошенничества, включая внутренний аудит); постоянное информирование сотрудников о состоянии рынка товаров и услуг, на котором действует организация, формирование рыночного мышления, приняты превентивные меры, начиная с момента поступления работника на работу, на случай снижения деловой активности фирмы и необходимости обеспечение причастности к проблемам организации. Также могут быть препроводить сокращение работников, хотя эти меры не способствуют формированию у работника преданности фирме и увязке его жизненных целей с целями фирмы.

Автор благодарит за помощь в подготовке материала  Вячеслава Алисеевича, ведущего специалиста компании Белтим СБ

 

 

Версия для печатиВерсия для печати
  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0

Опубликовано:

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Читайте также