четверг, 14 мая 2015 г.

Вопрос читателя. О лояльности сотрудников

Добрый вечер, дорогие читатели! Сегодня я хотела бы поговорить с вами о лояльности сотрудников. Тема для поста возникла после получения письма-размышления (далее - авторский текст Олега Шапошникова):

Я беда?

Отчего же мне не плакать,
Отчего же мне не злиться?
За вихор меня таскает
Младшая моя сестрица.
Я не ябеда, но все же
Нечего махать руками.
Если папа не поможет,
Буду жаловаться маме.
Елена Стеквашова  “ЯБЕДА”


В данной статье мне бы хотелось поговорить о такой немаловажной составляющей информационной безопасности как лояльность сотрудников по отношению к проводимой компанией политике безопасности. Подвигнуть Вас на дискуссию по этому вопросу меня подтолкнули две совершенно несвязанных между собой новости, пришедшие из разных стран.
Итак, новость первая - клиент крупного российского банка, название которого начинается на букву С, получает на свой мобильный телефон смс с сообщением: «Карта № такой-то заблокирована» (как выясняется позднее она действительно заблокирована в связи со смертью держателя карты, который на самом деле еще очень даже жив).  Далее автор этой статьи (и по совместительству получатель этого сообщения) пишет: "Такие смски я получаю довольно часто, но от мошенников, и не реагирую на них". Казалось бы все хорошо, человек подкован в части безопасности, а значит защищен. НО, почему "не реагирую на них"? То есть человек определенно зная, что столкнулся со случаем мошенничества, проходит мимо и не предпринимает никаких действий. Я знаю что это обман, я защищен, а бороться с этой проблемой не моя задача. Получается так? Достаточно странно и можно было бы списать на ряд специфических обстоятельств, начиная с нашего менталитета и заканчивая простой ленью. Но остановимся пока на этих предположениях и перейдем к новости номер два.
Во втором случае произошел крупный взлом аккаунтов одной телевизионной компании из-за промелькнувшего в новостном кадре рабочего места одного из сотрудников, где хорошо видны записки с логинами и паролями. В результате чего злоумышленники получили доступ к этим аккаунтам и смогли парализовать работу компании на несколько часов. Возникает ряд вопросов. Сотрудник не имел представления об информационной безопасности? Вряд ли. С уверенностью можно сказать, что в компании есть свой человек, поставленный на защиту информации, и он наверняка следит за соблюдением безопасности, а значит обучает и контролирует действия сотрудников. Неужели никто из его коллег не видел этого грубейшего нарушения и не сделал ему замечания? А вот тут уже вопрос открытый. Беспечность и русская лень тут не подходит - европейцы очень щепетильны в вопросах соблюдения законов. Невнимательность, игнорирование предупреждений? Но почему тогда не сообщили администратору, если человек не реагирует на замечания? В целом получается яркий пример того, как грубое нарушение со стороны одного человека самых минимальных правил безопасности и безразличное отношение со стороны остальных, привело к очень серьезным последствиям.
Поэтому, уважаемые коллеги, не забывайте о такой важной составляющей нашей с вами работы, как живой контакт с теми, кто выполняет неживые инструкции, руководства и правила. Убедитесь, хорошо ли сотрудники понимают то, что написано в этих регламентах. Донесите до них важность выполнения этих простых правил. Дайте им понять, что это не формальность отдела безопасности, не простое выполнение предписанных свыше законами требований, а жизненно важное для каждого сотрудника руководство к действию. Покажите, что ваша цель не наказать тех, кто не исполняет предписаний, а создать безопасные условия для всех. А это возможно только при общем сотрудничестве. И только тогда каждый сотрудник начнет понимать, что сообщение о факте нарушения информационной безопасности - это не доносительство на коллегу, не случай мелочности и ябедничества, а часть важной и нужной совместной работы. Только тогда станет возможным построение действительно надежных  и безопасных информационных систем.
Ну и в заключении статьи вопрос - какова по Вашему мнению причина нежелания сотрудников сообщать о нарушениях ИБ? 
  • Лень; 
  • нежелание доносить = заниматься стукачеством; 
  • непонимание того, какие последствия могут вызвать нарушения; 
  • негативное отношение к работе, выполняемой отделом ИБ, и к самим сотрудникам отдела ИБ; 
  • или что-то другое?
Тема, затронутая автором письма, вызвала у меня интерес. Честно признаюсь - никогда даже не думала о том, чтобы надеяться на взаимный контроль в коллективе, хотя и всегда ставила перед собой задачу научить каждого сотрудника соблюдать требования информационной безопасности. 
Первая мысль, которая у меня возникла после прочтения письма - нет, русский менталитет нам не побороть. Для россиянина, с моей точки зрения, характерно:

  • "надеяться на авось" - а значит, пренебрегать правилами безопасности вообще и информационной - в частности;
  • "не закладывать своих" - даже если инцидент будет обнаружен одним из сотрудников, очень и очень вряд ли об этом узнает еще кто-нибудь.
Для охраны труда и пожарной безопасности ситуация с бдительностью сотрудников обстоит гораздо лучше. Согласитесь - разница между угрозой жизни и здоровью и утечкой информации довольно ощутима. О горящей мусорной корзине сообщат гораздо быстрее, чем о бумажке с паролями, оставленной на видном месте.
Так что предпосылок к ответственному поведению сотрудников у нас не очень много. Как изменить ситуацию? На ум пришли следующие утопичные способы повышения лояльности:
  • всевозможные "ИБ-дружины" из специалистов разных подразделений (ага, с красными повязками на руках, как в школьные годы у дежурных);
  • ящики анонимных сообщений об инцидентах;
  • поголовное лишение премии в случае обнаружения нарушений ИБ.
Идеи в общем-то интересные, но плохо применимые в реальной жизни. 
Мне кажется, нужно принять следующее допущение - сотрудники не будут следить друг за другом по части соблюдения правил информационной безопасности. Если только с целью насолить кому-нибудь или занять чужое место. Но ситуация небезнадежна и мы можем увеличить количество ответственных лиц. Так, пусть за каждое нарушение отвечает не только виновник, но и его непосредственный руководитель. Вот кто может и должен сделать замечание нерадивому сотруднику. Чтобы этот механизм заработал, каждый сотрудник при работе с информацией должен:
  • знать чего НЕЛЬЗЯ делать;
  • знать что МОЖНО делать;
  • знать что НУЖНО делать;
  • понимать опасность;
  • знать к кому обратиться;
  • нести ответственность за свои действия.
И ко всему этому стоит добавить регулярные проверки с наказанием виновных, без которых все сказанное выше теряет всякий смысл.
А как считаете Вы?


Страница Блога ВК: https://vk.com/kshudrova - свежие посты блога и все, что кажется мне интересным в мире ИБ. Присоединяйтесь!