Говоря об управлении рисками,
нельзя не сказать и кое-что о том, что лежит за рамками обсуждаемого выше цикла
– пресловутом «человеческом факторе», без которого, к сожалению, не обходится
ни одна компания в мире. Очевидно, что количество инцидентов в сфере ИБ
напрямую зависит от того, как хорошо сотрудники выполняют требования
корпоративной политики информационной безопасности и насколько, вообще, они
лояльны своему работодателю. Ответственность за эти два показателя в немалой
мере лежит на HR-департаменте, а также на службе внутренней безопасности,
проверяющей кандидатов при приеме на работу.
В любой более-менее крупной
компании есть HR-отдел,
который отвечает за поиск и отбор сотрудников. К сожалению, его сотрудники
зачастую рассматривают свои задачи достаточно узко: они заняты поиском
кандидатов, формально удовлетворяющих требованиям в вакансиях, присылаемых
другими отделами, и при этом мало заботятся обо всем, что находится за рамками
этих требований. Именно так в компанию легко попадают люди, за плечами которых
уже не один ИБ-инцидент, произошедший по их вине.
В идеале, каждый сотрудник при
приеме на работу должен проходить через строгий фильтр в виде проверки отделом
внутренней безопасности (причем проверки не поверхностной, а весьма
основательной), включающей, среди прочего, и проверку фигурирования в прошлом
сотрудника различных ИБ-инцидентов. Еще одним фильтром должно стать психологическое
собеседование, которые бы определило не только насколько сотрудник подходит к
уже существующему в компании трудовому коллективу, но и насколько он склонен к
причинению вреда работодателю путем умышленного распространения его
конфиденциальных данных, уничтожения информации и т.д. Финальным этапом этих
проверок должно стать подписание перед принятием сотрудника на испытательный
срок соглашения о неразглашении информации, полученной во время работы в
компании. Это соглашение должно быть безукоризненным с юридической точки
зрения, кроме того, оно должно быть составлено в полном соответствии с
корпоративными политиками и стандартами в области информационной безопасности.
Также HR-отдел должен, в идеале, заниматься
постоянной работой по повышению лояльности сотрудников компании к своему
работодателю. Методик проведения такой работы существует масса, и многие из них
показали свою успешность при применении в российских условиях.
К сожалению, такая идеальная
ситуация практически не встречается в России – разве что в немногочисленных
филиалах западных компаний, которые всерьез озабочены своей кадровой
безопасностью. Остается лишь надеяться, что их способы и опыт будут постепенно
перенимать и остальные организации.
Что же именно стоит перенимать? Для
того чтобы усилить кадровую безопасность компании, необходимо расширить функции
HR-отдела так, как
описано выше. Для этого может понадобиться «доукомплектовать» отдел новыми
штатными единицами, включая не только новых HR-менеджеров, но и психологов и юристов. Также необходимо
наладить взаимодействие этого отдела с отделами информационной и внутренней
безопасности, которые должны принять активное участие не только в отборе
кандидатов на замещение вакантной должности, но и тщательно контролировать
новых работников в течение их испытательного срока.
Комментариев нет:
Отправить комментарий